Passer au contenu

Services bancaires et financiers : Réduire le risque de litige au moyen de contrôles internes fiables et de mesures de protection des données sur les clients

Auteur(s) : Larry Lowenstein, Shawn Irving

Janvier 2014

Services bancaires et financiers


Les institutions financières canadiennes continuent d’évoluer au sein de leur marché habituel et des autres territoires, suivant un monde transformé par la crise financière de 2008 et les différentes mesures réglementaires découlant de cet événement.

En 2014, les principales priorités de gestion devraient inclure les risques que posent les contrôles internes insuffisants quant aux comportements à risque ou illicites, ainsi que le défi que présente la protection de la vie privée des clients vu la croissance continuelle du volume des données personnelles.



Le coût de plus en plus élevé des mesures de contrôle interne inefficaces

Bien que la tendance mondiale actuelle d’une réglementation accrue en matière de contrôles internes inadéquats résulte principalement des scandales de comptabilités financière du début des années 2000 et de la crise financière de 2008, les sanctions colossales récemment imposées aux États-Unis et ailleurs illustrent de nouveau les risques liés à la non-conformité.

Aux États-Unis, JPMorgan Chase & Co. a récemment accepté de payer 13 milliards de dollars au gouvernement américain dans le cadre d'un règlement lié à des pratiques prétendument laxistes de la part de la banque dans l’autorisation et la mise en marché de titres adossés à des créances hypothécaires. Ce règlement est le plus important à intervenir entre un gouvernement et une société. On s’attend à ce qu’il ouvre la voie à d’autres règlements comparables impliquant des banques américaines et étrangères qui auraient pris part à des pratiques similaires. De même, le scandale des prêts hypothécaires à risque continue de faire la manchette des journaux et se traduira probablement par des mesures ou des sanctions réglementaires extrêmement importantes.

En comparaison, les sanctions administratives au Canada ont toujours été plus modestes. Cependant, on remarque également que les organismes réglementaires canadiens, suivant une volonté croissante d’apporter des changements concrets quant au comportement des sociétés, sont de plus en plus prêts à s’attaquer à la marge de profits de ces dernières et à durcir leur attitude en matière de sanctions. Dans l’immédiat, les sociétés canadiennes s’exposent déjà à d’importantes sanctions si elles font affaire aux États-Unis.

Et si la possibilité de sanctions administratives faramineuses ne suffisait pas pour convaincre les cadres et les administrateurs d’entreprise de l’importance des contrôles internes et de la conformité réglementaire,  il y a en plus le risque très concret de recours collectifs en valeurs mobilières dans le cas de conduite criminelle ou illicite. De tels recours collectifs peuvent être concomitants ou consécutifs aux enquêtes des organismes de réglementation. À titre d’exemple, un recours collectif a été intenté contre SNC-Lavalin suite à leur scandale de corruption à l’étranger, au motif que la société avait fait des déclarations inexactes dans ses documents d’information quant au caractère suffisant de ses mesures de contrôle interne.

Enfin, les 2 milliards de dollars de perte enregistrée par JPMorgan lors de ses négociations désastreuses du « London Whale » devraient servir de rappel aux institutions financières quant à la fonction essentiellement préventive de la gestion des risques, des procédures de conformité et des contrôles internes. Dans notre marché trépidant et instable d’aujourd’hui, un comportement défaillant peut rapidement engendrer des conséquences catastrophiques s’il n’est pas détecté et corrigé à temps. Encore une fois, mieux vaut prévenir que guérir.


Pratiques exemplaires

  1. Amorcer le changement au sommet de la hiérarchie
    Le conseil d’administration et la haute direction devraient prendre et communiquer un engagement en matière de gestion efficace des risques, de procédures de conformité et de contrôles internes.
  2. Se servir du risque pour établir la priorité des contrôles
    Une évaluation judicieuse des risques devrait orienter les efforts initiaux vers les aspects présentant le plus grand potentiel de préjudice.
  3. Mettre en place un système de gestion des risquesmanagement
    Les politiques incluent habituellement des programmes de dénonciation, des procédures de vérification interne, d’enquête et de conformité.
  4. Mettre l’accent sur la prévention
    Des contrôles efficaces devraient prévenir ou détecter rapidement les cas d’inconduite; des sanctions administratives plus clémentes pourraient être accordées si la société dénonce elle-même son inconduite.


Vie privée et conservation des données

Alors que le volume et la portée des données personnelles recueillies et conservées par les institutions financières augmentent, il en va de même pour les risques de litige.

Avec le développement rapide et l’utilisation aujourd’hui quasi universelle des réseaux numériques pour les opérations financières, les conseils financiers, la numérisation et le stockage de documents clients, les institutions financières se trouvent directement exposées à des risques de litige découlant de la collecte et de la conservation de « données massives » (big data) et des attentes des clients quant au respect de leur vie privée.

Bien qu’il soit difficile d’évaluer le niveau précis de risque lié à la conservation des renseignements personnels et financiers, plusieurs recours collectifs récemment intentés au Canada démontrent que ce risque est bel et bien présent.

Suite à la décision Jones c. Tsige de la Cour d’appel de l’Ontario en 2012 – une affaire dans laquelle l’employée d’une banque avait consulté à plusieurs reprises les dossiers bancaires de l’ex-épouse de son conjoint – il existe maintenant en Ontario un délit en common law appelé « intrusion dans l’intimité » (intrusion upon seclusion). Bien que le délit se limite à des dommages-intérêts « moraux » et ne soit pas fondé sur une perte pécuniaire, la Cour a confirmé qu’une personne pouvait être responsable d’intrusions intentionnelles ou insouciantes dans la vie privée d’une autre personne lorsqu'une personne raisonnable percevrait ces intrusions comme étant « très choquantes ». Les intrusions dans les dossiers financiers sont considérées « très choquantes » et, par conséquent, permettent d’intenter une action à titre de délit en common law. Ce nouveau droit d’intenter une action en common law, de même que les recours statutaires prévus par la loi de certaines provinces, ont fait en sorte que de nombreux recours collectifs ont été intentés au cours de la dernière année au Canada. Par exemple, une poursuite a été intentée dernièrement à la suite de la perte d’un disque dur externe au bureau du ministère des Ressources humaines et Développement des compétences en Ontario. Ce disque dur contenait des renseignements personnels sur environ 583 000 Canadiens. Un autre recours a été intenté après que des cybercriminels aient mis la main sur les données personnelles de plus de 12 000 clients de Peoples Trust Company.

À l’heure actuelle, le degré de responsabilité varie d’une province à l’autre. Il reviendra aux tribunaux canadiens d’examiner la façon de déterminer et de quantifier les préjudices, au fur et à mesure que de nouvelles poursuites sont intentées et que les problématiques liées à la vie privée et à la conservation des données se multiplient. 

Un autre risque d’atteinte à la vie privée découle du Foreign Account Tax Compliance Act (FATCA) des États-Unis, qui entrera en vigueur en juillet 2014. Le FATCA oblige les institutions financières étrangères (p. ex. les institutions canadiennes) à désigner et à signaler à l’IRS les comptes financiers appartenant à certains citoyens américains – incluant les citoyens américains résidant au Canada – et à certains propriétaires américains d’entités non américaines. On entend par « comptes financiers » les comptes bancaires, les comptes de courtage et d’autres comptes de garde. Certains estiment que cette nouvelle loi pourrait affecter près d’un million d’Américains vivant au Canada. Selon la suite que donnera le gouvernement canadien à la loi, chose qui reste à voir, les exigences de la FATCA augmentent considérablement le risque de litiges liés à la vie privée pour les institutions financières canadiennes.

Même en l’absence de litige, dans notre présente ère numérique, les institutions financières canadiennes font face à d’importants risques de réputation en cas d’utilisation non autorisée ou insouciante des renseignements personnels de leurs clients.Avec l’émergence de nouveaux enjeux dans le domaine, le regard porté sur les pratiques en matière de vie privée et de conservation des données se fera que de plus en plus critique.  Ce point à lui seul devrait attirer l’attention de la haute direction.


Pratiques exemplaires

  1. Se procurer les bons outils
    Mettez en place un système de sécurité des TI, embauchez un administrateur de système compétent et investissez considérablement dans vos capacités de récupération.
  2. Être proactif
    Obtenez les consentements requis de la part des clients et conservez-les.
  3. Mettre en œuvre des politiques efficaces
    Mettez en œuvre des politiques solides en matière de collecte et de destruction de données, et de protection de la vie privée. Examinez et révisez périodiquement les politiques afin qu’elles soient constamment mises à jour.
  4. Élaborer une stratégie de communication
    En cas de manquement, soyez prêt à communiquer de façon transparente et exhaustive avec les clients.

 


Chapitres du Rapport sur les litiges – Edition 2014

Introduction

Produits alimentaires et boissons

Les pièges de l’approvisionnement

Valeurs mobilières et recours collectifs de consommateurs

Services bancaires et financiers

Énergie, mines et Autochtones

Vidéos Osler - YouTube

Contact

Deborah Glendinning
Chair, National Litigation Department
dglendinning@osler.com
416.862.4714


Laissez-nous vous aider à vous tenir à jour. Recevez nos mises à jour par courriel.

Abonnez-vous