Délibérations du Comité sénatorial permanent des
Banques et du commerce
Fascicule no 41 - Témoignages du 24 mai 2018
OTTAWA, le jeudi 24 mai 2018
Le Comité sénatorial permanent des banques et du commerce se réunit aujourd’hui, à 10 h 30, pour étudier la teneur des éléments des sections 2, 4, 5, 6, 7, 12, 16 et 19 de la partie 6 du projet de loi C-74, Loi portant exécution de certaines dispositions du budget déposé au Parlement le 27 février 2018 et mettant en œuvre d’autres mesures, et à huis clos, pour étudier un projet d’ordre du jour (travaux futurs).
Le sénateur Douglas Black (président) occupe le fauteuil.
Le président : Bonjour et bienvenue à mes collègues ainsi qu’aux membres du public qui suivent aujourd’hui les délibérations d’aujourd’hui, que ce soit sur place ou sur le Web. Je m’appelle Doug Black. Je suis un sénateur de l’Alberta et j’ai le privilège de présider ce comité. J’invite les sénateurs à se présenter. Deux ou trois de nos collègues seront en retard aujourd’hui en raison d’autres engagements, mais ils sont en route.
[Français]
La sénatrice Ringuette : Pierrette Ringuette, du Nouveau-Brunswick.
[Traduction]
La sénatrice Unger : Betty Unger, de l’Alberta.
Le sénateur Wetston : Howard Wetston, de l’Ontario.
Le sénateur Marwah : Sabi Marwah, de l’Ontario.
La sénatrice Stewart Olsen : Carolyn Stewart Olsen, du Nouveau-Brunswick.
Le président : Comme toujours, évidemment, nous sommes extrêmement bien servis par la greffière du comité et les analystes de la Bibliothèque du Parlement.
Aujourd’hui, nous poursuivons notre étude de la teneur des éléments de diverses sections de la partie 6 du projet de loi C-74 visant l’exécution du budget de 2018, no 1, et nous allons nous pencher en particulier sur la section 16, comportant des modifications à certaines lois régissant les institutions financières fédérales, et la subdivision A, concernant les activités liées à la technologie financière.
Nous accueillons un groupe de témoins remarquables, ce matin. Nous avons le groupe parfait pour parler de problèmes bancaires, si vous en avez. J’ai le plaisir d’accueillir Mme Holly Shonaman, chef de la protection des renseignements personnels à la Banque Royale du Canada; Mme Jane Stubbington, vice-présidente à la conformité et responsableen chef mondial de la protection des renseignements personnels au Groupe Banque TD; M. Mike Henry, chef des données à la Banque Scotia; M. Chris Bradley, avocat-conseil adjoint, Services bancaires canadiens pour les particuliers et les entreprises, à la Banque de Montréal; et, enfin, M. Dave Bruyea, vice-président principal et responsable de la sécurité des systèmes d’information à la Banque Canadienne Impériale de Commerce.
Je crois savoir que vous avez tous préparé un exposé. Nous passerons ensuite aux questions des sénateurs. Bienvenue; merci beaucoup d’être ici. Nous avons hâte d’entendre vos déclarations.
Mike Henry, chef des données, Banque Scotia : Monsieur le président, honorables sénateurs, bonjour. Je m’appelle Mike Henry. Je suis vice-président à la direction et chef des données à la Banque Scotia. C’est un plaisir d’être avec vous aujourd’hui. Je remercie les membres du comité de l’invitation à comparaître pour discuter de l’engagement de la Banque Scotia à l’égard de la protection des données des clients et de l’étude du comité sur la section 16 liée à la Loi sur les banques, qui permettrait les investissements et les partenariats avec des entreprises de technologie.
Depuis 186 ans, la Banque Scotia et ses employés sont, avec fierté, au service des collectivités au Canada et dans plus de 50 pays du monde. Partout où elle est présente, la Banque Scotia a comme principale priorité d’aider ses clients à prospérer en assurant le maintien de la confiance et des relations, qui sont au cœur des activités de notre entreprise.
Au cours des dernières années, de nombreux changements se sont produits dans le secteur des services financiers, notamment la récente transformation numérique dans l’ensemble de l’industrie. Toutefois, ce qui demeure inchangé est notre indéfectible engagement à l’égard de nos clients et au maintien de leur confiance. J’aimerais aborder brièvement trois aspects : notre clientèle, la protection des renseignements personnels et la sécurité.
Le système bancaire canadien a été un modèle de stabilité dans le système financier mondial, se classant parmi les systèmes bancaires les plus sains au monde au cours de la dernière décennie et les plus aptes à traverser la crise financière. Les banques canadiennes sont bien capitalisées, bien gérées et bien réglementées. L’industrie financière est en transition et, comme d’autres industries au pays et à l’échelle internationale, nous entrons dans une nouvelle ère de changements importants caractérisée par les progrès rapides de la technologie et les attentes croissantes de la clientèle quant à la fluidité des expériences numériques.
Le Canada pourrait jouer un rôle de premier plan dans la fondation de l’économie numérique mondiale. Le Canada doit mettre en œuvre, par l’intermédiaire de la modernisation d’une réglementation équilibrée, une stratégie d’innovation pour suivre l’évolution des services financiers. À cette fin, les dispositions proposées dans la section 16 de la partie 6 du projet de loi C-74 sont essentielles à la mise en place, dans le secteur des services financiers, du climat d’innovation nécessaire à la conception et à la mise en œuvre de nouvelles solutions financières avantageuses pour tous les Canadiens, climat qui encouragerait également la collaboration entre le secteur bancaire et le secteur des technologies financières.
Il importe de préciser que, contrairement à certaines observations qui ont été faites au comité, les articles 316 et 317 n’ont aucune incidence sur les dispositions actuelles de l’article 416 sur la communication des données des consommateurs aux sociétés d’assurance. Les règles régissant les relations entre les sociétés d’assurances et les banques sont très claires en ce qui concerne l’aiguillage des clients et l’interdiction pour les banques de communiquer les renseignements sur les clients à des sociétés, des agents ou des courtiers d’assurance.
Passons à la protection des renseignements personnels. Le Canada est un chef de file dans ce domaine, car il a, depuis 2001, l’une des lois les plus rigoureuses au monde en matière de protection des renseignements personnels, la Loi sur la protection des renseignements personnels et les documents électroniques, communément appelée la LPRPDE. Avant son adoption, les banques avaient déjà mis en place de rigoureuses mesures de protection de la vie privée. Les clients de la Banque Scotia lui confient leurs renseignements les plus délicats. Ils s’attendent à ce que nous les utilisions de façon éthique et responsable en assurant l’exactitude, la confidentialité, la sécurité et la protection des données. Nous nous sommes formellement engagés à le faire, par l’intermédiaire du code de confidentialité de la Banque Scotia. Ce code est fondé sur le Code canadien de protection des renseignements personnels de l’Association canadienne de normalisation, mais aussi sur les principes énoncés dans la LPRPDE et les principes de l’OCDE en matière de protection de la vie privée.
Il convient de souligner que la Banque Scotia demeure responsable de tous les renseignements personnels qu’elle détient ou contrôle, y compris toute information personnelle transmise à des tiers à des fins de traitement ou à d’autres fins, au nom de la banque. Nous avons mis en place des politiques et des procédures très rigoureuses pour nous assurer que les renseignements communiqués à des tiers sont utilisés conformément aux lois en matière de protection des renseignements personnels et à nos normes élevées en matière de protection de la vie privée des clients et de sécurité des renseignements.
Passons maintenant à la sécurité. La Banque Scotia a des politiques et des normes bien établies qui sont continuellement mises à jour en fonction de l’évolution des menaces de cybersécurité, des exigences réglementaires, des pratiques exemplaires et des normes de l’industrie. La banque utilise un large éventail de mesures de protection et de prévention pour assurer sa sécurité et protéger les renseignements personnels qu’elle utilise et conserve. Ces mesures touchent de nombreux aspects : authentification, autorisation, encodage, consignation, surveillance, détection des anomalies, sécurité des réseaux, applications, serveurs, postes de travail et même les imprimantes. La mise en œuvre et la prestation de ces services relèvent d’une équipe, dévouée réunissant un nombre croissant de professionnels de la sécurité, répartie partout dans le monde. Comme pour toute autre activité liée à la transmission, au traitement, à la manipulation ou le stockage des données par une tierce partie, nous faisons un examen de sécurité exhaustif de leurs normes de sécurité pour nous assurer qu’elles sont égales ou supérieures à nos propres normes et pratiques exemplaires. Les tierces parties sont tenues de mettre en place ces contrôles clés selon les modalités de leur contrat.
Pour conclure, je tiens à réitérer notre appui à la modernisation du cadre fédéral régissant le secteur financier. L’industrie financière canadienne a démontré son aptitude à rivaliser, à innover et à être un chef de file à l’échelle mondiale, et ce, en veillant à la sécurité et à la solidité, des aspects importants pour nos clients. Les banques canadiennes ont été des chefs de file sur les plans de la protection des renseignements personnels et de la sécurité. L’industrie est bien placée pour accueillir les modifications à la Loi sur les banques. C’est là-dessus que je termine mon exposé. Je vous remercie de votre attention et j’ai hâte de répondre aux questions.
Le président : Merci beaucoup, monsieur Henry.
Jane Stubbington, vice-présidente de la conformité et responsableen chef mondial de la protection des renseignements personnels, Groupe Banque TD : Je vous remercie de me donner l’occasion d’être ici aujourd’hui. À titre de chef de la Protection des renseignements personnels à l’échelle mondiale du Groupe Banque TD, mon travail consiste à mettre en œuvre le programme et les politiques de protection des renseignements personnels de la TD à l’échelle de l’entreprise et à surveiller la conformité de nos activités avec les lois sur la protection des renseignements personnels.
Le comité nous a invités ici aujourd’hui pour aborder la question des mesures que prennent les banques pour protéger les données des clients, et la question de savoir si l’innovation et une plus grande collaboration entre les banques et les entreprises de technologie financière, les « fintechs », posent un risque pour les données des clients.
D’abord, je tiens à dire que les activités de la TD — comme celles de toutes les banques — sont basées sur la confiance. La confiance est le fondement sur lequel reposent les activités bancaires, et la TD s’efforce, d’abord et avant tout, de gagner et de maintenir la confiance des clients. C’est dans cet esprit que la TD exerce ses activités depuis plus de 160 ans. C’est notre raison d’être. Si nous n’avons pas la confiance des clients, notre réputation et nos activités en souffriront.
Les Canadiens ont toujours fait confiance à leurs banques pour protéger à la fois leur argent et leurs renseignements. Par conséquent, la confidentialité et la sécurité sont au cœur de nos activités. Cela ne changera jamais et n’est pas négociable.
À mesure que nous avançons dans le monde du numérique — y compris en collaborant avec des entreprises de technologie financière —, les clients rehaussent leurs attentes quant à la sécurité et à la confidentialité de leurs renseignements personnels, tout comme le fait la TD. Les principes de confidentialité et de sécurité doivent demeurer au centre de nos activités. L’innovation place la barre plus haute pour nous tous, afin que nous nous rappelions que, à mesure que nous évoluons pour répondre aux attentes changeantes des clients, nous devons être fidèles aux principes et aux valeurs qui ont initialement fait de nous leur partenaire de confiance.
À mesure que la technologie et les activités bancaires évoluent, la façon dont nous protégeons nos clients doit évoluer elle aussi. La cybersécurité est une priorité pour la Banque TD, et nous continuons à surveiller les menaces qui y sont liées et à y répondre.
L’élaboration de politiques de confidentialité transparentes est un élément clé pour développer la confiance. À mesure que nos produits changent, et que les renseignements que nous recueillons et utilisons changent eux aussi, nous devons nous assurer que les clients comprennent pourquoi nous leur demandons ces renseignements et comment ils seront utilisés. Nous devons également faire preuve de transparence lorsque nous demandons aux clients de nous fournir des renseignements qui sont optionnels afin qu’ils puissent comprendre nos raisons et décider s’ils souhaitent les fournir.
La confiance se bâtit au fil de nombreuses années de bons services, mais peut être perdue en un clin d’œil. C’est aussi plus qu’un sentiment; la confiance est quelque chose de concret. Elle est faite de contrôles efficaces et d’un cadre de gouvernance solide, ainsi que d’une attention, de tous les instants, portée au client.
Les banques doivent se conformer à la loi fédérale sur la protection des renseignements personnels, la LPRPDE. Les changements à la Loi sur les banques n’ont pas d’effet sur nos obligations en vertu de la LPRPDE. Plus important encore, aucun changement à la Loi sur les banques ne peut annuler notre engagement à l’égard de nos principes fondamentaux de confiance et de transparence. Ces principes ne sont pas motivés par la réglementation, mais par la volonté de suivre la bonne voie. Cela signifie que les banques doivent faire preuve de transparence et obtenir le consentement du client avant de fournir quelque donnée que ce soit à un tiers, y compris à une entreprise de technologie financière ou à toute autre entreprise avec laquelle elle collabore.
Puisque la confidentialité et la sécurité font partie intégrante de ses activités, la TD choisit avec un grand soin ses partenaires et ses fournisseurs de services. La TD a un processus solide pour évaluer et contrôler ses partenaires et ses fournisseurs de services qui ont accès aux données des clients. La TD doit être convaincue que tous ses partenaires ont mis en place des mesures de protection appropriées quant à la confidentialité et à la sécurité. Même si une entreprise de technologie financière est soumise à un niveau de surveillance réglementaire différent de celui de la banque, les propres normes de sécurité et de confidentialité de la TD font en sorte que nous ne travaillerons pas avec des entreprises qui ne peuvent prouver qu’elles respectent des normes élevées en matière de protection des données.
En outre, les mêmes lois sur la protection des renseignements personnels s’appliquent aux entreprises de technologie financière qui exercent des activités commerciales au Canada. Dans les faits, elles sont soumises à une double surveillance : celle de la banque avec laquelle elles collaborent et celle du Commissariat à la protection de la vie privée et des organismes provinciaux de protection de la vie privée, concernés.
Nous ne cherchons pas à éviter la réglementation qui régit la façon dont les renseignements sur les clients sont traités; nous la prenons à cœur, car elle est un pilier de notre relation avec les Canadiens et de notre modèle d’affaires.
Les dispositions du projet de loi C-74 ne sont pas liées aux restrictions actuelles des banques en ce qui a trait à l’assurance, et elles ne les modifient pas. Cela inclut les relations avec des fournisseurs de services tiers. Ces restrictions signifient également que les banques ne peuvent utiliser leur relation avec une entreprise de technologie financière tierce pour fournir indirectement à des assureurs des renseignements sur des clients de la banque.
Les nouveaux pouvoirs proposés pour la Loi sur les banques continueront d’être soumis à l’article 416 de la Loi sur les banques, ainsi que la nouvelle réglementation interdisant aux banques de fournir, directement ou indirectement, des renseignements sur les clients à une société d’assurances ou un agent ou un courtier d’assurances. Bien que les modifications ajoutent certains pouvoirs aux banques ou les clarifient, elles ne contournent pas l’interdiction pour les banques de fournir, directement ou indirectement, des renseignements sur les clients à une société d’assurances ou à un agent ou un courtier d’assurances.
Nous ne tenons pas la confiance des clients pour acquise, et nous ne pouvons pas le faire. Une fois que nous avons gagné la confiance d’un client — et qu’il nous a confié ses affaires —, nous devons travailler chaque jour pour la garder. La confiance est difficile à gagner et facile à perdre. Nous voulons nouer des relations à long terme avec nos clients. Nous les aidons à cerner leurs besoins financiers et leur offrons des produits qui permettront d’y répondre, tout en gardant en tête que le contrôle, la protection des renseignements personnels et la sécurité des données du client, ainsi que la transparence, sont des piliers de notre succès à établir des relations. Merci. C’est avec plaisir que je répondrai aux questions.
Holly Shonaman, chef de la protection des renseignements personnels, Banque Royale du Canada : Merci, honorables sénateurs. Merci d’entreprendre cette discussion aujourd’hui.
À titre de chef de la protection des renseignements personnels, je suis responsable de la gouvernance en matière de protection des renseignements personnels à l’échelle de l’entreprise. Je tiens à vous remercier de l’invitation à comparaître aujourd’hui pour discuter de la protection des renseignements personnels des clients dans le cadre de votre étude du projet de loi C-74.
Pour les Canadiens, RBC représente à la fois la banque locale et un acteur important de l’industrie; la banque existe depuis presque aussi longtemps, que le Canada lui-même. La banque, un employeur respecté, est reconnue pour la qualité de ses conseils et de ses solutions, de son rôle de promoteur de la diversité et de l’innovation et de son engagement à l’égard des jeunes Canadiens et de leur prospérité future. On nous reconnaît aussi comme une entreprise dévouée à la protection de la vie privée de sa clientèle et à la protection des renseignements personnels et financiers qui nous sont confiés.
Notre relation avec notre clientèle repose sur la confiance. Nous accordons une grande importance à la confidentialité des renseignements personnels et financiers de nos clients. Par conséquent, la protection de la confidentialité des renseignements de nos clients est toujours notre principale priorité.
Les sociétés membres de RBC appliquent des politiques et des procédures exhaustives en matière de protection de la vie privée, conformément aux lois en vigueur, afin d’appuyer notre engagement à favoriser la confiance en garantissant l’intégrité de toutes nos activités. Nos principes de protection des renseignements personnels précisent la nature des renseignements que nous recueillons, les motifs d’utilisation et les destinataires possibles, les pratiques RBC en matière de sécurité et les options offertes aux clients. Toutes ces informations sont publiques et peuvent être consultées sur toutes les pages de notre site web.
Je tiens à préciser que les renseignements personnels et financiers des clients ne sont utilisés qu’aux fins pour lesquelles les clients ont été informés. Si nous souhaitons les utiliser à d’autres fins, nous veillerons à obtenir le consentement préalable du client.
En général, les renseignements personnels des clients que nous avons ont été recueillis dans leurs interactions avec nous, notamment lors de la présentation d’une demande liée à un produit, un service, ou à une offre spéciale. Les renseignements demandés servent au traitement de leur demande. S’ils ont donné leur consentement, nous utilisons également ces renseignements pour leur offrir des produits et services qui pourraient répondre à leurs besoins précis.
Nous accordons une très grande importance au consentement. Nous employons un vocabulaire clair, simple, concis et pertinent.
Dans certains cas, les renseignements personnels des clients peuvent être partagés avec des entreprises de la RBC ou des tierces parties, toujours sous réserve des obligations légales, comme les restrictions relatives aux assurances. Cela peut nous permettre d’aider nos clients à atteindre leurs objectifs financiers. Le partage des renseignements personnels de nos clients ne se fait qu’avec leur consentement. Ceux qui ne souhaitent pas que leurs renseignements soient partagés avec nos entreprises peuvent nous le signaler. Nous pouvons également partager des renseignements personnels avec d’autres entreprises de la RBC afin de prévenir ou de détecter la fraude ou le crime et de permettre à ces entreprises de satisfaire leurs obligations réglementaires, légales, financières ou autres obligations en matière de déclaration, et uniquement en fonction de ce que permet ou exige la loi.
Nous avons également recours à des fournisseurs de services pour la prestation de services spécialisés en notre nom, comme l’impression de chèques, la distribution du courrier ou le traitement des données. Il arrive que nos fournisseurs de services soient responsables du traitement ou de la gestion des renseignements personnels. Nous leur fournissons uniquement les renseignements dont ils ont besoin pour assurer la prestation de ces services. De plus, nous exigeons de ces tierces parties qu’elles protègent les renseignements personnels d’une façon qui respecte nos propres politiques et pratiques. Celles-ci sont précisées dans nos ententes contractuelles et nous prenons des mesures pour surveiller les activités de ces tierces parties et nous assurer qu’elles satisfont ou dépassent nos normes. Si elles ne respectent pas leur accord légal ou notre code de conduite pour les fournisseurs de services, nous prenons les mesures qui s’imposent, y compris l’annulation de cette relation.
Nous partageons les renseignements personnels de nos clients avec des tierces parties uniquement en fonction des dispositions des contrats de comptes bancaires et dans des circonstances particulières pour respecter les règles stipulées par la loi ou pour aider à prévenir la fraude ou à protéger la sécurité des clients.
Notre engagement à l’égard de la protection de la vie privée s’étend jusqu’à nos services en ligne et aux nouvelles technologies que nous utilisons.
Notre politique de confidentialité pour les voies numériques s’applique aux services en ligne, mobiles et autres qui appartiennent à la Banque Royale du Canada et à ses filiales ou exploités par celles-ci.
Nous ne tenons pas pour acquis le rôle que nous jouons dans la vie de nos clients ou au pays. C’est la raison pour laquelle nous continuons de faire confiance aux nouvelles technologies et que nous menons l’innovation, tout en conservant des approches phares au sein de l’industrie pour protéger les données de nos clients. La réalité, c’est que la protection des renseignements personnels est un dossier de plus en plus complexe, non seulement pour le secteur des services financiers, mais également pour d’autres industries au Canada et ailleurs dans le monde.
Sachant cela, nous nous appliquons à maintenir les normes les plus élevées en matière de protection des renseignements personnels. Nous avons accentué notre participation dans ce secteur afin de continuer à devancer ce dossier en constante évolution. Il est essentiel pour notre réussite et la façon dont nous menons nos affaires que nous gardions la confiance de nos clients et de tous les Canadiens.
Merci. Je serai heureuse de répondre à vos questions.
Chris Bradley, avocat-conseil adjoint, Services bancairescanadiens pour les particuliers et les entreprises, Banque de Montréal (BMO) : Au nom de BMO Groupe financier, je suis heureux de me joindre à mes collègues du secteur bancaire pour discuter du projet de loi C-74 et des dispositions relatives à la collaboration des banques avec les entreprises de technologies financières.
Les banques canadiennes entrent dans une nouvelle ère passionnante où nous intégrons des avancées technologiques remarquables dans nos entreprises. Chez BMO, cela fait partie intégrante de nos efforts visant à offrir une expérience client de premier plan. Nos clients ont des attentes nouvelles et modernes sur la façon dont ils veulent être servis, et nous travaillons à dépasser ces attentes.
Les partenariats avec des tiers du domaine des technologies financières nous permettent d’atteindre cet objectif. De tels partenariats permettent de combiner les forces complémentaires des banques, comme la distribution d’envergure, les excellentes relations avec la clientèle, l’accès au capital et l’expertise réglementaire, avec la souplesse et l’agilité que confèrent ces nouvelles entreprises technologiques. Ces ententes donnent un élan bien nécessaire à l’innovation dans le secteur privé canadien. Créatrices d’idées canadiennes, ces entreprises de technologies financières pourront ainsi commercialiser leurs idées plus rapidement. Si nous y parvenons, les banques bénéficieront du développement efficace de solutions conviviales, livrées plus rapidement et à moindre coût sur le marché, ainsi que de la numérisation des processus d’affaires pour stimuler la productivité. Les entreprises du secteur des technologies financières, quant à elles, bénéficieront des capitaux et de l’accès au marché dont elles ont besoin pour proposer leurs nouveaux produits et solutions à un public plus large.
Nous félicitons le gouvernement d’avoir reconnu cette possibilité en apportant des modifications à la Loi sur les banques dans le projet de loi C-74. La possibilité de travailler avec davantage de ces entreprises donnera une impulsion encore plus grande aux banques pour commercialiser ces solutions.
Cependant, alors que nous cherchons à exploiter de tels partenariats, nous devons maintenir la confiance de nos clients et nous conformer aux lois qui régissent nos activités. La protection de la vie privée des clients est un volet absolument fondamental à nos activités. Ces changements proposés nous permettent de tisser des liens avec plusieurs types d’entreprises. Toutefois, ils ne mettent pas l’information des clients en danger. Il est important de noter que les restrictions légales qui empêchent les banques de partager des renseignements sur les clients, des restrictions qui découlent de près d’un siècle de jurisprudence et, plus récemment, des exigences de la législation sur la vie privée, demeurent solidement en place. Nos responsabilités de protéger la vie privée de nos clients ne font pas partie de la Loi sur les banques. Par conséquent, les modifications proposées dans le projet de loi C-74 n’ont aucune incidence sur ces protections.
Je tiens à rassurer les membres du comité que notre engagement envers la protection de la vie privée de nos clients est fondamental pour tout ce que nous faisons. Cela s’applique également à nos relations avec des tiers. Lorsque nous établissons une relation avec un tiers, nous le faisons à travers un processus de sélection très rigoureux. Dans ce processus, les exigences en matière de sécurité de l’information représentent l’obstacle le plus difficile auquel une tierce partie est confrontée. Lorsque ces entreprises ne satisfont pas à nos propres obligations en matière de sécurité de l’information, nous ne concluons aucun accord avant, et à moins qu’elles le fassent. Cet examen se poursuit au-delà de la conclusion d’un accord de partenariat, étant donné que nous avons le droit d’inspecter les dispositions de sécurité d’une entreprise pendant toute la durée du contrat.
Monsieur le président, BMO s’engage à respecter et à protéger la confidentialité des renseignements personnels que nous confient nos clients. Vous pouvez être assuré que les modifications proposées par le gouvernement n’affecteront pas cet engagement ou n’exposeront pas les renseignements des clients à quelque risque que ce soit. Au nom de BMO, je suis heureux d’être ici aujourd’hui et, avec mes collègues du secteur bancaire, je serai heureux de répondre à vos questions.
Dave Bruyea, vice-président principal et responsable de la sécurité des systèmes d’information, Banque Canadienne Impériale de Commerce (CIBC) : Je m’appelle Dave Bruyea. Je suis ici en ma capacité de vice-président principal et responsable de la sécurité des systèmes d’information à la CIBC.
Je tiens d’abord à remercier le comité pour cette occasion qui m’est offerte de m’exprimer sur la sécurité des renseignements et la protection des renseignements personnels dans le contexte de la section 16 du projet de loi C-74. Dans le cadre de mes responsabilités, je supervise et gère le risque et les services de sécurité, ainsi que les normes et politiques qui protègent les fonds et systèmes d’information de la CIBC, y compris les renseignements personnels de nos clients et leurs données.
Aujourd’hui, mon exposé portera principalement sur la sécurité des renseignements personnels et les mesures de frein et contrepoids que nous avons mis en place afin d’assurer l’intégrité des données de nos clients, notamment lorsque nous faisons affaire avec des tierces parties.
À la CIBC, la sécurité des renseignements et la protection de la confidentialité des renseignements personnels sont essentielles et intégrales à la relation de confiance avec nos clients. Notre réputation et la force de nos relations avec nos clients dépendent de la façon dont nous, en tant qu’entreprise, traitons et respectons à la fois les renseignements qui nous appartiennent et ceux que nous confient nos clients, employés et partenaires d’affaires. C’est la raison pour laquelle nous avons mis en place des programmes rigoureux pour protéger nos renseignements organisationnels et les renseignements personnels de nos clients, ainsi que des politiques solides pour régir la façon dont nous traitons ces renseignements.
À titre d’exemple, afin de faire preuve de transparence auprès des clients qui nous ont confié leurs renseignements personnels, notre politique de confidentialité précise les circonstances limitées dans lesquelles des renseignements personnels peuvent être partagés. Par exemple, nous pouvons partager des renseignements personnels sur un client, avec son consentement, lorsque celui-ci participe à un programme partenaire, comme un programme de récompense de cartes de crédit.
Il est également important de reconnaître que les banques travaillent dans un environnement hautement réglementé. Par conséquent, les règles relatives aux références et au partage ou au traitement des renseignements avec une entreprise du secteur de la technologie financière, notamment, sont bien consacrées dans notre cadre réglementaire, y compris la ligne directrice B10 du BSIF qui exige un examen des tierces parties avant la conclusion de tout contrat. Soyons clairs : les modifications proposées à la Loi sur les banques dont nous discutons aujourd’hui ne changent en rien les obligations qu’ont les banques de sécuriser les renseignements personnels des clients, soit elles-mêmes ou par l’entremise des tierces parties qui conservent ces renseignements pour elles. Les exigences solides actuelles auxquelles les banques sont assujetties lorsqu’elles concluent des contrats avec une tierce partie, ou lorsqu’elles recommandent un client à une tierce partie, demeurent les mêmes. Je vais terminer mon exposé en précisant que la mesure législative proposée ne permet pas à une banque d’en faire davantage en matière d’assurance. Ces restrictions n’ont pas été modifiées, et nous ne souhaitons pas qu’elles le soient. Les modifications proposées ne permettent aucunement à une banque de faire directement ou indirectement ce qu’elles ne peuvent pas faire actuellement conformément à l’article 416 de la Loi sur les banques.
Merci. Je suis impatient de répondre à vos questions.
Le président : Merci. Avant de passer aux questions des membres, j’aimerais vous présenter le sénateur Tannas, de l’Alberta, le sénateur Dagenais, du Québec et le sénateur Tkachuk, de la Saskatchewan.
La sénatrice Stewart Olsen : Merci pour ces exposés très instructifs. Je comprends la rigueur avec laquelle les banques protègent les renseignements de leurs clients.
Parlons de ces nouveaux règlements et de cette nouvelle capacité de partage d’information avec des tierces parties. Vous dites que vous n’allez pas conclure de contrats, notamment, mais je ne suis pas convaincue que ce soit possible en raison des changements technologiques d’aujourd’hui. Comme vous le dites, la technologie évolue rapidement. Je sais que vous abordez la question du point de vue de la sécurité. Je ne suis pas convaincue qu’il ne soit pas nécessaire pour vous de modifier votre état d’esprit et de revoir la façon dont vous abordez la situation.
Ensuite, il y a la question d’informer vos clients. Je sais que de nos jours, ceux qui souhaitent ouvrir un compte, par exemple, se rendent dans une succursale et doivent signer des documents. Personnellement, j’ignorais qu’en signant lesdits documents, j’autorisais la banque à partager mes renseignements avec d’autres entreprises et des entreprises du secteur de la technologie financière.
J’aimerais savoir si vous étudiez la possibilité de faire signer aux clients un formulaire de consentement lorsqu’ils souhaitent utiliser vos services. Lorsque vous partagez les renseignements personnels des clients, est-ce que vous dites régulièrement à vos clients avec qui vous partagez leurs renseignements?
Par exemple, si vous signez un nouveau contrat, le dites-vous à vos clients et leur demandez-vous s’ils acceptent que leurs renseignements personnels soient partagés?
Je vais m’arrêter ici avec ces trois questions.
Je ne veux pas prendre tout le temps que nous avons. Donc, si vous pouviez nous fournir des réponses brèves, je vous en serais reconnaissante. Je suis désolée si j’ai pris trop de temps.
Le président : Commençons par vous, madame Shonaman, et nous procéderons en sens inverse la prochaine fois.
Mme Shonaman : Je serai heureuse de répondre d’abord, et mes collègues pourront ajouter à ma réponse, s’ils le souhaitent. Nous sommes préoccupés par la rapidité avec laquelle la technologie évolue, et ce, dans toutes les industries de la consommation. Nos clients nous demandent des services qui satisfont à leurs besoins et s’attendent à ce que nous leur offrions de tels services. Nous croyons qu’il est important pour nous de ne pas nous arrêter là. Nous évaluons constamment la façon dont notre politique de confidentialité évolue, ainsi que les différentes façons dont nous communiquons avec nos clients, et dont nous abordons avec eux la question de la confidentialité.
Pour répondre à votre deuxième question, nous avons examiné tous nos textes en fonction de notre conformité à la nouvelle loi de l’Union européenne sur la protection des renseignements personnels. Nous entrevoyons des possibilités et avons apporté des modifications pour expliquer plus clairement à nos clients comment nous utilisons leurs données. Ces informations sont disponibles sur notre site web, ainsi qu’auprès du personnel des succursales ou des agents du centre de conseils. Enfin, je dirais qu’il faut trouver un équilibre entre la quantité d’informations que nous fournissons à nos clients et notre capacité à assurer la prestation de nos services. Les clients ne souhaitent pas être toujours en communication avec leur banque. Au fur et à mesure que nous progressons dans ce dossier, que les choses se précisent, que les attentes changent et que les gens sont plus sensibilisés, ce que nous souhaitons, nous sommes prêts à avoir ces discussions. Nous sommes prêts à trouver des façons d’être plus précis sur la façon dont nous partageons les renseignements des clients et avec qui. Nous sommes ouverts à avoir cette conversation. Pour le moment, nous utilisons du langage plus général pour aider les gens à comprendre les raisons pour lesquelles nous partageons leurs renseignements et la quantité très limitée de renseignements que nous fournissons aux tierces parties.
Mme Stubbington : Je suis d’accord sur toute la ligne avec ma collègue. Nous croyons en un consentement utile et informé. Nous savons que nos clients doivent comprendre comment et pourquoi nous utilisons leurs renseignements personnels. Cela signifie que nous, aussi, devons comprendre comment et pourquoi ces renseignements sont utilisés.
Nous demeurons à l’affût des changements technologiques, au fur et à mesure que ceux-ci surviennent et nous sommes transparents à cet égard avec nos clients. Nous fournissons sur notre site web des renseignements en langage clair qui précisent ce que nous faisons avec les renseignements personnels des clients, et qui sont les tierces parties avec lesquelles nous partageons ces renseignements, y compris les entreprises du secteur des technologies financières.
Nous procédons de la sorte pour que les clients puissent comprendre et pour nous permettre de rester à jour sur les attentes et besoins financiers de nos clients.
M. Henry : Je suis d’accord avec les propos de mes collègues et, afin de ne pas répéter ce qui a été dit, je vais adopter un angle différent pour vous répondre. Notre entreprise s’appuie sur la confiance. En ce sens, la protection de la sécurité et la bonne santé de l’ensemble du système sont essentielles à nos activités. Il s’agit de notre principal facteur de motivation. Il est dans notre meilleur intérêt de nous assurer que nos partenaires et ceux avec qui nous travaillons respectent les mêmes normes élevées que nous, car en prenant soin de nos clients de la sorte, c’est l’ensemble de l’entreprise qui en profite.
M. Bradley : C’est exact. Je suis d’accord avec mes collègues. Si nous établissons une relation avec une entreprise du secteur des technologies financières pour que celle-ci fournisse un service à nos clients — par exemple, certaines banques établissement des relations avec des entreprises qui se spécialisent dans les prêts aux petites entreprises —, nous obtenons le consentement de nos clients avant de partager leurs renseignements personnels avec l’entreprise en question.
M. Bruyea : J’ajouterais simplement une chose en ce qui a trait au contexte de la cybersécurité. Il ne fait aucun doute que ce contexte évolue constamment et devient de plus en plus dangereux. Tant à l’interne qu’avec les établissements avec lesquels je travaille, ainsi que le gouvernement, nous passons beaucoup de temps à identifier les menaces au système bancaire, à nos produits et à nos services et à concevoir des contremesures pour rester à jour en ce qui a trait à ces risques.
La sénatrice Stewart Olsen : Je sais que c’est ce que vous faites, mais je ne suis pas convaincue que les entreprises du secteur des technologies financières en font autant. Merci beaucoup.
Le sénateur Marwah : Merci pour ces exposés. Vous avez tous été très clairs.
Le comité a eu plusieurs discussions qui ont poussé les membres à avoir l’impression que les entreprises du secteur des technologies financières ne sont pas réglementées par les lois canadiennes sur la protection des renseignements personnels. En fait, si vous partagez des renseignements personnels avec une entreprise de ce secteur, elle peut en faire ce qu’elle veut. Outre la question de la confidentialité, elle pourrait mener des activités qui, comme l’a déjà dit le sénateur Tannas, leur permettraient de faire par la porte arrière ce qu’elles ne peuvent pas faire par la porte de devant, comme vendre des assurances. Vous dites que cela ne serait pas permis, que vous ne pourriez pas mener ce genre d’activités. J’aimerais vous entendre sur la question de la confidentialité et sur les autres choses que peuvent faire ces entreprises du secteur des technologies financières.
Mme Stubbington : Je serai heureuse de répondre d’abord. Pour être bien claire, les entreprises du secteur des technologies financières sont assujetties aux lois canadiennes sur la protection des renseignements personnels. Dans la mesure où elles mènent des activités commerciales au niveau fédéral au pays, elles sont assujetties à la LPRPDE et dans la mesure où elles mènent des activités dans une province qui dispose de sa propre législation sur le sujet — je parle précisément de l’Alberta, de la Colombie-Britannique et du Québec —, elles devraient respecter ces lois et elles seraient assujetties aux lois sur la protection des renseignements personnels.
Nous sommes convaincus qu’elles doivent respecter les lois sur la protection des renseignements personnels.
Le président : Est-ce que quelqu’un a quelque chose à ajouter?
Mme Shonaman : J’ajouterais que notre industrie est hautement réglementée et est assujettie à la supervision du BSIF. Nous sommes responsables de l’utilisation de bout en bout des données, sans égard aux participants à la chaîne d’approvisionnement et à leur nombre. Nous sommes responsables de l’utilisation du début à la fin. C’est à cela que servent nos efforts.
M. Bruyea : Lorsque nous créons les ententes d’échange des renseignements entre la banque et les tiers, nous tenons compte de la portée et de l’utilisation de l’information afin qu’elle serve uniquement à l’activation des services et à l’établissement d’une relation.
Le sénateur Marwah : Comment contrôlez-vous les activités réalisées par les entreprises de technologie financière; celles que vous ne pouvez pas réaliser directement? Comment veillez-vous à ce que cela ne se produise pas?
M. Henry : Monsieur le président, je serai heureux de répondre à cette question et à votre deuxième question, sénateur Marwah, au sujet de l’assurance. Je crois qu’il est important d’être très clair. En vertu de l’article 416, qui n’est pas modifié, les banques ne peuvent transmettre directement ou indirectement, par l’entremise d’une quelconque filiale ou société affiliée, quelque renseignement que ce soit au sujet d’un client qui pourrait être utilisé pour la promotion de produits d’assurance. Rien de cela ne va changer; nous ne demandons pas de modification à cet égard.
Pour élargir la question, comme vous l’avez fait, nous obtenons le consentement pour une utilisation précise des renseignements du client, que nous pouvons transférer à cette fin précise aux termes d’un contrat. Ce contrat est assujetti à la surveillance du BSIF, qui veille à ce que nous travaillons de manière appropriée avec ce tiers.
Le président : Quelqu’un veut-il ajouter quelque chose? Sénateur Tannas, avez-vous une question supplémentaire?
Le sénateur Tannas : Mme Shonaman a dit qu’elle croyait qu’il fallait respecter ces mêmes normes. À mon avis, c’est une obligation, pas une croyance; non?
Mme Shonaman : Je parlais d’un point de vue culturel. C’est ce que nous croyons. C’est la vérité. C’est vrai sur le plan légal, en vertu de nos accords et en vertu de la loi, mais c’est notre sentiment également.
M. Bradley : Comme l’ont fait valoir mes collègues, les entreprises de technologie financière sont régies par la Loi sur la protection des renseignements personnels et nous avons des contrats avec ces entreprises. C’est très clair. C’est prévu dans les contrats et nous prenons la chose très au sérieux. Dans son étude sur les entreprises de technologie financière, le Bureau de la concurrence fait valoir que l’un des plus grands défis auxquels sont confrontées les entreprises de technologie financière, avant de traiter avec une banque, c’est le respect de nos exigences en matière de sécurité. Le BSIF scrute les banques à la loupe pour veiller à ce qu’elles fassent la bonne chose.
Le sénateur Wetston : Le commissaire à la protection de la vie privée était ici, hier. Je suis certain que vous avez eu l’occasion de réfléchir à son témoignage.
Les services bancaires représentent une entreprise très complexe qui touche de nombreux domaines d’activité. Il y a aussi les clients.
Le commissaire à la protection de la vie privée publiera bientôt ses lignes directrices relatives au consentement des clients. Je suppose qu’elles s’appliqueront également aux clients des banques. Je ne crois pas qu’elles aient été publiées. Vous avez peut-être discuté de ces lignes directrices avec le commissaire. Qu’en pensez-vous?
Mme Shonaman : Nous avons participé à l’élaboration des lignes directrices avec le Commissariat à la protection de la vie privée, par l’entremise de l’Association des banquiers canadiens. Les lignes directrices nous aident dans nos activités parce qu’elles établissent clairement les attentes réglementaires. Nous prenons ces lignes directrices très au sérieux. Elles n’ont pas à avoir force de loi pour que nous voulions nous y conformer.
Le sénateur Wetston : Avez-vous d’autres idées? Ma question était trop simple pour vous, donc.
M. Bruyea : La tendance mondiale vise à modifier et à mettre à jour les lois en matière de protection de la vie privée afin qu’elles suivent l’évolution de l’innovation. Nous nous attendrions à travailler avec le commissaire à la protection de la vie privée à la mise à jour de la LPRPDE également.
Le sénateur Wetston : Merci. Lorsque je pense à la protection des renseignements personnels, je pense aussi à la sécurité des données. J’ai parfois de la difficulté à faire la distinction entre les deux.
Vous êtes des professionnels, alors vous devez connaître la différence. La protection des renseignements personnels représente un volet, tandis que la sécurité des données en représente un autre.
Je sais que nous examinons la section 16 de la partie 6 du projet de loi. Selon mon expérience relative à l’examen des marchés financiers… et je crois que lorsqu’on voit ce qui se passe dans les services financiers, avec les robots-conseillers, la technologie de chaîne de blocs, les entreprises de cybersécurité qui offrent leurs services aux banques, les enjeux relatifs à la prestation de ces services et à la sécurité de ces entreprises, l’intelligence artificielle et tout cela... Le but, c’est d’offrir une plus grande souplesse aux institutions financières afin qu’elles réalisent plus d’activités de technologie financière et qu’elles offrent des services financiers novateurs.
Qu’est-ce que cela signifie?
M. Henry : Je crois, monsieur le sénateur, que nous voulons créer une nouvelle valeur pour les clients. Chaque jour, nous faisons de nouvelles découvertes numériques que nous n’aurions jamais imaginées quelque temps auparavant. Nous voulons intégrer ces expériences au monde des services financiers afin de rendre les transactions bancaires plus faciles pour les Canadiens, et de leur offrir une valeur ajoutée. Tout cela respecte le cadre établi en matière de protection des renseignements personnels et de sécurité des données, pour lequel nous déployons des efforts considérables.
Le sénateur Wetston : La technologie présente des avantages, mais aussi des risques. Est-ce que vous créez plus de risques?
Monsieur Bradley, vous alliez répondre à la question également. Vous pourriez prendre la parole.
M. Bradley : Ma réponse est non; nous ne créons pas plus de risques. Il est important de comprendre que nous avons déjà le pouvoir de traiter avec les entreprises de technologie financière. C’est ce que nous faisons et c’est de cela que parlait le Bureau de la concurrence dans son étude sur les entreprises de technologie financière.
La loi proposée vise uniquement à modifier ce que nous sommes déjà autorisés à faire, en nous permettant par exemple de traiter avec les entreprises de technologie financière non seulement dans le monde des services financiers, mais aussi en vue d’utiliser la technologie afin d’offrir des services plus vastes, ce qui est important pour favoriser l’innovation dans l’industrie canadienne. Les normes qui régissent nos rapports avec les entreprises de technologie financière ne changeront pas. Nous allons seulement pouvoir traiter avec un éventail d’entreprises un peu plus large.
M. Bruyea : J’ajouterais, monsieur le sénateur, que les politiques sur la protection de la vie privée établies au fil des années au Canada prévoient des principes immuables. Il en va de même pour la sécurité des données. Il y a des principes immuables auxquels on ne doit jamais contrevenir. La façon d’établir les contremesures pour protéger les données des consommateurs change, mais les principes et la façon d’aborder les questions relatives à la culture, aux clients et aux processus dans nos accords de partenariats demeurent les mêmes.
La sénatrice Ringuette : Tout d’abord, je tiens à vous remercier de votre présence, et à remercier le président d’avoir invité les représentants de nos institutions financières à témoigner devant nous plutôt que les représentants de l’Association des banquiers canadiens, qui nous parlent en votre nom depuis 12 ans. J’en suis heureuse.
Je comprends que vous avez investi — et que vous continuez d’investir — massivement dans la cybersécurité. Toutefois, la section 16 de la partie 6 du projet de loi représente une toute nouvelle possibilité pour les institutions financières du Canada. Elle accroît la capacité des institutions financières.
Cette toute nouvelle disposition vous permet d’établir des partenariats avec les entreprises de technologie financière, d’en être propriétaires et d’investir dans ces entreprises. Elle contient un langage précis au sujet des données, qui sont nos renseignements financiers personnels.
Nous avons reçu le commissaire à la protection de la vie privée, qui n’a pas été consulté au sujet de cette nouvelle disposition et ne voit pas d’équilibre entre vos nouveaux pouvoirs et la confidentialité des renseignements.
Hier, nous avons reçu deux témoins de la Banque du Canada, qui respectent avec grand soin les divers processus systémiques des institutions financières et qui souhaiteraient voir un équilibre entre l’innovation dans le secteur et la confidentialité des renseignements.
Nous avons aussi entendu parler de l’obligation de l’Union européenne en matière de protection de la vie privée, voulant que les institutions financières et toutes les autres entités commerciales de l’Europe obtiennent le consentement d’une personne chaque fois qu’elles souhaitent transmettre ou manipuler ses données.
Le président : Pouvez-vous poser votre question, s’il vous plaît? Je sais que vous y arrivez.
La sénatrice Ringuette : Au bout du compte, tout va bien, vous avez des codes et des politiques. En fait, j’ai ici devant moi la politique de la Banque Royale. Elle a 75 pages. Je ne l’ai pas signée, mais c’est votre politique, et puisque je suis une cliente de votre banque, je suis visée par cette politique.
Pourquoi vous opposeriez-vous à accroître la sécurité et la confiance à l’égard des diverses entités financières par l’entremise d’un amendement présenté par le commissaire à la protection de la vie privée permettant aux Canadiens qui ont recours aux services de votre institution financière de savoir que leurs renseignements ne sont pas transmis sans leur consentement?
Est-ce une bonne question, monsieur le président?
Le président : Oui. Les témoins peuvent y répondre.
M. Henry : Je serai heureux de répondre en premier et j’inviterais les autres à se joindre à moi. Vous avez abordé de nombreux sujets, sénatrice Ringuette. Je vais essayer d’y répondre de façon générale. Il ne faut pas oublier que ce n’est pas une nouvelle possibilité. Les banques peuvent déjà établir des partenariats avec les entreprises de technologie financière. Nous tentons de moderniser les dispositions de la Loi sur les banques que je qualifierais d’anachroniques, afin de faire tomber quelques obstacles. C’est pour le bien du Canada. Nous avons à cœur le rôle que nous jouons dans le tissu social et économique du pays. Nous croyons que cela reflète le programme d’innovation du Canada.
Je dirais aussi que cette possibilité respecte le cadre actuel en matière de protection de la vie privée au pays. Je crois qu’il ne faut pas confondre ce qui se trouve dans la Loi sur les banques avec la réglementation distincte en matière de protection de la vie privée, qui est déjà robuste. En fait, vous avez cité l’Europe en exemple, et je tiens à souligner que le contrôleur européen de la protection des données vient tout juste de reconnaître officiellement le caractère adéquat du cadre de protection de la vie privée du Canada.
Nous sommes, tout à fait, ouverts et heureux, en fait, d’engager le dialogue avec tous les organismes de réglementation sur la façon d’avancer au Canada. Nous croyons que nous le faisons dans l’intérêt du pays.
Le sénateur Tkachuk : Dans le cadre de cette discussion, j’aimerais savoir ce qu’apportent les entreprises de technologie financière aux banques. Pourquoi voulez-vous établir des partenariats avec elles? Quels sont les avantages pour les clients? Je fais affaire avec deux de vos banques. C’est important pour moi.
M. Bradley : Je peux essayer de répondre à la question en premier. Nous nous associons aux entreprises de technologie financière dans le but d’améliorer la relation du client avec la banque. Nous savons qu’il y a certaines choses que la banque ne peut pas faire ou ne peut pas faire aussi bien que d’autres entreprises, comme celles de technologie financière. Si nous pouvons établir une relation et offrir à notre client — s’il le souhaite — la possibilité de collaborer non seulement avec nous, mais aussi avec une entreprise de technologie financière que nous avons engagée, alors nous allons améliorer notre relation avec le client. C’est la principale raison.
Le sénateur Tkachuk : Comme quoi? Donnez-moi un exemple.
M. Bradley : J’ai parlé plus tôt d’une entreprise de technologie financière qui a une expertise dans les prêts aux petites entreprises et qui pourrait collaborer avec une banque afin d’accroître le nombre de prêts à ces entreprises, ce que la banque, seule, n’aurait pas fait.
Le sénateur Tkachuk : Je ne comprends pas ce que vous voulez dire. Toutes les banques prêtent aux petites entreprises. Elles ont une expertise à cet égard. Elles le font toutes très bien à ce que je sache. Qu’est-ce qu’une entreprise de technologie financière peut apporter de différent, qui soit au-delà de votre sphère d’activité, et qui puisse profiter au client? Comment est-ce que cela fonctionne exactement?
M. Bruyea : Il y a une entreprise qui s’appelle SecureKey sur le marché canadien. SecureKey vise la fédération de l’identité. Elle offre un service public qui crée un équivalent moderne à la disposition de la loi sur les lettres de recommandation, afin d’en faire plus avec nos clients par voie électronique. Il ne s’agit pas d’une activité primaire des banques. Cela nous permet de moderniser une partie de notre processus afin de permettre aux clients de faire des affaires beaucoup plus facilement, par exemple.
Mme Shonaman : Parfois, les entreprises de technologie financière se centrent sur les événements de la vie comme l’arrivée d’un bébé, le mariage ou l’achat d’une maison. Ces fournisseurs d’applications réunissent les fournisseurs de services pour permettre aux gens d’accéder facilement à ce qu’ils veulent, au moment choisi. Dans le domaine des services financiers, il peut s’agir d’une entreprise qui offre un tableau de bord financier, qui analyse les tendances des transactions d’un client pour lui fournir des conseils et des renseignements sur les possibilités d’épargne, sur l’avantage de placer son argent dans un REER ou dans un CELI, ce genre de choses. Ce ne sont que des exemples.
Le sénateur Tkachuk : Vous m’avez perdu. Qu’est-ce que cela signifie exactement pour moi, en tant que consommateur? Qu’est-ce que tout cela veut vraiment dire? Je ne comprends pas ce que vous dites. Soyez clair.
M. Henry : Je vais commenter ces exemples de façon générale. Je crois que ces entreprises nous offrent une perspective nouvelle sur une partie précise de nos activités. Alors que nous tentons d’offrir des services de bout en bout à nos clients, nous pouvons parfois trouver des partenaires qui offrent une nouvelle perspective, qui approfondissent certaines questions. Il peut s’agir de questions de sécurité…
Le sénateur Tkachuk : Si je veux acheter une voiture, est-ce qu’il y a des gens mieux placés que vous pour m’aider? Comment est-ce que cela fonctionne?
M. Henry : Je crois que nous sommes assez bons dans le financement de l’achat d’un véhicule. Ce que nous voulons, ce sont de nouvelles idées, un autre point de vue. Chris a parlé au début de la réunion de créer de la valeur pour nos clients dans le cadre de nos activités principales. Si nous trouvons des entreprises qui se spécialisent dans un certain domaine et qui font les choses mieux et plus rapidement que nous, et que nous offrons leurs services à nos clients afin qu’ils profitent de leur valeur, alors c’est bon pour tout le monde.
Le sénateur Tkachuk : D’accord. Je ne sais pas si on a répondu à la question.
Le sénateur Tkachuk : Je ne miserais pas là-dessus pour acheter un bien. Ils savent peut-être quelque chose que je ne sais pas.
Le président : Merci, monsieur le sénateur. Je suppose, d’après vos commentaires, que cela améliore votre position concurrentielle.
M. Henry : Oui.
Le président : D’accord. C’est bien. Personne ne fait de critique. Bien que vous vouliez satisfaire la clientèle, vous voulez aussi veiller à la prospérité de votre entreprise, à sa croissance, à l’innovation, et cetera.
Mme Shonaman : C’est important pour nos clients.
Le président : Personne ne critique.
Le sénateur Tkachuk : Je ne suis pas en train de critiquer qui que ce soit; j’essaie simplement de comprendre. Tout en faisant appel à ces services, les banques vont rendre accessible de l’information au sujet de leur clientèle. Je veux savoir qui aura accès à ces renseignements. Vous parlez des entreprises de technologie financière. Qu’est-ce que cela signifie exactement? De quel genre d’entreprises s’agit-il? Que font au juste ces entreprises? J’estime important que nous le sachions. On ne m’a pas vraiment répondu à ce sujet. Je pense qu’il est primordial que nous soyons au courant si nous voulons protéger aussi bien la sécurité des clients des banques que ma propre sécurité et celle de tous les Canadiens.
Le président : Vous soulevez un point important, sénateur Tkachuk. Je veux m’assurer que nos témoins saisissent bien ce que le sénateur Tkachuk est en train de dire. Il ne comprend pas pour quelle raison vous faites appel à ces entreprises de technologie financière et il n’a pas l’impression que vous avez répondu à sa question à ce sujet. Est-ce bien cela, sénateur Tkachuk?
Le sénateur Tkachuk : Tout à fait.
Le président : Est-ce que vous voulez tenter une nouvelle explication ou est-il préférable que nous passions à la prochaine question?
M. Henry : Nous devrions essayer de tirer les choses au clair. Il serait sans doute préférable que je cite des exemples précis pour illustrer ma réponse générale. David a donné tout à l’heure l’exemple des prêts aux petites entreprises. À la Banque Scotia, nous avons établi un partenariat avec une entreprise pour essayer de voir s’il n’y avait pas une manière de consentir plus rapidement ces prêts aux petites entreprises afin qu’elles aient accès sans tarder aux capitaux dont elles ont besoin pour améliorer leurs opérations. Ce faisant, ces entreprises apprécieront davantage les services de notre banque et continueront de faire affaire avec nous.
Nous avons constaté avec ce partenariat qu’il nous était possible d’offrir le même service plus rapidement et en moins d’étapes. Nos clients bénéficiaient ainsi de la diligence recherchée dans le cadre d’une expérience plus intégrée et harmonieuse. Nous avions, de ce fait, gagné en efficience financière tout en voyant nos clients plus heureux.
Le sénateur Tkachuk : Voilà qui est mieux.
Le président : C’est tout à fait logique. Est-ce que quelqu’un veut encore ajouter quelque chose ou est-ce que nous passons à un autre sujet?
Mme Shonaman : Vous avez parlé de l’achat d’une voiture. Nous pourrions travailler en partenariat avec une entreprise de technologie financière qui pourrait vous renseigner sur la valeur de votre voiture à n’importe quel moment, pour le cas où vous voudriez la revendre. Nous pourrions offrir le même service pour une résidence. Si vous voulez connaître la valeur de votre maison, nous pourrions établir un partenariat avec une firme, ayant accès à toutes ces données et vous en faire bénéficier, à titre de client de la banque.
Le sénateur Tannas : Il est bien évident que nos banques canadiennes visent toujours l’excellence. J’ai toujours suivi avec grand intérêt votre évolution tout au long de ma carrière.
Il est également évident qu’il y aura de plus en plus d’interrelations avec les entreprises de technologie financière, tant pour les services que pour la sous-traitance. Il y a une préoccupation que j’ai déjà soulevée à ce sujet. Il s’agissait de la sous-traitance d’un service pour le financement des hypothèques. Le mandat a été confié à une entreprise de technologie financière qui est également propriétaire d’une compagnie d’assurance titres. À mes yeux, cela montre un peu ce que l’avenir nous réserve. Alors qu’il y a actuellement des limites bien établies pour les compagnies d’assurances et les banques, nous nous en remettons à cette entreprise de technologie financière pour qu’elle veille à ne pas se trouver en situation de conflits d’intérêts et qu’elle respecte les règles de la Loi sur les banques. Il y a aussi des partenariats pour les produits dans le même contexte.
Selon moi, si les choses tournent à la catastrophe, ce sera en raison d’un problème de contrepartie. La culture des banques les met à l’abri d’une telle situation, mais ce sera le fait de l’un de vos partenaires, qu’il s’agisse d’un problème de piratage ou d’une infraction à la loi régissant vos activités. Je dirais que c’est une possibilité que l’on ne peut pas balayer du revers de la main.
Il est possible que vous ne soyez pas d’accord. Peut-être que ces entreprises sont plus sécuritaires que vos banques, mais j’en doute. Si vous êtes d’accord, pouvez-vous nous confirmer que vous menez des audits internes tout aussi rigoureux dans le cadre de vos partenariats avec ces entreprises de technologie financière? Je suis, en effet, persuadé que les contrats établis vous permettent d’envoyer vos vérificateurs internes mener des audits sur les activités de ces entreprises. J’espère vous entendre dire que vous en faites davantage en matière de vérification interne et de surveillance auprès des entreprises de technologie financière qu’au sein de votre propre écosystème.
M. Bruyea : Merci, sénateur. Je dois d’abord vous rappeler une chose que nous avons établie clairement ici aujourd’hui. Nous ne faisons guère de différence entre les situations où nous détenons nous-mêmes l’information et celles où elle se retrouve ailleurs, au sein de la chaîne logistique. Cela ne change rien pour le client. Nous avons mis en place un processus très rigoureux pour bien cerner tous les risques associés à la gestion et à l’utilisation de l’information dans l’ensemble de notre chaîne logistique. Ce processus rigoureux s’appuie sur le modèle de ligne de défense E21, une ligne directrice établie par le BSIF, qui guide chaque organisation quant aux moyens à prendre pour que ses processus de gouvernance interne permettent de composer avec différents éléments comme la gestion du risque, la cybersécurité et la gestion des fournisseurs. Cette ligne directrice…
Le sénateur Tannas : Je vois. Est-ce que le BSIF peut vous demander dans quelle mesure vous êtes intervenu activement pour la gouvernance d’un certain fournisseur de services?
M. Bruyea : Certainement. En fait…
Le sénateur Tannas : Ils peuvent vous demander de leur montrer vos dossiers pour savoir par exemple quelles réunions vous avez tenues ou quelles procédures vous avez mises en place aux fins des audits internes?
M. Bruyea : Le BSIF est très actif à ce chapitre. Ainsi, des examens ont été menés très récemment, soit au cours des derniers mois, relativement aux risques associés aux tierces parties au sein de la chaîne logistique. Le BSIF soumet les banques à un processus très rigoureux. J’ajouterais que dans le cadre des échanges, qui ont cours davantage à l’échelle du G7 depuis Davos, toute cette question de la gestion des risques associés à la chaîne logistique et aux tierces parties s’inscrit dans les enjeux de premier plan. Il faut commencer à aborder certaines de ces questions dans une perspective internationale. On discute maintenant de ces enjeux dans les plus hautes sphères.
Le sénateur Tannas : Dans votre domaine, il y a des tendances passagères qui voient les instances réglementaires mettre l’accent temporairement sur un aspect en particulier. Où en est-on rendu exactement avec cette question des risques associés aux tierces parties dans la chaîne logistique? En est-on à l’étape où tout le monde commence à s’y intéresser? Sommes-nous rendus en plein cœur de ce processus? Approchons-nous de la fin, c’est-à-dire que tout a été réglé et que les différentes mesures sont en place? Où en sommes-nous, à votre avis?
M. Henry : Je vais vous dire comment je perçois les choses. Outre la sélection d’une tierce partie et l’établissement d’un contrat avec celle-ci, deux activités soumises à l’examen du BSIF, celui-ci s’attend également à un maintien en continu des activités de contrôle et de vérification dans le cadre de ce que les banques appellent le modèle à trois lignes de défense. La première ligne est celle de l’entreprise elle-même qui doit s’intéresser à ces questions dans un pur souci de saine administration. Ce travail est contrevérifié par une deuxième ligne de défense au sein de l’organisation dans le cadre de ce qu’on appelle généralement, la gestion du risque. Le processus d’audit de la banque intervient ensuite à titre de troisième ligne de défense. C’est donc un mécanisme très efficace qui entre en action en pareil cas. Il s’agit d’abord pour l’entreprise de se demander dans quelle mesure sa réputation pourrait être affectée, et tout s’enclenche par la suite. Chaque étape du processus est soumise à l’examen du BSIF. C’est une façon de faire, qui gagne en efficacité au fil des ans. Chaque banque a ses propres mesures pour gérer les risques opérationnels en plus des risques liés au crédit. Le BSIF exige de nous, par ailleurs, que nous répertoriions les risques financiers auxquels nous sommes exposés, ce qui comprend ceux associés à la gestion des tierces parties. Nous devons indiquer quelles mesures nous prenons à cette fin et fournir des preuves de leur mise en œuvre concrète pour chacune des tierces parties avec lesquelles nous traitons sur une base régulière.
Le sénateur Tannas : Êtes-vous en mesure de nous confirmer que vos audits sont, tout au moins, aussi rigoureux qu’ils le sont pour vos propres divisions et activités ailleurs dans l’organisation?
M. Henry : Pour tous ceux avec lesquels nous traitons, le seuil est effectivement le même que pour nos propres activités.
La sénatrice Unger : Merci à tous nos témoins pour vos exposés très intéressants ainsi que pour vos excellentes réponses et explications.
Il a été question du G7 et de l’Union européenne. On peut lire dans un récent rapport de Privacy International au Royaume-Uni intitulé Fintech Privacy and Identity in the New Data-Intensive Financial Sector qu’il y a eu une croissance colossale de la quantité et de la variété des données recueillies par les institutions financières au sujet de leurs clients. On y ajoute que l’identité financière est désormais établie à partir de nombreuses nouvelles sources de données.
Je ne sais pas si vous pourriez nous dire ce qu’il en est dans le contexte canadien. Y a-t-il eu forte croissance de la quantité de données recueillies par les institutions financières canadiennes? D’une manière générale, est-ce que les gens sont conscients que les institutions financières recueillent des données semblables, qui peuvent comprendre des relevés des appels téléphoniques et des textos? Il arrive même que des données soient recueillies sans que le client utilise son téléphone ou les services offerts.
Je me demande si les banques canadiennes anticipent cet afflux de données additionnelles, qui sont recueillies par les entreprises de technologie financière au Royaume-Uni ou dans les pays de l’Union européenne? Pouvez-vous nous dire ce qu’il en est?
M. Henry : Il faut d’abord que l’on soit tenu, madame la sénatrice, d’obtenir du client son consentement éclairé quant aux données, qui sont emmagasinées et aux utilisations que l’on compte en faire. Nous nous efforçons d’être aussi transparents que possible envers nos clients à ce sujet. Je crois que nous nous rendons tous effectivement compte qu’il y a de plus en plus de données qui sont produites et recueillies de par le monde. C’est une obligation que nous prenons donc très au sérieux.
Si je pense aux pratiques de la Banque Scotia, nous nous assurons de discuter régulièrement de ces questions avec un échantillon de notre clientèle représentant un éventail de perspectives différentes. Nous avons mis en place des systèmes permettant de maintenir ce dialogue et de consigner les renseignements et commentaires obtenus de nos clients. Je vous dirais qu’il semble effectivement que notre clientèle apprécie les nouvelles formes de valeur ajoutée pouvant découler de cet exercice, et que bon nombre de nos clients souhaitent en bénéficier. Parallèlement à cette croissance de la quantité de données, il faut bien avouer qu’il y a également une croissance des investissements que nous devons consentir pour en assurer la sécurité.
La sénatrice Unger : Pouvez-vous me dire, monsieur Henry, ce que cela signifie concrètement pour moi à titre de cliente ordinaire qui fait affaire depuis toujours avec la même banque qui a toute ma confiance? Comment pourrais-je savoir que vous prenez toutes les mesures de sécurité nécessaires en mon nom?
M. Henry : Nous nous sommes engagés à être transparents envers nos clients. Ils peuvent choisir d’accepter ou non différentes utilisations de leurs données. Plus nous en savons au sujet d’une personne, plus nous pouvons lui offrir des services pertinents et utiles. Je pourrais vous donner un exemple aussi simple qu’un rappel envoyé lorsqu’un paiement est dû. En recueillant des données à ce sujet, ce qui n’était pas possible il y a 10 ans à peine, nous pouvons offrir un petit coup de pouce supplémentaire à un client dans sa gestion financière.
M. Bruyea : Il y a effectivement, madame la sénatrice, une tendance à utiliser des mesures additionnelles de télésurveillance ou d’information pour protéger nos clients. Vous avez parlé d’identité financière. Nous disposons maintenant de systèmes permettant de déterminer si le même ordinateur est utilisé pour accéder à un service bancaire dont on s’est déjà prévalu. Lorsque nous constatons qu’il s’agit d’un ordinateur différent, on a la possibilité d’aviser notre client que quelqu’un est peut-être en train d’essayer d’avoir accès à son compte sans qu’il le sache. Nous avons désormais à notre disposition des renseignements de la sorte pouvant être mis à contribution pour protéger nos clients.
Mme Shonaman : J’ajouterai qu’il y a un revers à cette médaille. Avec tous ces nouveaux rapports concernant la façon dont les données sont utilisées, nos clients deviennent, de plus en plus, conscients de leurs droits et n’hésitent pas à poser les questions qui s’imposent. En vertu de la loi en vigueur pour l’Union européenne, les clients ont le droit de savoir comment leurs données sont traitées, et nous nous conformons à ces règles dans nos activités en Europe. Nous ne croyons pas qu’il soit déraisonnable d’imaginer que les autres instances réglementaires finiront par s’arrimer à cette norme. Nous voulons nous préparer en conséquence. Nous allons devoir aborder ces questions avec les autorités réglementaires et nos clients, et nous voulons être prêts à en discuter.
La sénatrice Unger : Lorsque le commissaire à la protection de la vie privée a comparu devant notre comité, il a dit craindre que le projet de loi C-74 favorise l’innovation au détriment de la protection des renseignements personnels.
Pouvez-vous nous dire si vous êtes du même avis?
Mme Stubbington : Les modifications apportées à la Loi sur les banques ne changent en rien le cadre existant pour la protection des renseignements personnels. Comme nous l’avons fait valoir, c’est un cadre rigoureux, reconnu à l’échelle internationale, qui va demeurer intact malgré les changements apportés à la Loi sur les banques.
La sénatrice Unger : Vous ne croyez pas que c’est une mesure à sens unique?
Mme Stubbington : Je ne veux pas parler au nom de son commissariat ou en son nom. Il y a un cadre en place pour la protection des renseignements personnels, et les banques s’emploient quotidiennement à se conformer à toutes les lois en la matière.
La sénatrice Unger : Merci.
[Français]
Le sénateur Dagenais : Merci à nos invités. J’ai eu la chance d’écouter vos témoignages et vos réponses. Je comprends que vous êtes soucieux de protéger les renseignements personnels de vos clients, mais vous êtes aussi capables de grandes prouesses technologiques pour élargir vos chances d’aller chercher de nouveaux clients. Est-ce que cet effort pourrait être aussi grand pour communiquer avec vos clients lorsque vous devez partager les informations de vos clients? Qu’arriverait-il si l’un de vos clients refusait de consentir au partage de ses renseignements personnels? Vous êtes tous invités à répondre.
[Traduction]
Mme Stubbington : Nous croyons, sans réserve, au concept du consentement éclairé. Nous demandons toujours le consentement d’un client avant d’utiliser des renseignements à une nouvelle fin. Nous agissons en toute transparence envers nos clients. Nous utilisons un langage clair et simple qu’ils sont en mesure de comprendre. Nous leur donnons accès à différentes tribunes où ils peuvent nous poser leurs questions. Nous voulons avoir des échanges avec eux. Nous souhaitons qu’ils sachent quels renseignements nous utilisons, à quelles fins nous nous en servons, et la façon dont nous nous y prenons. Nous favorisons vraiment un dialogue à ce sujet.
M. Henry : Je pourrais peut-être vous donner un exemple, car il semble que cela soit utile dans certains cas. La Banque Scotia a récemment amélioré ses services bancaires mobiles en y ajoutant un élément tiré d’une application d’une tierce partie. La manière dont nous procédons à cette fin illustre on ne peut mieux ce que vous voulez savoir, sénateur Dagenais.
Lorsqu’un client accède pour la première fois à la nouvelle portion de notre application, une fenêtre s’affiche pour l’informer qu’il s’apprête à utiliser un nouveau service offert en partenariat. Nous l’avisons alors en termes clairs que, s’il accepte de continuer, les renseignements fournis seront accessibles également à ce partenaire. C’est l’approche que nous utilisons.
[Français]
Le sénateur Dagenais : Il y a des règles de communication dans le domaine du courtage qui sont très sévères. Je suis certain que vous êtes capable de vous y conformer. Pourrait-il y avoir les mêmes obligations de communication sur une base individuelle à chaque fois que vous devez partager les renseignements personnels de vos clients?
[Traduction]
M. Henry : Je suis désolé, sénateur, c’est peut-être seulement moi, mais je ne comprends pas votre question.
[Français]
Le sénateur Dagenais : Dans le domaine du courtage, il y a des règles sévères lorsqu’on doit partager des informations. Est-ce que les mêmes règles s’appliquent dans d’autres domaines lorsque vous devez partager des renseignements personnels des clients? Par exemple — corrigez-moi si je me trompe —, la CIBC avait acheté la compagnie d’assurances La Personnelle qui est devenue sa propriété. Est-ce qu’il y a des renseignements personnels qui pouvaient être partagés avec la nouvelle compagnie d’assurances qui a été achetée? Est-ce que les mêmes règles s’appliquent à ce moment-là?
[Traduction]
M. Bruyea : Je peux vous dire, sénateur, que nous conservons dans notre base de données des indications sur les préférences des clients quant aux renseignements personnels qu’ils nous permettent de partager ou non, le tout dans le respect de la réglementation en vigueur. Dans le cadre de nos différents processus, nous nous référons donc à cette base de données pour savoir quels renseignements peuvent être partagés.
Mme Shonaman : Nous fonctionnons de la même manière avec des préférences à exprimer et un contrôle des consentements obtenus. Il est possible qu’il y ait des restrictions quant à la mise en commun des données dans certains secteurs particuliers. Nous nous conformons aux exigences de la LPRPDE en plus d’avoir nos propres normes en matière de protection des renseignements personnels dans toutes les filiales de l’entreprise. Lorsque des règlements additionnels sont en vigueur, ils s’appliquent, en plus de tout ce qui existe déjà.
[Français]
Le sénateur Dagenais : Le commissaire à la vie privée, M. Daniel Therrien, nous a dit qu’il publiera, d’ici quelques mois, ce qu’on pourrait appeler la « règle du consentement éclairé ». J’aimerais savoir si chacune de vos institutions financières appliquera sans délai la fameuse règle du consentement éclairé lorsqu’elle sera divulguée par le commissaire à la vie privée.
[Traduction]
M. Bruyea : Sénateur Dagenais, je peux vous assurer que nous allons faire le nécessaire pour mettre en œuvre les nouvelles règles adoptées par le commissaire à la protection de la vie privée. Il faudra, bien sûr, que nous en prenions d’abord connaissance.
Mme Shonaman : J’ajouterais que, dans certains cas, nous nous conformons déjà aux nouvelles règles mises en œuvre, étant donné les normes élevées auxquelles nous sommes assujettis.
Mme Stubbington : Je suis d’accord.
M. Henry : Nous avons à cœur de toujours respecter toutes les exigences établies.
Le président : À la lumière de tout ce que j’ai pu entendre aujourd’hui, il semble bien que vous ne ménagiez aucun effort pour assurer la protection des renseignements personnels. C’est ce que je conclus après avoir écouté avec attention vos témoignages.
Il y a toutefois une chose que j’ai encore du mal à comprendre. Pourquoi le commissaire à la protection de la vie privée propose-t-il des modifications à la loi en vigueur, afin d’améliorer encore davantage les mesures de protection des renseignements personnels? Pourquoi a-t-il l’impression — pour des motifs encore à explorer — qu’il faut en faire plus?
Pouvez-vous nous dire ce que vous en pensez?
M. Henry : Je vais me faire un plaisir de vous répondre, même si je ne peux pas formuler d’hypothèses relativement à ce que peut penser le commissaire. Je peux vous dire pour ma part que nous avons mis en place au Canada un cadre très efficace pour la protection des renseignements personnels. Comme nous l’avons indiqué à quelques reprises aujourd’hui, le Canada est considéré comme un chef de file mondial en la matière. Même en Europe où toutes ces nouveautés voient le jour, on reconnaît l’efficacité du cadre en place dans notre pays. Si quelqu’un quelque part croit qu’il est possible d’améliorer notre système, nous sommes prêts à en discuter. Nous serions heureux de pouvoir en débattre.
M. Bruyea : Le commissaire réagit aux tendances observées à l’échelle planétaire en faveur d’une surveillance accrue aux fins de la protection des renseignements personnels, qu’il s’agisse des entreprises de technologie financière ou d’autres entités de façon plus générale.
Le président : Dois-je déduire de vos observations que si le commissaire à la protection de la vie privée juge nécessaire de prendre des mesures additionnelles, vous verrez cette initiative d’un bon œil?
M. Henry : Je pense que vous pouvez raisonnablement présumer que nous adorerions avoir notre mot à dire quant aux améliorations à apporter au bénéfice de la protection des renseignements personnels au Canada. À partir du moment où une nouvelle exigence s’appliquera à nous, nous n’allons certes pas manquer de nous y conformer.
Le président : Merci beaucoup. Nous allons maintenant passer au second tour. Je vous rappelle que nous devons nous réunir à huis clos à la fin de cette séance, et qu’il serait donc bon que vous puissiez garder vos questions et réponses aussi brèves que possible.
Le sénateur Marwah : J’ai une brève question. Comment le Code de protection des renseignements personnels en vigueur pour les banques canadiennes se compare-t-il à celui de vos principaux concurrents aux États-Unis, au Royaume-Uni et au sein de l’Union européenne? Êtes-vous en mesure d’offrir le même niveau de protection?
Mme Shonaman : Pour évaluer nos pratiques de façon comparative, nous examinons ce qui se fait dans tous les secteurs à la grandeur de la planète. Nous avons procédé récemment à un examen de notre politique de protection des renseignements personnels dont la version mise à jour entrera en vigueur vendredi. Nous avons examiné, pour ce faire, les pratiques des autres banques du monde, ainsi que celles de différentes entreprises comme Google et Amazon. Nous effectuons, sans cesse, des comparaisons semblables en ne nous limitant pas aux banques canadiennes.
Le sénateur Marwah : Vous avez l’impression d’être à la hauteur de ce qui se fait de mieux?
Mme Shonaman : Oui, je pense que nous n’avons pas le choix.
M. Henry : Nous recevons fréquemment la visite de représentants d’autres banques de la planète, qui viennent examiner nos pratiques. Je pense que c’est flatteur et que cela témoigne bien du leadership exercé par le Canada en la matière.
Le sénateur Wetston : Je vais poser deux brèves questions en permettant à nos témoins de choisir de répondre à l’une ou à l’autre.
Le président : Ou à aucune des deux?
Le sénateur Wetston : Ou à aucune des deux. Ma première question vise à connaître votre point de vue sur l’application du Règlement général sur la protection des données de l’Union européenne.
La deuxième question — et vous pouvez y répondre si vous voulez —, la deuxième question est la suivante : dans le contexte actuel et compte tenu de l’amendement qui vise à établir dans une certaine mesure ce que vous faites déjà ou à veiller à ce que vous soyez en mesure de continuer sur cette voie particulière, croyez-vous que la politique actuelle sur la protection de la vie privée étouffe l’innovation?
Après tout, les données sont essentielles pour l’innovation. Vous pouvez répondre à la question de votre choix, cela m’est égal.
Mme Shonaman : Puis-je répondre à la première?
Le sénateur Wetston : Essayons de faire un mélange des deux.
Mme Shonaman : Nous croyons que le Règlement général sur la protection des données est très utile, même s’il est différent de ce que prévoit la loi canadienne. La législation canadienne est fondée sur des principes et elle est très solide. Or, même si cette législation date déjà d’un certain temps, les principes de la protection de la vie privée n’ont pas beaucoup changé.
Le Règlement général sur la protection des données donne des détails plus précis sur ce que vous devez faire avec vos clients et vos employés. Nous croyons que les deux façons de faire peuvent fonctionner. La Banque Royale croit également qu’elle est tenue d’observer un standard supérieur en raison de la place qu’elle occupe au pays et auprès de ses clients. Nous cherchons à appliquer le standard le plus rigoureux, soit le Règlement général sur la protection des données. Même si ce règlement n’a pas force de loi au Canada, c’est la norme que nous visons, car nous croyons que c’est la bonne chose à faire.
Mme Stubbington : Étant donné que la première question a déjà été abordée, en ce qui concerne la deuxième, disons que l’innovation est assurément très bonne pour le Canada, pour les Canadiens et pour nos entreprises. Nous voulons continuer d’être en mesure de répondre aux besoins financiers et aux attentes en constante évolution de nos clients. La base de la loi en matière de protection de la vie privée, c’est la recherche du consentement quant à la collecte, l’utilisation et la divulgation des renseignements personnels. C’est la pierre angulaire et la base des efforts que nous déployons pour obtenir la confiance de nos clients. Je crois que c’est un principe qui fonctionne bien. J’estime que les amendements proposés sont séparés du régime de protection de la vie privée, qui est là pour permettre l’innovation.
M. Henry : Je vais simplement ajouter quelque chose à ces derniers propos de Jane. La conversation d’aujourd’hui est différente du cadre de protection de la vie privée que nous avons et qui ne change pas. Ce qui est sur la table — et qui est présenté comme un changement —, c’est quelque chose qui permettra l’innovation de façon concrète et qui profitera à l’ensemble des Canadiens.
M. Bradley : En ce qui concerne la deuxième question, à savoir si les politiques en matière de protection de la vie privée étouffent l’innovation, je répondrais non. Nous sommes en mesure de faire affaire avec les entreprises de technologie financière, mais il y a un équilibre à respecter. Encore une fois, le rapport de l’étude de marché sur la technologie financière qu’a réalisée le Bureau de la concurrence indique que, dans certains cas, il est extrêmement difficile pour les entreprises de ce domaine de traiter avec les banques, en raison de nos exigences élevées en matière de protection de l’information. Il a été proposé que notre organisme de réglementation, le Bureau du surintendant des institutions financières, mette un peu la pédale douce afin de permettre à ces entreprises de travailler plus facilement avec les banques.
Le sénateur Wetston : Merci. C’est là où je voulais en venir.
Le président : Intéressant. Avez-vous quelque chose à ajouter?
M. Bruyea : J’aimerais simplement rappeler que la CIBC considère que c’est un faux choix que de dire qu’il est possible d’innover sans protection de la vie privée.
La sénatrice Ringuette : Vous avez tous dit que vous travaillez en étroite collaboration avec le commissaire à la protection de la vie privée. Hier, la Banque du Canada nous a aussi dit qu’elle travaillait avec le commissaire, quant à la supervision de l’activité macroéconomique dans son ensemble. Or, quand il est venu ici, le commissaire à la protection de la vie nous a dit qu’il n’avait pas été consulté dans le cadre de la discussion que vos institutions ont eue avec le ministère des Finances, en ce qui a trait au sujet dont nous sommes saisis. C’est ce qu’il a dit, et j’aurais tendance à le croire.
Je vais passer à ma deuxième question, qui est très importante. Je crois que c’est M. Henry, ou peut-être M. Bruyea qui en a parlé. Vous avez tous les deux évoqué la question des compagnies d’assurances. C’est une section, tout à fait, nouvelle de la Loi sur les banques que nous sommes en train d’examiner. J’ai jeté un coup d’œil à l’article 314, qui va comme suit :
L’alinéa 483(1)c) de la Loi sur les banques est remplacé par ce qui suit : « un contrat écrit avec l’apparenté dans le but que l’un ou l’autre de ceux-ci agisse comme mandataire ou effectue des renvois d’affaires ou des recommandations ».
C’est un tout nouveau pouvoir qui vous est donné en ce qui concerne les entités de technologie financière visées par cet article. Où voyez-vous l’empêchement pour une tierce partie à qui vous auriez fourni des données d’effectuer des renvois ou, comme le texte le dit, d’agir comme mandataire à l’égard d’une compagnie d’assurances?
Ce nouvel article au sujet des nouvelles entités de technologie financière ne mentionne aucune interdiction.
Au contraire, l’article 314 stipule : « un contrat écrit avec l’apparenté dans le but que l’un ou l’autre de ceux-ci agisse comme mandataire ou effectue des renvois d’affaires ou des recommandations ».
Ce n’est pas une interdiction additionnelle. Si vous lisez comme c’est écrit, on vous donne un pouvoir additionnel qui vous permettra de vous soustraire à vos obligations lorsqu’il y aura une tierce partie détenant un contrat.
M. Henry : Madame la sénatrice, je suis content que vous souleviez cette question. Il est important d’être clair à ce sujet. Globalement, nous devons d’abord comprendre qu’il ne s’agit pas d’un nouveau pouvoir. Il s’agit de modifier le processus d’approbation inscrit dans la Loi sur les banques auquel les banques doivent s’astreindre pour être en mesure de s’engager dans des relations commerciales de ce type.
La sénatrice Ringuette : C’est-à-dire, d’avoir une nouvelle capacité d’agir comme mandataire et d’effectuer des renvois.
M. Henry : C’est quelque chose que nous pouvons déjà faire, mais par un autre processus. Ce qui va changer, c’est la façon d’y arriver.
Or, pour ce qui est de l’aspect « assurance » de votre question, rien de ce qui est proposé à l’égard de cet article ne saurait avoir préséance sur l’article 416 ou le remplacer. L’article 416 interdit de manière explicite les activités dans le domaine de l’assurance. Il n’y a aucune modification ni aucune ouverture qui nous permettrait de quelque façon que ce soit de participer à la vente d’assurances, même dans le cadre de renvois.
La sénatrice Ringuette : Nous avons devant nous toute cette panoplie de nouvelles entités. À ces nouvelles entités s’ajoute cette nouvelle possibilité permettant à une tierce partie d’agir comme mandataire ou d’effectuer des renvois en votre nom. À mon avis, ce n’est absolument pas clair.
M. Henry : Madame la sénatrice, je m’excuse. L’article 416 indique clairement qu’une société affiliée de la banque qui ne serait pas une filiale n’a pas le droit de fournir directement ou indirectement de l’information à une compagnie d’assurances, à un agent d’assurances ou à un courtier en assurance. Il est dit, en toutes lettres, que nous n’avons pas le droit de le faire nous-mêmes. Nous ne pouvons pas le confier à quelqu’un d’autre pour qu’il le fasse à notre place.
Le président : Merci. Y a-t-il d’autres observations à ce sujet?
La sénatrice Ringuette : Je vais faire une troisième vérification pour en avoir le cœur net.
M. Henry : L’alinéa 416(3)a).
La sénatrice Stewart Olsen : Considérez cela plutôt comme une demande de précisions. Dans vos contrats avec les entreprises de technologie financière, vous indiquez que vous allez les surveiller de très près et vous faites mention des contrôles possibles du Bureau du surintendant des institutions financières. Le BSIF n’est pas vraiment autorisé à intervenir dans vos affaires et à auditer ces entreprises, n’est-ce pas? Vous ne pouvez pas les auditer et le BSIF ne le peut pas non plus. Je fais peut-être erreur. Je ne sais pas comment vous seriez en mesure de les surveiller pour vous assurer qu’elles se conforment aux conditions que vous avez fixées.
M. Bruyea : Il y a deux choses à dire à ce sujet. Tout d’abord, il faut savoir que, dans nos contrats, nous exigeons de manière explicite d’avoir ces droits d’audit ou ces droits de procéder à des contrôles afin de nous assurer que les entreprises se conforment aux conditions du contrat. Voilà pour le premier point.
La deuxième chose, c’est qu’il y a de nouvelles technologies qui arrivent sur le marché et qui permettent à des entreprises comme les nôtres d’exercer une surveillance technique continuelle sur ces entreprises de technologie financière, notamment en ce qui concerne certains problèmes d’hygiène qu’elles pourraient avoir sur le plan de la sécurité ou de la protection des renseignements personnels. De nouvelles technologies très intéressantes sont maintenant disponibles pour nous aider à ce chapitre également.
La sénatrice Stewart Olsen : Merci. Voilà qui est clair.
[Français]
Le sénateur Dagenais : Vous avez sans doute des relations ou des services bancaires dans d’autres pays où les régimes fiscaux peuvent être plus avantageux que ceux du Canada. Concernant les institutions financières que vous détenez dans d’autres pays, est-ce que les données de vos clients sont aussi bien protégées qu’elles peuvent l’être au Canada?
[Traduction]
Mme Shonaman : Il y a différents régimes de protection des renseignements personnels dans le monde. Les États-Unis diffèrent beaucoup du Canada à ce chapitre, ainsi que des États membres de l’Union européenne. Là, où nous jouons à armes égales, c’est en ce qui concerne nos ententes contractuelles avec ces parties, ententes qui sont établies en vertu de nos normes internes en matière de protection des renseignements personnels.
M. Henry : J’abonde dans le même sens. Notre banque fait des affaires dans plus de 50 pays à travers le monde; nous avons mis au point une norme mondiale, et nos activités obéissent à ce qu’il y a de plus exigeant, la norme locale ou notre norme mondiale.
[Français]
Le sénateur Dagenais : Merci beaucoup.
[Traduction]
Le sénateur Tannas : Excusez-moi d’être pointilleux. J’aimerais revenir sur la question de la sénatrice Ringuette. Monsieur Henry, dans votre réponse, vous avez dit que vous ne pouvez pas confier des données à une tierce partie pour qu’elle vende de l’assurance pour vous.
M. Henry : C’est exact.
Le sénateur Tannas : Cette entité pourrait-elle vendre de l’assurance pour elle-même?
M. Henry : Madame la sénatrice, je ne suis pas avocat. Il faudrait que j’en consulte un pour savoir si cela est possible. Le principe est que nous n’avons aucune intention de nous investir dans le domaine de l’assurance ou de favoriser cette industrie.
Le sénateur Tannas : Je comprends cela. Avez-vous quelque chose à ajouter?
Mme Stubbington : J’allais ajouter que dans la mesure où nous leur fournirions des renseignements sur les clients, les renseignements seraient limités et ils seraient fournis dans un but précis, et les entités auxquelles ces renseignements seraient confiés n’auraient pas le droit de les utiliser à des fins non autorisées.
Le sénateur Tannas : Je reviens à mon petit exemple de la compagnie d’assurance titres qui mettrait au point un service pour vous, un service qu’elle financerait et qu’elle serait en mesure de vendre, vous permettant ainsi d’en tirer parti. Cela n’est pas permis, n’est-ce pas?
M. Henry : C’est exact. Nous établirions un contrat sur l’usage spécifique des données, et la compagnie, qui ferait ce que vous dites, se retrouverait en situation de rupture de contrat et nous la poursuivrions en vertu de tous les droits qui sont à notre disposition.
Le sénateur Tannas : Merci.
Le président : J’aimerais simplement donner suite à la question du sénateur Tannas. Nous avons parmi nous l’avocat-conseil adjoint de la CIBC. Comme il s’agit d’une question juridique, auriez-vous quelque chose à ajouter à cet égard?
M. Bradley : Je suis, en fait, avec la BMO.
Le président : Pardonnez mon erreur.
M. Bradley : Il n’y a pas de souci. Mike a tout à fait raison. C’est exactement ce que nous ferions; l’interdiction serait stipulée aux termes d’un contrat. La raison d’être de cette relation, c’est de permettre à l’entreprise de technologie financière de travailler avec notre client afin de lui offrir un service sur lequel nous avons choisi de travailler avec eux et qui, nous le pensons, pourra être profitable pour notre client. Il ne s’agit pas d’offrir au client une multitude de services autres.
Le président : Est-ce que vous confirmez également ce qu’a dit Mme Stubbington?
M. Bradley : C’est exact.
Le président : Merci beaucoup. Nous avions un groupe d’experts hors du commun. Il est évident que les cinq plus grandes banques du Canada sont bien servies par des gens comme vous. Merci d’avoir été là. J’espère que vous accepterez encore notre invitation lorsque l’occasion se présentera de nouveau.
(La séance se poursuit à huis clos.)