Avec l’arrivée des froids de février, temps de geler aussi votre dossier de crédit?

Depuis le 1er février, les Québécois peuvent finalement bénéficier d’un type de dispositif de protection adopté il y a plusieurs années aux États-Unis et leur permettant de geler leur dossier de crédit. Le but, vous le comprendrez, est d’éviter que des mécréants ne profitent de l’ouverture du système de crédit canadien pour obtenir des prêts ou activer des cartes et des marges de crédit à votre nom, sans que vous le sachiez -i.e. voler votre identité, en langage de tous les jours.

Ce qu’il faut comprendre à ce sujet, c’est que le Québec se dotait d’une nouvelle loi intitulée la Loi sur les agents d’évaluation du crédit il y a de cela un moment mais dont un article décrivant une mesure de protection optionnelle n’était jusqu’à tout récemment pas encore en vigueur. Depuis le 1er février 2023, par contre, cette loi donne le droit aux Québécois d’effectuer ce qu’elle nomme un «gel de sécurité» du leur propre dossier de crédit. Ce dispositif gagnerait à être connu des Québécois, de plus en plus victimes de vols d’identité, tellement notre système de protection des renseignements s’apparente à un passoir.

Un gel, une fois en place, empêche les tiers d’obtenir vos renseignements personnels par une agence de crédit visée, quand ce tiers affirme vouloir les obtenir pour mettre en place du nouveau crédit ou un contrat de louage ou de service, comme le font les banques ou les entreprises de télécom quand on veut emprunter ou s’abonner, par exemple. Dès lors, plus de possibilité pour des tiers, mal intentionnés ou non, d’interroger la base de données ou d’enclencher le processus normal de mis en place de nouveaux prêts. Quand cela le produit, l’agence de crédit doit évidemment aussi aviser le tiers visé de l’existence de ce gel, pour expliquer le refus de répondre comme elle le fait habituellement quand un prêteur la contacte pour obtenir votre cote et votre dossier de crédit.

En gros, une fois que vous activez un gel de sécurité : toute tentative d’activer de nouveaux prêts ou de nouvelles cartes de crédit frappe un mur qui indique que l’individu visé a déclaré ne plus vouloir emprunter -il y a donc un problème pour le prêteur ou le fournisseur potentiel, lequel refusera alors normalement la tentative d’activation que «vous» lui aviez présenté. Fâchant si c’est bien vous mais fort utile si c’est en réalité un mécréant qui est à tenter de vous escroquer en se faisant passer pour vous.

Ce que cette loi décrit comme des «agent d’évaluation du crédit», ce sont les Equifax et Trans-Union de ce monde, qu’on a expressément désignés comme tel en vertu de cette loi. Ce sont ces entreprises auxquels la loi est donc appliquée et auxquelles il faut s’adresser pour effectuer un gel de son dossier de crédit.

Donc, depuis le 1er février, si vous voulez vous protéger des tentatives éventuelles de vol d’identité, vous disposez dorénavant d’un excellent nouvel outil, dans la mesure où vous n’êtes pas du genre à vouloir constamment vous munir de nouvelles cartes de crédit ou d’autres formes de crédit, évidemment. Au besoin, on peut faire un gel et le mettre sur pause plus tard, sujet à faire alors les démarches qui s’imposent, évidemment.

En principe, selon ce que je comprends, ce gel doit être offert GRATUITEMENT, contrairement à des abonnements relatifs à des services comme Equifax Complete, par exemple, pour lesquels les agences de crédit peuvent exiger des frais.

De l’importance de dresser un inventaire des renseignements personnels dans votre organisation

Dans le monde de la vente au détail, un classique de gestion implique périodiquement voir à confirmer, en pratique, ce qu’on a effectivement en stock. C’est un minimum pour assurer une saine gestion dans les entreprises de ce genre.

Avec le resserrement progressif des règles touchant la protection des renseignements personnels, de plus en plus de PME sont à réaliser devoir commencer à se conformer au régime de protection que prévoit la loi à ce sujet. Le problème immédiat auquel un grand nombre d’entre elles font alors face, c’est de savoir dans quelle mesure elles font des choses que la loi interdit de faire. C’est le problème de l’inventaire et/ou de la cartographie de données.

C’est un énoncé classique en gestion que tu ne peux pas gérer adéquatement quelque chose que tu n’as pas d’abord mesuré. En matière de renseignements personnels, la problématique de ce côté provient de la difficulté de tenter de se conformer à des règles, sans savoir si, comment et dans quelle mesure notre organisation collecte, utilise ou communique des renseignements et, si oui, lesquels.

Pour être clair, nos lois n’exigent pas directement des organisations qu’elles inventorient les renseignements personnels chez elles. Nos lois à ce sujet se limitent plutôt à dire que tu ne peux pas faire X, Y et Z par rapport aux renseignements d’autrui. Évidemment, si tu ne t’es jamais donné la peine de déterminer si et comment ton organisation traite les renseignements personnels (et lesquels!), tu n’es pas susceptible de pouvoir limiter ce que tu fais avec conformément à la loi. C’est assez élémentaire.

Il y a un donc un exercice important à faire avant de vraiment pouvoir savoir si une entreprise ou une organisation de conforme à nos lois en matière de protection des renseignements personnels. Cet exercice consiste à:

  • faire l’inventaire de ce que l’on a (quels sont les renseignements que vous détenez sur autrui?);
  • comprendre d’où ces données proviennent;
  • savoir comment on les utilise et ce qu’on fait avec;
  • répertorier là où on envoi ces données -vers quels tiers, etc.

Une fois qu’on comprend ce contexte, on pourra alors commencer à se poser les questions qui s’imposent, dont par rapport à la mesure dans laquelle on se conforme ou non à ce que requiert la loi pour chaque instance de collecte, de conservation, d’usage ou de communication.

Ce processus s’avère important mais doit débuter par se demander ce qu’on a entre les mains. Bien que cela puisse paraitre évident, il est étonnant de constater combien d’organisations (de PME, en particulier) semblent vouloir débuter sans se donner la peine d’inventorier et de cartographier leurs données personnelles adéquatement.

Un pas de plus vers l’adoption du projet de loi canadien C-27 et d’une nouvelle loi en matière d’IA

Le projet de loi fédéral C-27, visant à effectuer une mise à jour substantielle des lois canadiennes en matière de renseignements personnels,  passait récemment en deuxième lecture, nous rapprochant ainsi allègrement d’une adoption éventuelle.

Comme on s’en souviendra, C-27 implique une série de modifications visant à renforcer passablement les règles s’appliquant aux entreprises canadiennes (à l’extérieur d’une seule province) en matière de données personnelles. À l’instar de ce qui se fait actuellement au Québec, on a en effet réalisé depuis un moment que nos règles datant de 1999-2000 étaient maintenant dépassées, ce qui justifie une refonte de toute la loi, en plus de l’inclusion de nouvelles règles et même de créer un nouveau tribunal spécialisé qui entendra certaines des affaires en matière de renseignements personnels.

Le Ministre responsable de ce projet de loi réitérait récemment que le but de l’exercice comprend notamment redonner aux consommateurs canadiens le contrôle sur leurs données.

Ce projet comprend aussi l’adoption d’une toute nouvelle loi (la Loi sur l’intelligence artificielle et les données du gouvernement du Canada) qui régirait l’usage de l’intelligence artificielle, incluant par les entreprises canadiennes, notamment par rapport à la conception et la mise en oeuvre de ce genre de système. Cette nouvelle loi spécifique (surnommée « LIAD », en français) interdira entre autres certains comportements vus par la loi comme trop susceptibles de causer de graves préjudices aux Canadiens, incluant pour ce qui est des droits de la personne et des valeurs de la société canadienne. La LIAD obligera notamment ceux qui créés et utilisent l’IA à déployer des mesures d’évaluation et d’atténuation des risques, surveiller la conformité de leurs systèmes, faire preuve de transparence, tenir des registres spéciaux, informer le gouvernement en certains cas, etc.

La nouvelle incarnation de ces nouvelles lois en la matière comprendra notamment des sanctions que plusieurs qualifient de draconiennes, incluant des sanctions basées sur les revenus mondiaux des entreprises délinquantes, etc.

Le Gouvernement canadien réaffirme avoir la ferme intention de voir à adopter ces projets de loi dans la période à venir. La question n’est donc pas tant si ces nouvelles lois seront adoptées mais quand.