Stratégie en matière de données aux fins de conformité réglementaire

Que ce soit dans le cadre de vérifications Bien connaître son client ou de conversations informelles lors de conférences téléphoniques, les institutions financières font face à un flux de données structurées et non structurées. Une stratégie gagnante en matière de données peut accroître la sécurité, réduire les risques, augmenter la satisfaction de la clientèle, améliorer et accélérer la prise de décision et favoriser la rentabilité, mais elle doit également intégrer des notions de conformité réglementaire.

À mesure que les préoccupations liées à la technologie, à la cybercriminalité et à la confidentialité des données évoluent, les organismes de réglementation s’efforcent de suivre le rythme, en plaçant la gouvernance à l’avant-plan de leur stratégie en matière de données. Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) de l’Union européenne en 2018¹ :

• 19 États américains ont adopté des lois exhaustives sur la protection des données des consommateurs;

• six se conforment à des lois partielles sur la protection des renseignements personnels des consommateurs;

• au moins 10 d’entre eux travaillent sur la mise au point de telles lois^{2, 3}.

• Entre-temps, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada est renforcée par un ensemble de règlements provinciaux et territoriaux disparates.

À mesure que l’interaction de l’infonuagique, de l’intelligence artificielle (IA) et des analyses s’accélère et que les organismes de réglementation tentent de prévoir et de contrôler un avenir imprévisible et imminent, l’exploitation des données est sur le point de devenir encore plus complexe. Je passerai en revue les développements réglementaires récents et à venir; j’expliquerai ce qu’est la gouvernance des données et comment elle peut aider, et je vous donnerai quelques conseils sur l’intégration de la gouvernance dans une stratégie en matière de données.

La nouvelle réglementation compliquera l’élaboration d’une stratégie en matière de données

Les entreprises ayant des intérêts dans l’UE tiennent déjà compte des lois, notamment du règlement sur les données de janvier, de la Loi sur l’intelligence artificielle de mars et du règlement sur la résilience opérationnelle numérique (DORA) de l’an dernier^4,5,6. Les entreprises en Amérique du Nord devront également accorder une grande importance à la gouvernance des données.

Il n’est pas clair si le projet de loi C-27 du Canada, qui comprend la Loi sur la protection de la vie privée des consommateurs, la Loi sur le Tribunal de la protection des renseignements personnels et des données et la Loi sur l’intelligence artificielle et les données, aboutira ou non⁷. Toutefois, des changements se préparent au niveau provincial. La Loi 25 du Québec, qui établit déjà des règles strictes en matière de gestion des données provenant de particuliers dans la deuxième province la plus populeuse au pays⁸, a commencé à protéger le transfert des données en septembre⁹.

Compte tenu du grand nombre de lois américaines, y compris une loi du Maryland exigeant que les entreprises s’assurent de recueillir le moins de données possible², le U.S. Consumer Financial Protection Bureau (CFPB) a pour objectif de finaliser sa règle sur les droits des particuliers en matière de données financières attendue depuis longtemps cet automne¹⁰. Un échéancier de conformité par paliers obligera les plus grandes institutions à se conformer dans les six mois suivant sa publication¹¹. Bien qu’il ne soit toujours pas clair comment la règle proposée recoupera toute la réglementation de protection des données au niveau des États, sans parler de la réglementation MIFID II relative à la conservation des dossiers financiers, ses exigences en matière de transfert des données présenteront un défi important pour les institutions.

En plus d’établir des exigences relatives au consentement pour le partage de données, la règle proposée exige que les institutions soient prêtes à transférer des données de particuliers en toute sécurité, au moyen d’un format standard lisible par machine aux consommateurs et à des tiers autorisés, avec un taux d’exactitude proposé de 99,5 %¹². Le CFPB a récemment décrit les exigences relatives aux organismes qui établiront les normes pour ce format lisible par machine, mais les normes ne sont toujours pas définies¹³.

La gouvernance des données aide à composer avec le contexte réglementaire

La gouvernance des données établit des règles qui couvrent l’utilisation des données, de leur collecte à leur élimination, l’accroissement de la sécurité des données, l’amélioration de la qualité des données, l’accessibilité accrue des données, la fiabilité accrue des actifs de données et la conformité à la réglementation du secteur.

Les principes fondamentaux de la gouvernance des données comprennent la sécurité, la création et le maintien de normes relatives aux données, la responsabilité grâce à une prise en charge des tâches clairement définie, la transparence grâce à des politiques clairement définies et la qualité, l’accent sur l’exactitude et l’exhaustivité. La collaboration est également essentielle, car les équipes juridiques, de conformité et techniques collaborent avec des services souvent cloisonnés et des bases de connaissances disparates.

La gouvernance des données peut aider les institutions à satisfaire aux exigences les plus courantes des nombreuses lois régionales, nationales et internationales sur la protection des renseignements personnels, sans compromettre leur capacité à accéder à des renseignements stratégiquement utiles et à y donner suite.

Des politiques claires sur le traitement des données doivent couvrir tout le cycle de vie des données, pour en assurer la confidentialité, de la création à l’élimination. La responsabilité doit améliorer la surveillance des processus pour veiller à ce qu’ils soient conformes aux politiques de confidentialité. La transparence est essentielle à la gestion des données et du consentement. Une surveillance efficace des fournisseurs est également essentielle.

Les institutions doivent se préparer à une vague de changements

La conformité à la réglementation actuelle et à venir en matière de données aux niveaux local, national et international n’a jamais été aussi importante. Les atteintes à la sécurité des données ont augmenté de 20 % en 2023¹⁴ . En plus des conséquences opérationnelles et de réputation liées à ces atteintes, les amendes pour non-conformité peuvent être élevées. Même les stratégies de données mises à jour régulièrement peuvent devoir être actualisées.

Selon leur niveau de maturité, les leaders responsables de la gestion des données et de la technologie devraient envisager de prendre les mesures suivantes :

• créer une stratégie de gouvernance des données qui englobe les objectifs de confidentialité des données;

• désigner des experts en la matière en tant que spécialistes pour se conformer à des règlements précis;

• investir dans l’infrastructure de données stratégiques pour améliorer la sécurité, permettre une gestion des données plus efficace et assurer une résilience accrue des actifs de données;

• maintenir la distinction entre la gestion des données et la confidentialité et la vérification aux fins de conformité;

• repérer, étiqueter et suivre les renseignements permettant d’identifier une personne et les renseignements personnels confidentiels;

• planifier et définir les utilisations proposées des données avant la collecte;

• effectuer des évaluations des facteurs relatifs à la vie privée pour les nouveaux projets sans entraver l’innovation.

Les nouvelles technologies nécessiteront de nouvelles approches, et une stratégie de données durable doit tenir compte de la qualité des données, de la sécurité, de la conformité et de la rapidité afin de répondre à un environnement volatil, en constante évolution et incertain.

1. Bloomberg Law, Comparing U.S. State Data Privacy Laws vs. the EU’s GDPR (en anglais seulement), juillet 2023.

2. Bloomberg Law, Which States Have Consumer Data Privacy Laws? (en anglais seulement), mars 2024.

3. F. Paul Pittman, Abdul M. Hafiz, Nathan Swire, Minnesota Enacts Comprehensive Consumer Data Privacy Law (en anglais seulement), White & Case, juin 2024.

4. Commission européenne, Loi sur les données, avril 2024.

5. Actualité Parlement européen, Intelligence artificielle : les députés adoptent une législation historique, mars 2024.

6. Autorité européenne des assurances et des pensions professionnelles, Règlement sur la résilience opérationnelle numérique (DORA) (traduction automatique), consulté en juillet 2024.

7. Chambre des communes du Canada, Projet de loi C-27, mai 2024.

8. Statistique Canada, Estimations de la population, trimestrielles, juin 2024.

9. Sarah Stein, « Quebec’s Law 25: Many Provisions Take Effect Today » (en anglais seulement), The National Law Review, septembre 2023.

10. F. Paul Pittman, Hope Anderson, Abdul M. Hafiz, What to Expect in U.S. Privacy for 2024 (en anglais seulement) White & Case, décembre 2023.

11. Consumer Financial Protection Bureau, Fast Facts: Personal Financial Data Rights Proposed Rule (en anglais seulement), octobre 2023.

12. Andrew C. Glass, Gregory N. Blase, Joshua Durham, Overview of the CFPBs Proposed Open Banking Rule and Final Industry Standard Setting Rule (en anglais seulement), The National Law Review, juin 2024.

13. Consumer Financial Protection Bureau Newsroom, CFPB Launches Process to Recognize Open Banking Standards (en anglais seulement), juin 2024.

14. Stuart Madnick, Why Data Breaches Spiked in 2023 (en anglais seulement), Harvard Business Review, février 2024.