2e réunion du groupe de travail sur la protection de la vie privée – Le 25 juillet 2022
Le présent guide de discussion est offert pour aider les membres du groupe de travail à se préparer à la réunion.
Pour toute question ou commentaire, veuillez écrire à obbo@fin.gc.ca.
Sur cette page :
Guide de discussion
Objectif
Afin d’assurer le bon fonctionnement d’un système bancaire ouvert, le Comité consultatif sur le système bancaire ouvert (le Comité) a recommandé que des règles communes soient établies dans les domaines de la responsabilité, de la protection de la vie privée et de la sécurité.
Ce groupe de travail a pour objectif d’élaborer des règles communes sur la protection de la vie privée qui seront recommandées au gouvernement.
Dans son rapport final, le Comité a mentionné que l’objectif principal de la mise en œuvre du système bancaire ouvert au Canada est de réaliser le droit des consommateurs à la portabilité des données et de passer à un système de partage des données sécurisé et efficace, autorisé par les consommateurs.
Approche et calendriers
Les réunions auront lieu environ toutes les trois semaines. Les membres sont invités à examiner les documents suivants avant les réunions :
- Charte canadienne du numérique : La confiance dans un monde numérique
- Rapport final, Comité consultatif sur le système bancaire ouvert
- Mandat des groupes de travail sur le système bancaire ouvert et du comité directeur
- Annexe A – Calendrier des sujets du groupe de travail sur la protection de la vie privée
Le responsable, avec le soutien du ministère des Finances (le Secrétariat), distribuera les documents permettant de guider les discussions de chaque réunion, qui seront également disponibles sur la page de la mise en œuvre du système bancaire ouvert. Les membres peuvent également être invités à rédiger des documents pour la discussion.
Limites du consentement et considérations opérationnelles
Bien que le consentement soit fondamental pour le partage des données, il n’est ni absolu ni perpétuel. Les consommateurs peuvent l’autoriser pour une utilisation particulière. Toutefois, l’objet d’un tel consentement peut être expiré. En outre, le consentement peut être accordé pour une période limitée ou révoqué à la discrétion du consommateur.
Discussion
- À quelle fréquence le consentement du consommateur doit-il être « renouvelé »?
- À quoi devrait ressembler le processus de révocation du consentement?
- Comment le processus de révocation peut-il être rapide et efficace?
- Outre la révocation et la durée, y a-t-il d’autres facteurs qui peuvent contribuer à la validité d’un consentement?
- Lorsque la validité d’un consentement prend fin, quels processus connexes devraient être envisagés? Par exemple, il peut s’agir de supprimer les données des consommateurs détenues par le fournisseur de services.
Annexe A – Calendrier des sujets du groupe de travail sur la protection de la vie privée
|
Calendrier Juillet |
Sujet | Résultat |
|---|---|---|
| Réunion 1 | Éléments essentiels du consentement | Règles communes sur les éléments fondamentaux du consentement valide |
| Réunion 2 | Limites du consentement et considérations opérationnelles | Règles communes sur les facteurs contribuant à l’échéance du consentement et des processus qui s’y rapportent |
|
Calendrier D’août à octobre |
Sujet | Résultat |
|---|---|---|
| Réunion 3 | Divulgation publique | Règles communes sur la procédure de divulgation publique des plaintes des consommateurs |
| Réunion 4 | Normalisation du consentement | Règles communes sur les facteurs contribuant à l’échéance du consentement et les processus qui s’y rapportent |
| Réunion 5 | Processus de gestion du consentement | Règles communes sur la façon de gérer les tableaux de bord du consentement des participants, y compris les types de renseignements sur la protection de la vie privée qui devraient être disponibles |
| Réunion 6 | Protection des clients | Règles communes sur la protection des clients vulnérables |
Résultats
Éléments essentiels du consentement (de la 1re réunion)
Discussion 6
Quelles sont les exigences liées à la mise en œuvre du principe de minimisation des données? Comment cette notion peut-elle être mise en œuvre dans la pratique?
- Un consensus général a été atteint quant à la nécessité d’harmoniser les principes de minimisation des données avec le cadre de consentement pour le système bancaire ouvert ainsi qu’avec les cadres de confidentialité existants qui s’appliquent au Canada.
- Un consensus général a été atteint quant à l’importance de préciser la façon dont les données collectées seront utilisées dans le cadre du processus de consentement.
- Les discussions n’ont pas abouti à un consensus sur la question de savoir si les fournisseurs de données ont l’obligation de réduire les données au minimum, puisqu’ils ne peuvent pas savoir si les données fournies sont nécessaires pour permettre au destinataire des données de fournir des services.
Limites du consentement et considérations opérationnelles
Discussion 1
À quelle fréquence le consentement du consommateur doit-il être « renouvelé »?
- On a convenu que ce sujet avait été abordé à la 1re réunion du groupe de travail sur la protection de la vie privée et qu’il n’était pas nécessaire d’en discuter davantage.
Discussion 2
À quoi devrait ressembler le processus de révocation du consentement?
- Un consensus général a été atteint quant au fait qu’un processus de révocation du consentement du consommateur devrait :
- être clair, simple et transparent pour le consommateur;
- autoriser le consommateur à demander la révocation soit au destinataire des données, soit au fournisseur des données, et à s’attendre raisonnablement à ce que les deux parties communiquent entre elles très peu de temps après;
- exiger que le fournisseur de données réponde à la demande de révocation d’un client aussi rapidement que possible, tout en autorisant une certaine flexibilité pour tenir compte des limitations techniques ainsi que pour offrir des options au consommateur (par exemple, la possibilité de révoquer l’accès à la fin d’un cycle de facturation ou d’une période d’abonnement);
- exiger que le fournisseur de données, dès réception de la révocation du consentement, en informe immédiatement le destinataire des données;
- informer clairement les consommateurs tout au long du processus de révocation, y compris le sort réservé à leurs données, et offrir la possibilité de supprimer ou de conserver les données.
Discussion 3
Comment le processus de révocation peut-il être rapide et efficace?
- On a convenu d’une approche uniforme et simple de la révocation du consentement, en particulier en ce qui concerne le processus et la formulation.
- Un consensus général a été atteint quant au fait que le processus de révocation du consentement devrait être aussi simple et clair que le processus de collecte du consentement. Les consommateurs devraient pouvoir révoquer leur consentement moyennant le même nombre (voire moins) de clics que pour donner leur consentement.
- Un participant a noté l’approche de l’Inde à l’égard de l’agrégation du consentement, qui aide le consommateur à gérer ses accords de consentement avec plusieurs participants.
Discussion 4
Outre la révocation et la durée, y a-t-il d’autres facteurs qui peuvent contribuer à la validité d’un consentement?
- Un consensus général a été atteint quant au fait que l’expiration de l’accréditation d’un participant rend nul et non avenu le consentement qu’il a obtenu au préalable des consommateurs et qu’un nouveau consentement devrait être demandé.
- Les participants ont également proposé qu’un changement dans le statut d’un consommateur ait également un impact sur le consentement (par exemple, le décès). Les atteintes à la confidentialité ou les cyberincidents peuvent également influer sur le consentement.
- Un consensus général a été atteint quant au fait que l’approche du consentement devrait s’harmoniser avec les normes de l’industrie des services, notamment à l’égard de l’obtention d’une carte de crédit.
Discussion 5
Lorsque la validité d’un consentement prend fin, quels processus connexes devraient être envisagés? Par exemple, il peut s’agir de supprimer les données des consommateurs détenues par le fournisseur de services.
- Un consensus général a été atteint quant au fait que les cadres législatifs actuels fournissent des orientations qui peuvent être appliquées au système bancaire ouvert, telles que les obligations de conservation des documents à des fins de lutte contre le blanchiment d’argent et les cadres de protection de la vie privée fédéraux et provinciaux touchant la conservation, la destruction et le contrôle des données personnelles des consommateurs.
Participants au groupe de travail sur la protection de la vie privée
Membres
- Banque de Montréal
- Borrowell
- Financière Brim
- Coast Capital Savings
- Desjardins
- Banque des Premières Nations du Canada
- Interac
- Mogo
- Option consommateurs
- Prospera Credit Union
- Centre pour la défense de l’intérêt public
- Banque Royale du Canada
- Banque Scotia
Invités externes
- Agence de la consommation en matière financière du Canada
- Autorité de réglementation des services financiers de l’Ontario
- Bureau du surintendant des institutions financières
Président
- Abraham Tachjian, responsable du système bancaire ouvert
Secrétariat
- Ministère des Finances Canada
Détails de la page
- Date de modification :