Un solide système de protection des données permet aux entreprises de dresser des barrières et de limiter l’accès aux types d’information visés par les lois sur la protection des renseignements personnels. Après l’éclosion d’une nouvelle maladie à coronavirus (COVID-19) et son évolution en pandémie mondiale, les entreprises et les gouvernements ont dû prendre des mesures exceptionnelles pour protéger leurs employés, leurs clients et le public. Parmi ces mesures, le recours à la technologie a facilité le télétravail ainsi que de nouvelles façons de collecter, traiter et communiquer des renseignements personnels. Les entreprises qui traitent des renseignements identificatoires, financiers ou relatifs à la santé doivent se doter de systèmes de cybersécurité robustes pour minimiser le risque d’atteinte à la vie privée. En outre, elles doivent prendre en considération les points suivants : types de données recueillies, méthode de collecte, utilisation dans la prise de décisions, lieux d’entreposage et durée de conservation, et ce, durant et après la pandémie.
En quoi consiste la protection des renseignements personnels et comment a-t-elle évolué au fil du temps ?
Le droit à la vie privée est un « droit humain fondamental » reconnu dans la Déclaration universelle des droits de l’homme des Nations Unies, dans le Pacte international relatif aux droits civils et politiques, de même que dans d’autres traités internationaux et régionaux. La plupart des pays ont inscrit de façon explicite le droit à la vie privée dans leur constitution. Les définitions varient et peuvent comprendre la confidentialité des renseignements personnels (p. ex., dossiers médicaux), la protection du corps humain (p. ex., dépistage de la consommation de drogues) et de l’espace personnel (p. ex., résidence), et le caractère privé des communications personnelles (p. ex., courriels et conversations téléphoniques). La sécurité des données consiste à protéger l’ensemble des renseignements personnels recueillis, utilisés ou entreposés contre toute utilisation non autorisée.
Au cours de la dernière décennie, les gouvernements et les consommateurs ont accordé de plus en plus d’attention à la protection et à la sécurité des renseignements personnels. Cet intérêt grandissant s’explique surtout par la montée de la mondialisation, les progrès technologiques, l’utilisation d’outils multimédias et l’évolution des modèles d’affaires qui tirent une valeur financière de données personnelles.
Mondialisation
|
La mondialisation a fait exploser la quantité de données pouvant être recueillies, traitées et communiquées d’un pays à l’autre en quelques secondes à peine. Cela représente un défi de taille pour les autorités chargées de faire respecter les lois sur la protection des renseignements personnels. |
Progrès technologiques
|
La technologie a accru la puissance, le volume, la portée et la vitesse de la collecte, du traitement et de la communication des données. Les progrès technologiques, comme la téléphonie mobile, les plateformes de paiements électroniques, les systèmes biométriques (p. ex., reconnaissance vocale et faciale) et les données géospatiales, peuvent tous servir à recueillir et à entreposer des renseignements personnels. |
Multimedia
|
De l’information à caractère personnel peut être recueillie et entreposée sous une multitude de formes (texte, son, images, animations, vidéos et contenu interactif). Ces divers canaux fournissent donc une foule de renseignements personnels. En date de 2019, environ 5 milliards de personnes possédaient un téléphone mobile, environ 3 milliards de personnes utilisaient les médias sociaux1 et environ 4 millions d’heures de contenu vidéo étaient téléversées chaque jour.2 |
Modèles d’affaires
|
Au sein de notre économie, la collecte et le traitement de données personnelles sont devenus d’importants facteurs de création de valeur financière. Le modèle d’affaires de certaines des entreprises les plus réputées au monde repose sur la possibilité de cibler la publicité en fonction des renseignements personnels des utilisateurs. |
Les préoccupations suscitées par la protection et la sécurité des données ont d’ailleurs incité les gouvernements à adopter une nouvelle génération de règlements. Ainsi, en 2016, l’Union européenne (UE) a promulgué le Règlement général sur la protection des données (RGPD), qui régit la collecte de données sur les résidents de l’UE par les entreprises situées en Europe et ailleurs. Le non-respect de la réglementation et des exigences en matière de protection des renseignements personnels peut entraîner des coûts exorbitants. Par exemple, en cas d’infraction au RGPD, les entreprises s’exposent à des amendes pouvant aller jusqu’à 20 millions d’euros ou à 4 % de leur chiffre d’affaires annuel (selon le plus élevé des deux montants).3 Au cours des dernières années, plusieurs entreprises ont écopé d’amendes pour atteinte à la confidentialité des données. C’est notamment le cas de British Airways (205 millions d’euros en 2019), de Marriott International (110 millions d’euros en 2019) et de Google Inc. (50 millions d’euros en 2019),4 qui ont été condamnées en vertu du RGPD. La Federal Trade Commission (FTC) a quant à elle sanctionné Facebook (5 milliards de dollars américains en 2019),5 ainsi que Google et sa filiale YouTube (170 millions de dollars américains).6
Comment les entreprises peuvent assurer la protection des renseignements personnels ?
L’exposition d’une entreprise aux risques liés à la confidentialité des données dépend largement de son modèle d’affaires, de la nature des données qu’elle recueille et de la manière dont elle les traite et les entrepose. Pour assurer efficacement la protection et la sécurité des renseignements personnels, une entreprise devrait procéder de la manière suivante :
- Définir les responsabilités du conseil d’administration et ses obligations en matière de surveillance : Les entreprises doivent définir clairement les responsabilités de la haute direction et du conseil d’administration en ce qui a trait aux renseignements personnels et à la cybersécurité. Le conseil, le comité du conseil responsable, ou les deux doivent recevoir des mises à jour régulières sur la stratégie et les processus de cybersécurité, et chercher activement à nommer des administrateurs ayant des compétences en la matière.
- Connaître l’ensemble des lois et des règlements et s’y conformer : Les entreprises doivent prendre connaissance et surveiller la réglementation en vigueur dans tous les territoires pertinents, et rendre compte publiquement de leurs engagements à respecter la loi. Le volume et la portée des lois sur la protection des renseignements personnels ne cessent d’augmenter, et les amendes infligées en cas de non-conformité sont de plus en plus salées.
- Recueillir uniquement les données nécessaires : Les entreprises doivent recueillir la quantité minimale de données (minimisation des données) nécessaires à la réalisation de l’objectif pour lequel elles sont obtenues (proportionnalité). Il ne faut pas recueillir de données supplémentaires qui ne sont pas requises.
- Obtenir le consentement et en comprendre le principe : La collecte de renseignements personnels doit être faite uniquement à la connaissance de la personne concernée et avec son consentement, sauf dans de très rares exceptions. Par conséquent, l’obtention du consentement pour acquérir et utiliser des renseignements personnels devrait faire partie intégrante du processus de collecte et ce consentement devrait être réitéré régulièrement.
- Adopter des pratiques rigoureuses pour gérer la sécurité des données : Toute entreprise qui recueille et utilise des renseignements personnels doit se doter de politiques et de pratiques visant à assurer la sécurité des données et à les protéger contre les cyberattaques. Cela comprend notamment un plan de gestion des incidents, qui prévoit la continuité des opérations et la reprise après sinistre, et des processus d’audit qui couvrent l’ensemble des activités et s’étendent aux fournisseurs externes.
- Sensibiliser les employés à la protection des renseignements personnels : Les employés qui ont accès à des renseignements personnels doivent comprendre les exigences en matière de protection des données, tout comme les clients et les tiers. En organisant régulièrement des séances d’information et de formation sur des sujets comme le consentement, la protection des identifiants, l’hameçonnage et la cybersécurité, une entreprise renforce sa capacité de gestion des risques connexes.
À RBC Gestion mondiale d’actifs (RBC GMA), nous appliquons des critères environnementaux, sociaux et de gouvernance (ESG) pour évaluer l’exposition des sociétés aux risques ESG importants. La qualité et l’efficacité des systèmes de protection et de sécurité des données mis en place par les sociétés figurent parmi les facteurs que nos équipes des placements prennent en compte lors de l’intégration des critères ESG. Elles examinent notamment les processus visant la collecte et l’utilisation des données, l’obtention du consentement et la monétisation, la rigueur des politiques sur la confidentialité des renseignements, les responsabilités de l’équipe de direction, les audits sur la confidentialité et la sécurité, la formation du personnel, la présentation de l’information et la supervision du conseil d’administration.
Quelle est l’incidence de la COVID-19 sur la protection des données ?
Le 11 mars 2020, l’Organisation mondiale de la Santé a qualifié l’épidémie de COVID-19 de pandémie mondiale. À compter de ce jour, les entreprises et les gouvernements ont pris des mesures sans précédent pour freiner la propagation du virus et protéger la population. Ils se sont notamment tournés vers la technologie pour recueillir, utiliser et communiquer des données en vue de limiter le nombre d’infections, d’établir des politiques efficaces et de contribuer à la découverte d’un vaccin. Dans ces circonstances, un juste équilibre doit donc être trouvé entre la santé et la sécurité du public, d’une part, et la confidentialité et la sécurité des renseignements personnels, d’autre part.
Impacts de la COVID-19 | Description et exemples | |
---|---|---|
|
Collecte et communication de données médicales, de données sur la santé et de renseignements personnels | Les autorités de santé publique peuvent s’échanger des données d’ordre médical afin de coordonner leurs interventions contre la COVID-19. Dans certains cas, des employeurs ont été obligés, afin de protéger la santé et la sécurité leurs clients et employés, d’informer ces derniers que des membres de leur personnel étaient infectés. De telles décisions devaient être prises conformément à la législation sur les renseignements personnels et en respectant la vie privée des personnes infectées. |
|
Surveillance et suivi des déplacements et de l’état de santé des gens |
Plusieurs gouvernements et entreprises privées utilisent des outils technologiques pour cerner, suivre et surveiller la propagation de la COVID-19. Par exemple :
|
|
Menaces à la sécurité des données découlant de la numérisation des processus et des pratiques, et du risque accru de cyberattaques | L’expansion du télétravail et de la numérisation augmente les risques pour la sécurité et la confidentialité des renseignements. Ces risques sont amplifiés lorsque de nouveaux processus (p. ex., vidéoconférences) sont implantés rapidement, sans vérification, mesures de contrôles ou processus adéquats. Les auteurs de cyberattaques pourraient profiter du fait que les entités sont occupées à gérer la crise actuelle. L’Organisation mondiale de la Santé a d’ailleurs révélé que les cyberattaques avaient quintuplé depuis le début de la pandémie de COVID-19.8 Les risques pour la sécurité des données sont exacerbés par le fait que les systèmes de TI et les effectifs sont mis à contribution de manière excessive pour gérer la crise. |
|
Modification des lois relatives à la confidentialité et à la protection des renseignements personnels | La pandémie de COVID-19 a poussé les gouvernements partout dans le monde à adopter des lois sur les mesures d’urgence, à modifier des lois existantes sur la protection des données et à émettre des lignes directrices précises. Aux États-Unis, la loi intitulée Health Insurance Portability and Accountability Act permet au gouvernement de déroger aux règles de protection des renseignements personnels en cas de crise sanitaire. Bien que des changements aux droits à la vie privée aient pu être apportés au moyen de ces mécanismes légaux (et d’autres), on ne sait pas encore ce qu’il en adviendra après la crise. |
En quoi la confidentialité et la protection des renseignements personnels seront-elles différentes par suite de la COVID-19 ?
La pandémie de COVID-19 force les gouvernements et les entreprises à s’adapter rapidement à une situation qui change constamment. Même si les données et la technologie ont un important rôle à jouer pour aider les entreprises et les autorités à cerner, à suivre et à surveiller la propagation de la COVID-19, la question de la protection et de la sécurité des renseignements personnels doit demeurer au centre des préoccupations. Une fois que les besoins immédiats suscités par la crise auront été comblés, les entreprises et les gouvernements devront faire ce qui suit :
- Veiller au respect des lois sur la vie privée : Il faudra répertorier et évaluer les données susceptibles d’avoir été obtenues en vertu de lois sur les mesures d’urgence, de lois modifiées ou de lignes directrices précises liées à la COVID-19, afin de s’assurer que la collecte, le traitement ou la communication de ces données respectent toutes les lois applicables.
- Réitérer le consentement des personnes et les droits relatifs aux données : Les entreprises et les gouvernements qui continueront de recueillir et de détenir des données personnelles devront veiller à obtenir le consentement des personnes concernées. Bien que le consentement implicite ou la transmission volontaire de certaines informations puissent avoir été appropriés durant la crise en vertu de changements apportés à la législation ou aux exigences, le consentement explicite pourrait être requis une fois la crise terminée, surtout si l’objectif de la collecte des données a changé.9
- Vérifier la protection et la sécurité des données : Durant la crise, des solutions technologiques ou d’autres mécanismes, comme les vidéoconférences, l’accueil à distance ou les vérifications numériques, peuvent avoir été adoptés, sans avoir été soumis au processus habituel de gestion du risque lié aux tiers. Les entreprises doivent combler les éventuelles lacunes de leur processus de vérification, pour éviter toute infraction aux lois sur la vie privée et toute violation des mécanismes de sécurité.
À RBC GMA, toutes les équipes des placements évaluent les facteurs ESG importants, comme la confidentialité et la sécurité des renseignements personnels, lorsqu’elles prennent des décisions sur les placements. Nous faisons par ailleurs valoir nos points de vue sur des facteurs clés au moyen des votes par procuration et d’une communication régulière avec les émetteurs. Nous croyons pouvoir améliorer le rendement à long terme corrigé du risque de nos portefeuilles en agissant comme un gestionnaire actif, dynamique et responsable, conscient de son devoir fiduciaire.
Pour obtenir des précisions sur la démarche de RBC GMA en matière d’investissement responsable : cliquez ici.