En­jeux ré­gle­men­taires.

Le lé­gis­la­teur fait face à de nou­veaux dé­fis.

Finance et Investissement - - LA UNE - PAR RI­CHARD CLOUTIER

L’UTI­LI­SA­TION DE LA TECH-no­lo­gie des re­gistres dis­tri­bués, ou blo­ck­chain, im­plique que des in­for­ma­tions, in­cluant des ren­sei­gne­ments per­son­nels, vont quit­ter la ju­ri­dic­tion ca­na­dienne et se­ront par­ta­gées au- de­là des fron­tières phy­siques et lo­giques clas­siques.

« Il faut dé­ter­mi­ner si on peut ac­cep­ter ça ou non, et comment il est pos­sible de pro­té­ger ces in­for­ma­tions » , si­gnale Cha­di Ha­bib, pre­mier vice- pré­sident, tech­no­lo­gies de l’in­for­ma­tion, au Mou­ve­ment Des­jar­dins.

Se­lon lui, plu­sieurs ins­ti­tu­tions fi­nan­cières du Ca­na­da per­mettent à leurs don­nées de sor­tir du pays, ces don­nées étant sé­cu­ri­sées par des tech­no­lo­gies d’en­cryp­tage. Cer­taines so­cié­tés d’in­fo­nua­gique, ou cloud, par exemple, ont créé des in­fra­struc­tures se­lon des spé­ci­fi­ci­tés très par­ti­cu­lières afin d’en­tre­po­ser des don­nées.

« Dans la blo­ck­chain, comme on ne parle pas d’un contrat avec une seule tierce par­tie comme c’est le cas clas­sique dans notre in­dus­trie, les don­nées étant plu­tôt dé­cen­tra­li­sées et dis­tri­buées au­près de cha­cun des uti­li­sa­teurs, il n’y a pas d’en­ti­tés au­près de la­quelle je pour­rais exi­ger des spé­ci­fi­ci­tés liées à l’en­tre­po­sage des don­nées, par exemple en ma­tière géo­gra­phique », illustre Cha­di Ha­bib.

Se­lon la Loi sur la pro­tec­tion des ren­sei­gne­ments per­son­nels

dans le sec­teur pri­vé, une en­tre­prise ne peut hé­ber­ger de don­nées à l’ex­té­rieur du Qué­bec à moins de veiller à ce que le man­da­taire à qui elle les confie as­sure un ni­veau de pro­tec­tion équi­valent à ce­lui qu’elle est elle-même te­nue de res­pec­ter, in­dique Ni­co­las Ver­meys, pro­fes­seur agré­gé à la Fa­cul­té de droit de l’Uni­ver­si­té de Mon­tréal.

Ce­ci étant, une en­tre­prise pri­vée, et c’est le cas pour une banque, doit in­for­mer son client de l’en­droit où son dos­sier se­ra dé­te­nu ain­si que des droits d’ac­cès ou de rec­ti­fi­ca­tion.

« Par exemple, si je veux hé­ber­ger toutes mes don­nées en Chine, je peux sim­ple­ment l’in­di­quer dans le contrat, ce qui donne un choix théo­rique au consom­ma­teur de faire af­faire avec une autre en­tre­prise, illustre Ni­co­las Ver­meys. Avec le cloud, je sais que mon ser­veur est si­tué à telle adresse à New York, alors qu’avec la blo­ck­chain, les don­nées sont ré­pli­quées sur toute la pla­nète, ce qui com­plique la tâche pour in­for­mer le consom­ma­teur du lieu d’hé­ber­ge­ment et lui per­mettre de faire un choix éclai­ré. »

DÉ­FIS RÈGLEMENTAIRES

Même si la tech­no­lo­gie de type

blo­ck­chain a le po­ten­tiel d’ap­por­ter de nom­breux avan­tages tant pour les consom­ma­teurs que pour les par­ti­ci­pants de mar­ché, des pro­blèmes tech­niques liés à la confi­den­tia­li­té des don­nées et à la cybersécurité, de même que des obs­tacles sur les plans de la gou­ver­nance et de la ré­gle­men­ta­tion doivent d’abord être ré­glés, confirme la Banque du Ca­na­da.

Les pro­mo­teurs de cette tech­no­lo­gie de­vront né­ces­sai­re­ment conve­nir de règles en ma­tière de gou­ver­nance, ce qui pour­rait s’avé­rer pro­blé­ma­tique étant don­né les in­té­rêts di­ver­gents des di­verses par­ties pre­nantes, a sou­te­nu Ca­ro­lyn Wil­kins, pre­mière sous- gou­ver­neure de la Banque du Ca­na­da, dans un dis­cours pro­non­cé à Cal­ga­ry, en juin 2016.

L’Au­to­ri­té des mar­chés fi­nan­ciers ( AMF) est d’avis que pour voir les avan­tages de la tech­no­lo­gie blo­ck­chain se concré­ti­ser et se dé­ployer dans un mo­dèle de masse ac­cep­table pour le ré­gu­la­teur, les règles de gou­ver­nance as­so­ciées de­vront res­pec­ter cer­tains fon­de­ments non né­go­ciables de la lé­gis­la­tion et de la ré­gle­men­ta­tion.

« La pro­tec­tion des ren­sei­gne­ments per­son­nels et la cybersécurité consti­tuent des bases im­por­tantes de toute in­fra­struc­ture tech­no­lo­gique, que celle- ci soit sous forme de re­gistre dis­tri­bué, in­fo­nua­gique ou tra­di­tion­nelle », pré­cise Syl­vain Thé­berge, di­rec­teur des re­la­tions mé­dias de l’AMF.

LE CHOIX DU RE­GISTRE

Les règles de gou­ver­nance as­so­ciées aux re­gistres dis­tri­bués em­pruntent dif­fé­rentes formes, mais trois mo­dèles qui pré­sentent un pro­fil de risques et d’avan­tages propre, se dis­tinguent. Il s’agit des re­gistres dis­tri­bués sans per­mis­sion, des re­gistres dis­tri­bués avec per­mis­sion et des re­gistres dis­tri­bués hy­brides.

L’AMF est d’avis que cha­cun de ces mo­dèles « es­saie d’at­teindre un équi­libre fonc­tion­nel entre pro­tec­tion des ren­sei­gne­ments per­son­nels et trans­pa­rence, entre im­mua­bi­li­té, ir­ré­vo­ca­bi­li­té et flexi­bi­li­té ain­si qu’entre au­cun point de dé­faillance unique et gou­ver­nance ef­fi­cace ».

En ma­tière de pro­tec­tion des ren­sei­gne­ments per­son­nels, les re­gistres dis­tri­bués sans per­mis­sion im­pliquent gé­né­ra­le­ment qu’il n’y a au­cune trans­mis­sion ou en­tre­po­sage de ren­sei­gne­ments per­son­nels non cryp­tés, et l’in­té­rêt concerne uni­que­ment la va­li­da­tion d’un état de fait. Par exemple, dans le cas du bit­coin, le re­gistre dis­tri­bué conserve uni­que­ment l’his­to­rique des tran­sac­tions ef­fec­tuées, in­cluant une iden­ti­fi­ca­tion des émet­teurs et des ré­cep­teurs.

Concer­nant les re­gistres dis­tri­bués avec per­mis­sion, leur cadre de gou­ver­nance est plus flexible, ce qui leur per­met d’en­tre­po­ser des don­nées plus sen­sibles. « Il est plus fa­cile de par­ta­ger des ren­sei­gne­ments per­son­nels lorsque les par­ti­ci­pants se font dé­jà confiance, par exemple s’il s’agit d’un gou­ver­ne­ment, d’une banque ou d’un in­ter­mé­diaire de mar­ché pour le­quel il existe des règles pru­den­tielles », se­lon l’AMF.

Les mo­dèles hy­brides pos­sèdent cer­taines ca­rac­té­ris­tiques des deux pré­cé­dents et peuvent donc être sans per­mis­sion pour cer­tains as­pects et avec per­mis­sion pour d’autres as­pects. « Il est pro­bable que les cas d’uti­li­sa­tion en fi­nance uti­li­se­ront un mo­dèle avec per­mis­sion ou hy­bride pour se sa­tis­faire des obli­ga­tions de pro­tec­tion des ren­sei­gne­ments per­son­nels et de cybersécurité », confirme l’AMF.

Un rap­port de l’Ins­ti­tut C. D. Howe, pu­blié en fé­vrier 2017, sug­gère que les or­ga­nismes de ré­gle­men­ta­tion de­vraient se concen­trer sur la concep­tion d’un ré­gime de ré­gle­men­ta­tion fon­dé sur des prin­cipes qui fixent des normes de sé­cu­ri­té éle­vées et qui offre un en­vi­ron­ne­ment ju­ri­dique stable, sans per­tur­ber le dé­ve­lop­pe­ment de la tech­no­lo­gie.

« Compte te­nu de l’in­cer­ti­tude quant à l’évo­lu­tion de la tech­no­lo­gie des chaînes de blocs, il semble rai­son­nable de se fon­der uni­que­ment sur un en­semble re­la­ti­ve­ment res­treint de prin­cipes di­rec­teurs, ce qui per­met­tra à la tech­no­lo­gie de se dé­ve­lop­per de fa­çon flexible, dans des di­rec­tions dif­fé­rentes, au fil du temps », peut-on y lire.

La ques­tion consiste donc à dé­ter­mi­ner si la ga­ran­tie en ma­tière de sto­ckage et de trans­mis­sion d’in­for­ma­tions sé­cu­ri­sées et cryp­tées, im­pli­cite à la tech­no­lo­gie blo­ck­chain, est suf­fi­sante pour consi­dé­rer que les ren­sei­gne­ments per­son­nels sont aus­si bien pro­té­gés à l’étran­ger qu’ils le se­raient par une loi quel­conque.

« Avec la blo­ck­chain, la pro­tec­tion tech­no­lo­gique vien­drait- elle en quelque sorte rem­pla­cer la pro­tec­tion ju­ri­dique ? Cer­tains au­teurs sont d’avis que oui, d’autres sont d’avis que non, moi per­son­nel­le­ment, je pense que la rédaction ac­tuelle du texte de loi ne per­met pas de dis­tin­guer si la pro­tec­tion doit être de na­ture ju­ri­dique ou tech­no­lo­gique » , es­time Ni­co­las Ver­meys.

Ce­ci étant, il faut sa­voir que la Loi sur la pro­tec­tion des ren­sei­gne­ments per­son­nels et la Loi sur l’ac­cès à l’in­for­ma­tion sont à l’étude pour d’éven­tuelles mo­di­fi­ca­tions, men­tionne-t-il.

Newspapers in French

Newspapers from Canada

© PressReader. All rights reserved.