Photo by Samuel Zeller on Unsplash

Les registres RPCI: et la protection des renseignements personnels, là-dedans?

Comme on s’en souviendra, on adoptait récemment une nouvelle obligation pour les sociétés fédérales incorporées quant à la déclaration de la propriété effective des sociétés dans le but de resserrer les règles quant à l’évasion fiscale et le blanchiment d’argent. L’information qui doit dorénavant être consignée comprend des renseignements permettant d’identifier précisément les individus ayant le contrôle des sociétés, ce qui implique notamment des questions intéressantes relatives aux renseignements personnels.

Dorénavant, chaque société régie par la Loi canadienne sur les sociétés par actions (et la même chose s’en vient au Québec), doit conserver un registre des individus qui se cachent (le cas échéant) derrière la propriété des actions et/ou les décisions réelles que prennent les actionnaires – ce qu’on surnomme le registre de «RPCI» (registre des particuliers ayant un contrôle important), ou «ISCs» en anglais, dans le jargon. On parle ici de «contrôle important» et d’«influence importante» sur la société, en termes d’un certain seuil de proportion des votes ou de la valeur… ce qui mène semble-t-il à un exercice parfois périlleux afin de déterminer qui on devrait inclure dans le registre en question chaque année.

Fait intéressant, la loi énonce précisément quels renseignements doivent être consignés dans le registre RPCI, incluant le nom de chaque individu, son adresse et, ta-dam!, sa date de naissance. Oui, jusqu’à la date de naissance…

Le caractère obligatoire de l’obligation liée aux RPCI signifie évidemment qu’aucun consentement des individus visés n’est requis. N’ayant pas le choix, les individus fichés courent néanmoins le risque que leurs renseignements clés soient éventuellement usurpés, une fois versés dans un tel registre. Premièrement, fait qui a de quoi faire sourciller toute personne intéressée à la protection des renseignements personnels, ce registre est accessible (en principe) aux administrateurs, aux actionnaires, au gouvernement (y compris le fisc, évidemment) et aux créanciers de la société. Bien qu’on soit loin d’un document public, on ne parle pas d’un document qui restera nécessairement au fond d’un tiroir et que personne ne pourra jamais consulter. L’inclusion de l’information requise dans ce type de registre implique que certains tiers pourront nécessairement y avoir accès au fil du temps.

Deuxièmement, l’inscription et la conservation de ces renseignements pendant des années (jusqu’à 6 ans après la fin du contrôle) représentent un risque de piratage éventuel, particulièrement dans les cas où l’entreprise (ou ses conseillers) choisissent de consigner l’information en format numérique. En forçant les sociétés à consigner la date de naissance complète avec le nom et l’adresse d’un individu, le malfaiteur qui met éventuellement la main (légalement ou non) sur le registre RPCI est déjà bien placé pour effectuer un vol d’identité.

Idéalement, les règles en matière de RPCI auraient été envisagées avec un peu plus de soins quant aux implications (directes et indirectes) de la détention d’information pareille par les entreprises et leurs conseillers. Bien que le but recherché par ces nouvelles obligations s’avère louable, particulièrement à l’ère des Panama Papers, etc., le résultat mérite peut-être une réflexion additionnelle en matière de renseignements personnels, réflexion qu’on semble avoir escamotée au nom de la lutte contre l’évitement fiscal. Reste à espérer que la version québécoise de ces règles, elle, prendra cette question en considération.