/finance/homepage

Que fait votre banque de vos données personnelles ?

TVA Nouvelles

Photo : Agence QMI

Michel Munger
Argent

Lorsqu'ils utilisent le site Web de leur banque, les citoyens exposent leurs renseignements financiers et personnels à plus de yeux qu'ils ne le croient.

Cet avertissement est servi par des avocats qui s'attendent à ce que le gouvernement fédéral ranime bientôt son projet de loi C-29 sur la protection des renseignements personnels et des documents électroniques.

La législation, qui n'a pas abouti en raison des élections, poussera toute entreprise à signaler à ses clients les brèches de sécurité pouvant entraîner de réels dommages. Et ce en l'absence d'une loi provinciale équivalente.

Une telle réglementation existe déjà au Québec. Toutefois, la loi changera la donne pour les banques, qui sont sous juridiction fédérale.

Il ne faut pas se leurrer en croyant que les institutions financières conservent les données sensibles au Canada, indique Nicolas Vermeys, directeur adjoint du Laboratoire de cyberjustice de l'Université de Montréal.

«Dans plusieurs cas, dit le professeur, les services sont carrément hébergés aux États-Unis parce que les salles de serveurs y sont moins dispendieuses.»

Normalement, un niveau de sécurité raisonnable est garanti même par un fournisseur étranger, souligne Éloïse Gratton, avocate-conseil en droit des technologies de l'information au sein du cabinet McMillan.

«Si des renseignements personnels sont entreposés aux États-Unis, ajoute cette juriste, la loi antiterroriste Patriot Act permet au gouvernement de fouiller en cas de soupçon.»

«Le fournisseur de service n'a même pas le droit de vous en aviser», précise Nicolas Vermeys.

Le Commissariat à la vie privée du Canada a reçu de nombreuses plaintes sur le sujet. En 2005, il statuait sur le cas de détenteurs de cartes de crédit Visa CIBC, dont l'information transitait par les États-Unis.

«Le Commissariat a indiqué que l'entreposage de données aux États-Unis n'était pas illégal, rappelle Éloïse Gratton. Il ne réclamait pas non plus l'obtention d'un consentement additionnel à cet égard. Il demandait au moins à l'entreprise d'informer adéquatement son client de la situation.»

Un régime d'opacité

Le problème, enchaîne Me Gratton, c'est que règle générale, le consommateur est mal informé.

«Les politiques de vie privée sont des monstres, illustre Me Gratton. Tout le monde sait très bien que les gens ne les lisent pas. Les clients ont de la difficulté à évaluer les risques, étant donné le volume de documents que l'on devrait lire dans la vie de tous les jours.»

«Il ne faut pas dire que c'est la fin du monde, croit Nicolas Vermeys, mais ce sont quand même nos renseignements personnels dont il s'agit. Les gens doivent pouvoir faire un choix éclairé, en sachant ce que les entreprises font avec leurs données.»

C'est pourquoi les deux avocats prédisent qu'Ottawa ira de l'avant avec le projet de loi C-29.

Une hésitation persistait jusqu'à tout récemment, indique Éloïse Gratton. «Les clients pourraient devenir immunisés contre les alertes, dit-elle. Si je reçois une alerte aux deux jours, je ne les prendrai plus au sérieux et je ne ferai plus de vérifications à mon compte.»

Argent n'a pu recueillir les commentaires de l'Association des banquiers canadiens sur le dossier.