{{r.fundCode}} {{r.fundName}} {{r.series}} {{r.assetClass}}

Vous visitez le site internet Canadien. Vous pouvez changer la région du site ici.

Conditions d’utilisation pour le Canada

11 mai 2020

Un solide système de protection des données permet aux entreprises de dresser des barrières et de limiter l’accès aux types d’information visés par les lois sur la protection des renseignements personnels. Après l’éclosion d’une nouvelle maladie à coronavirus (COVID-19) et son évolution en pandémie mondiale, les entreprises et les gouvernements ont dû prendre des mesures exceptionnelles pour protéger leurs employés, leurs clients et le public. Parmi ces mesures, le recours à la technologie a facilité le télétravail ainsi que de nouvelles façons de collecter, traiter et communiquer des renseignements personnels. Les entreprises qui traitent des renseignements identificatoires, financiers ou relatifs à la santé doivent se doter de systèmes de cybersécurité robustes pour minimiser le risque d’atteinte à la vie privée. En outre, elles doivent prendre en considération les points suivants : types de données recueillies, méthode de collecte, utilisation dans la prise de décisions, lieux d’entreposage et durée de conservation, et ce, durant et après la pandémie.

En quoi consiste la protection des renseignements personnels et comment a-t-elle évolué au fil du temps ?

Le droit à la vie privée est un « droit humain fondamental » reconnu dans la Déclaration universelle des droits de l’homme des Nations Unies, dans le Pacte international relatif aux droits civils et politiques, de même que dans d’autres traités internationaux et régionaux. La plupart des pays ont inscrit de façon explicite le droit à la vie privée dans leur constitution. Les définitions varient et peuvent comprendre la confidentialité des renseignements personnels (p. ex., dossiers médicaux), la protection du corps humain (p. ex., dépistage de la consommation de drogues) et de l’espace personnel (p. ex., résidence), et le caractère privé des communications personnelles (p. ex., courriels et conversations téléphoniques). La sécurité des données consiste à protéger l’ensemble des renseignements personnels recueillis, utilisés ou entreposés contre toute utilisation non autorisée.

Au cours de la dernière décennie, les gouvernements et les consommateurs ont accordé de plus en plus d’attention à la protection et à la sécurité des renseignements personnels. Cet intérêt grandissant s’explique surtout par la montée de la mondialisation, les progrès technologiques, l’utilisation d’outils multimédias et l’évolution des modèles d’affaires qui tirent une valeur financière de données personnelles.

Mondialisation La mondialisation a fait exploser la quantité de données pouvant être recueillies, traitées et communiquées d’un pays à l’autre en quelques secondes à peine. Cela représente un défi de taille pour les autorités chargées de faire respecter les lois sur la protection des renseignements personnels.
Progrès technologiques La technologie a accru la puissance, le volume, la portée et la vitesse de la collecte, du traitement et de la communication des données. Les progrès technologiques, comme la téléphonie mobile, les plateformes de paiements électroniques, les systèmes biométriques (p. ex., reconnaissance vocale et faciale) et les données géospatiales, peuvent tous servir à recueillir et à entreposer des renseignements personnels.
Multimedia De l’information à caractère personnel peut être recueillie et entreposée sous une multitude de formes (texte, son, images, animations, vidéos et contenu interactif). Ces divers canaux fournissent donc une foule de renseignements personnels. En date de 2019, environ 5 milliards de personnes possédaient un téléphone mobile, environ 3 milliards de personnes utilisaient les médias sociaux1 et environ 4 millions d’heures de contenu vidéo étaient téléversées chaque jour.2
Modèles d’affaires Au sein de notre économie, la collecte et le traitement de données personnelles sont devenus d’importants facteurs de création de valeur financière. Le modèle d’affaires de certaines des entreprises les plus réputées au monde repose sur la possibilité de cibler la publicité en fonction des renseignements personnels des utilisateurs.

Les préoccupations suscitées par la protection et la sécurité des données ont d’ailleurs incité les gouvernements à adopter une nouvelle génération de règlements. Ainsi, en 2016, l’Union européenne (UE) a promulgué le Règlement général sur la protection des données (RGPD), qui régit la collecte de données sur les résidents de l’UE par les entreprises situées en Europe et ailleurs. Le non-respect de la réglementation et des exigences en matière de protection des renseignements personnels peut entraîner des coûts exorbitants. Par exemple, en cas d’infraction au RGPD, les entreprises s’exposent à des amendes pouvant aller jusqu’à 20 millions d’euros ou à 4 % de leur chiffre d’affaires annuel (selon le plus élevé des deux montants).3 Au cours des dernières années, plusieurs entreprises ont écopé d’amendes pour atteinte à la confidentialité des données. C’est notamment le cas de British Airways (205 millions d’euros en 2019), de Marriott International (110 millions d’euros en 2019) et de Google Inc. (50 millions d’euros en 2019),4 qui ont été condamnées en vertu du RGPD. La Federal Trade Commission (FTC) a quant à elle sanctionné Facebook (5 milliards de dollars américains en 2019),5 ainsi que Google et sa filiale YouTube (170 millions de dollars américains).6

Comment les entreprises peuvent assurer la protection des renseignements personnels ?

L’exposition d’une entreprise aux risques liés à la confidentialité des données dépend largement de son modèle d’affaires, de la nature des données qu’elle recueille et de la manière dont elle les traite et les entrepose. Pour assurer efficacement la protection et la sécurité des renseignements personnels, une entreprise devrait procéder de la manière suivante :

  1. Définir les responsabilités du conseil d’administration et ses obligations en matière de surveillance : Les entreprises doivent définir clairement les responsabilités de la haute direction et du conseil d’administration en ce qui a trait aux renseignements personnels et à la cybersécurité. Le conseil, le comité du conseil responsable, ou les deux doivent recevoir des mises à jour régulières sur la stratégie et les processus de cybersécurité, et chercher activement à nommer des administrateurs ayant des compétences en la matière.
  2. Connaître l’ensemble des lois et des règlements et s’y conformer : Les entreprises doivent prendre connaissance et surveiller la réglementation en vigueur dans tous les territoires pertinents, et rendre compte publiquement de leurs engagements à respecter la loi. Le volume et la portée des lois sur la protection des renseignements personnels ne cessent d’augmenter, et les amendes infligées en cas de non-conformité sont de plus en plus salées.
  3. Recueillir uniquement les données nécessaires : Les entreprises doivent recueillir la quantité minimale de données (minimisation des données) nécessaires à la réalisation de l’objectif pour lequel elles sont obtenues (proportionnalité). Il ne faut pas recueillir de données supplémentaires qui ne sont pas requises.
  4. Obtenir le consentement et en comprendre le principe : La collecte de renseignements personnels doit être faite uniquement à la connaissance de la personne concernée et avec son consentement, sauf dans de très rares exceptions. Par conséquent, l’obtention du consentement pour acquérir et utiliser des renseignements personnels devrait faire partie intégrante du processus de collecte et ce consentement devrait être réitéré régulièrement.
  5. Adopter des pratiques rigoureuses pour gérer la sécurité des données : Toute entreprise qui recueille et utilise des renseignements personnels doit se doter de politiques et de pratiques visant à assurer la sécurité des données et à les protéger contre les cyberattaques. Cela comprend notamment un plan de gestion des incidents, qui prévoit la continuité des opérations et la reprise après sinistre, et des processus d’audit qui couvrent l’ensemble des activités et s’étendent aux fournisseurs externes.
  6. Sensibiliser les employés à la protection des renseignements personnels : Les employés qui ont accès à des renseignements personnels doivent comprendre les exigences en matière de protection des données, tout comme les clients et les tiers. En organisant régulièrement des séances d’information et de formation sur des sujets comme le consentement, la protection des identifiants, l’hameçonnage et la cybersécurité, une entreprise renforce sa capacité de gestion des risques connexes.

À RBC Gestion mondiale d’actifs (RBC GMA), nous appliquons des critères environnementaux, sociaux et de gouvernance (ESG) pour évaluer l’exposition des sociétés aux risques ESG importants. La qualité et l’efficacité des systèmes de protection et de sécurité des données mis en place par les sociétés figurent parmi les facteurs que nos équipes des placements prennent en compte lors de l’intégration des critères ESG. Elles examinent notamment les processus visant la collecte et l’utilisation des données, l’obtention du consentement et la monétisation, la rigueur des politiques sur la confidentialité des renseignements, les responsabilités de l’équipe de direction, les audits sur la confidentialité et la sécurité, la formation du personnel, la présentation de l’information et la supervision du conseil d’administration.

Quelle est l’incidence de la COVID-19 sur la protection des données ?

Le 11 mars 2020, l’Organisation mondiale de la Santé a qualifié l’épidémie de COVID-19 de pandémie mondiale. À compter de ce jour, les entreprises et les gouvernements ont pris des mesures sans précédent pour freiner la propagation du virus et protéger la population. Ils se sont notamment tournés vers la technologie pour recueillir, utiliser et communiquer des données en vue de limiter le nombre d’infections, d’établir des politiques efficaces et de contribuer à la découverte d’un vaccin. Dans ces circonstances, un juste équilibre doit donc être trouvé entre la santé et la sécurité du public, d’une part, et la confidentialité et la sécurité des renseignements personnels, d’autre part.

Impacts de la COVID-19 Description et exemples
Collecte et communication de données médicales, de données sur la santé et de renseignements personnels Les autorités de santé publique peuvent s’échanger des données d’ordre médical afin de coordonner leurs interventions contre la COVID-19. Dans certains cas, des employeurs ont été obligés, afin de protéger la santé et la sécurité leurs clients et employés, d’informer ces derniers que des membres de leur personnel étaient infectés. De telles décisions devaient être prises conformément à la législation sur les renseignements personnels et en respectant la vie privée des personnes infectées.
Surveillance et suivi des déplacements et de l’état de santé des gens Plusieurs gouvernements et entreprises privées utilisent des outils technologiques pour cerner, suivre et surveiller la propagation de la COVID-19. Par exemple :
  • En Chine, des caméras à infrarouge et de reconnaissance faciale installées dans les infrastructures de transport public permettent de repérer les usagers faisant de la fièvre.7
  • En Corée du Sud, une application de localisation avise les citoyens lorsqu’ils se trouvent à moins de 100 m d’une personne infectée. L’application fournit des renseignements comme la date à laquelle la personne a été infectée, sa nationalité, son genre, son âge et les lieux qu’elle a visités.
  • À Taïwan, l’appareil mobile des personnes mises en quarantaine fait l’objet d’un suivi obligatoire.
  • L’Espagne a mis au point une application de santé publique que les gens utilisent chaque jour pour signaler leur température corporelle.
Menaces à la sécurité des données découlant de la numérisation des processus et des pratiques, et du risque accru de cyberattaques L’expansion du télétravail et de la numérisation augmente les risques pour la sécurité et la confidentialité des renseignements. Ces risques sont amplifiés lorsque de nouveaux processus (p. ex., vidéoconférences) sont implantés rapidement, sans vérification, mesures de contrôles ou processus adéquats. Les auteurs de cyberattaques pourraient profiter du fait que les entités sont occupées à gérer la crise actuelle. L’Organisation mondiale de la Santé a d’ailleurs révélé que les cyberattaques avaient quintuplé depuis le début de la pandémie de COVID-19.8 Les risques pour la sécurité des données sont exacerbés par le fait que les systèmes de TI et les effectifs sont mis à contribution de manière excessive pour gérer la crise.
Modification des lois relatives à la confidentialité et à la protection des renseignements personnels La pandémie de COVID-19 a poussé les gouvernements partout dans le monde à adopter des lois sur les mesures d’urgence, à modifier des lois existantes sur la protection des données et à émettre des lignes directrices précises. Aux États-Unis, la loi intitulée Health Insurance Portability and Accountability Act permet au gouvernement de déroger aux règles de protection des renseignements personnels en cas de crise sanitaire. Bien que des changements aux droits à la vie privée aient pu être apportés au moyen de ces mécanismes légaux (et d’autres), on ne sait pas encore ce qu’il en adviendra après la crise.

En quoi la confidentialité et la protection des renseignements personnels seront-elles différentes par suite de la COVID-19 ?

La pandémie de COVID-19 force les gouvernements et les entreprises à s’adapter rapidement à une situation qui change constamment. Même si les données et la technologie ont un important rôle à jouer pour aider les entreprises et les autorités à cerner, à suivre et à surveiller la propagation de la COVID-19, la question de la protection et de la sécurité des renseignements personnels doit demeurer au centre des préoccupations. Une fois que les besoins immédiats suscités par la crise auront été comblés, les entreprises et les gouvernements devront faire ce qui suit :

  • Veiller au respect des lois sur la vie privée : Il faudra répertorier et évaluer les données susceptibles d’avoir été obtenues en vertu de lois sur les mesures d’urgence, de lois modifiées ou de lignes directrices précises liées à la COVID-19, afin de s’assurer que la collecte, le traitement ou la communication de ces données respectent toutes les lois applicables.
  • Réitérer le consentement des personnes et les droits relatifs aux données : Les entreprises et les gouvernements qui continueront de recueillir et de détenir des données personnelles devront veiller à obtenir le consentement des personnes concernées. Bien que le consentement implicite ou la transmission volontaire de certaines informations puissent avoir été appropriés durant la crise en vertu de changements apportés à la législation ou aux exigences, le consentement explicite pourrait être requis une fois la crise terminée, surtout si l’objectif de la collecte des données a changé.9
  • Vérifier la protection et la sécurité des données : Durant la crise, des solutions technologiques ou d’autres mécanismes, comme les vidéoconférences, l’accueil à distance ou les vérifications numériques, peuvent avoir été adoptés, sans avoir été soumis au processus habituel de gestion du risque lié aux tiers. Les entreprises doivent combler les éventuelles lacunes de leur processus de vérification, pour éviter toute infraction aux lois sur la vie privée et toute violation des mécanismes de sécurité.

À RBC GMA, toutes les équipes des placements évaluent les facteurs ESG importants, comme la confidentialité et la sécurité des renseignements personnels, lorsqu’elles prennent des décisions sur les placements. Nous faisons par ailleurs valoir nos points de vue sur des facteurs clés au moyen des votes par procuration et d’une communication régulière avec les émetteurs. Nous croyons pouvoir améliorer le rendement à long terme corrigé du risque de nos portefeuilles en agissant comme un gestionnaire actif, dynamique et responsable, conscient de son devoir fiduciaire.

Pour obtenir des précisions sur la démarche de RBC GMA en matière d’investissement responsable : cliquez ici.

1. Digital 2019: Global internet use accelerates, janvier 2019, We are Social et Hootsuite
2. How much data is created on the internet each day, juin 2019, MicroFocus
3. Règlement (UE) 2016/679 du Parlement européen et du Conseil, 27 avril 2016, droit de l’Union européenne
4. GDPR Enforcement Tracker, suivi par CMS. Law. Tax, consulté le 28 avril 2020
5. Facebook fined $5 billion by FTC, must update and adopt new privacy, security measures, 24 juillet 2019, USA Today
6. Google and YouTube Will Pay Record $170 Million for Alleged Violations of Children’s Privacy Law, 4 septembre 2019, Federal Trade Commission
7. China rolls out facial recognition thermometers on buses amid coronavirus outbreak, février 2020, The Hill
8. Les cyberattaques visant l’OMS ont été multipliées par cinq : soyons vigilants, 23 avril 2020, Organisation mondiale de la Santé
9. COVID-19, Managing privacy and cyber issues, mars 2020, McCarthyTetrault

Déclarations

Le présent document est fourni par RBC Gestion mondiale d’actifs (RBC GMA), à titre informatif seulement. Il ne peut être ni reproduit, ni distribué, ni publié sans le consentement écrit préalable de RBC GMA ou de ses entités affiliées mentionnées dans les présentes. Le présent document ne constitue pas une offre d’achat ou de vente ou la sollicitation d’achat ou de vente de titres, de produits ou de services dans aucun territoire. Ce document ne peut pas être distribué aux personnes résidant dans les territoires où une telle distribution est interdite.

RBC GMA est la division de gestion d’actifs de Banque Royale du Canada (RBC) qui regroupe RBC Gestion mondiale d’actifs Inc., RBC Global Asset Management (U.S.) Inc., RBC Global Asset Management (UK) Limited, RBC Investment Management (Asia) Limited, et BlueBay Asset Management LLP, qui sont des filiales distinctes, mais affiliées de RBC.

Au Canada, ce document est fourni par RBC Gestion mondiale d'actifs Inc., (y compris Phillips, Hager & North gestion de placements) qui est régie par chaque commission provinciale ou territoriale des valeurs mobilières auprès de laquelle elle est inscrite. Aux États-Unis, ce document est fourni par RBC Global Asset Management (U.S.) Inc., un conseiller en placement agréé par le gouvernement fédéral. En Europe, ce document est fourni par RBC Global Asset Management (UK) Limited, qui est agréée et régie par la Financial Conduct Authority du Royaume-Uni. En Asie, ce document est fourni par RBC Investment Management (Asia) Limited, qui est inscrite auprès de la Securities and Futures Commission (SFC) de Hong Kong.

Ce document n’a pas été revu par une autorité en valeurs mobilières ou toute autre autorité de réglementation et n’est inscrit auprès d’aucune d’entre elles. Il peut, selon le cas, être distribué par les entités susmentionnées dans leur territoire respectif. Vous trouverez des précisions sur RBC GMA à www.rbcgam.com.

Le présent document n’a pas pour objectif de fournir des conseils juridiques, comptables, fiscaux, financiers, liés aux placements ou autres, et ne doit pas servir de fondement à de tels conseils. RBC GMA prend des mesures raisonnables pour fournir des renseignements à jour, exacts et fiables, et croit qu’ils le sont au moment de leur impression. RBC GMA se réserve le droit, à tout moment et sans préavis, de corriger ou de modifier les renseignements, ou de cesser de les publier.

Tout renseignement prospectif sur les placements ou l’économie contenu dans le présent document a été obtenu par RBC GMA auprès de plusieurs sources. Les renseignements obtenus auprès de tiers sont jugés fiables ; toutefois, aucune déclaration ni garantie, expresse ou implicite, n’est faite ni donnée par RBC GMA ou ses sociétés affiliées ni par aucune autre personne quant à leur exactitude, leur intégralité ou leur bien-fondé. RBC GMA et ses sociétés affiliées n’assument aucune responsabilité à l’égard des erreurs ou des omissions.

Les rendements antérieurs ne se répètent pas nécessairement. Tout placement comporte un risque de perte de la totalité ou d’une partie du montant investi. Les rendements, si indiqués, sont fournis à des fins d’illustration seulement et ne constituent en aucun cas des prévisions. Le rendement actuel peut être supérieur ou inférieur à celui indiqué, et peut varier considérablement, notamment à plus court terme. Il est impossible d’investir directement dans un indice.

Certains énoncés contenus dans ce document peuvent être considérés comme étant des énoncés prospectifs, lesquels expriment des attentes ou des prévisions actuelles à l’égard de résultats ou d’événements futurs. Les énoncés prospectifs ne sont pas des garanties de rendements ou d’événements futurs et comportent des risques et des incertitudes. Il convient de ne pas se fier indûment à ces énoncés, puisque les résultats ou les événements réels pourraient différer considérablement de ceux qui y sont indiqués en raison de divers facteurs. Avant de prendre une décision de placement, nous vous invitons à prendre en compte attentivement tous les facteurs pertinents.

® / MC Marque(s) de commerce de Banque Royale du Canada, utilisée(s) sous licence. © RBC Gestion mondiale d’actifs Inc., 2020