Essays on the economics of banking and the prudential regulation of banks

Van Roy, Patrick

23 May 2006

This thesis consists of four independent chapters on bank capital regulation and the issue of unsolicited ratings.<p><p>The first chapter is introductory and reviews the motivation for regulating banks and credit rating agencies while providing a detailed overview of the thesis.<p><p>The second chapter uses a simultaneous equations model to analyze how banks from six G10 countries adjusted their capital to assets ratios and risk-weighted assets to assets ratio between 1988 and 1995, i.e. just after passage of the 1988 Basel Accord. The results suggest that regulatory pressure brought about by the 1988 capital standards had little effect on both ratios for weakly capitalized banks, except in the US. In addition, the relation between the capital to assets ratios and the risk-weighted assets to assets ratio appears to depend not only on the level of capitalization of banks, but also on the countries or groups of countries considered.<p><p>The third chapter provides Monte Carlo estimates of the amount of regulatory capital that EMU banks must hold for their corporate, bank, and sovereign exposures both under Basel I and the standardized approach to credit risk in Basel II. In the latter case, Monte Carlo estimates are presented for different combinations of external credit assessment institutions (ECAIs) that banks may choose to risk weight their exposures. Three main results emerge from the analysis. First, although the use of different ECAIs leads to significant differences in minimum capital requirements, these differences never exceed, on average, 10% of EMU banks’ capital requirements for corporate, bank, and sovereign exposures. Second, the standardized approach to credit risk provides a small regulatory capital incentive for banks to use several ECAIs to risk weight their exposures. Third, the minimum capital requirements for the corporate, bank, and sovereign exposures of EMU banks will be higher in Basel II than in Basel I. I also show that the incentive for banks to engage in regulatory arbitrage in the standardized approach to credit risk is limited.<p><p>The fourth and final chapter analyses the effect of soliciting a rating on the rating outcome of banks. Using a sample of Asian banks rated by Fitch Ratings, I find evidence that unsolicited ratings tend to be lower than solicited ones, after accounting for differences in observed bank characteristics. This downward bias does not seem to be explained by the fact that better-quality banks self-select into the solicited group. Rather, unsolicited ratings appear to be lower because they are based on public information. As a result, they tend to be more conservative than solicited ratings, which incorporate both public and non-public information.<p> / Doctorat en sciences économiques, Orientation économie / info:eu-repo/semantics/nonPublished

Economie

Sciences sociales

Banks and banking -- Accounting

Bank assets

Banks and banking -- Risk management

Banks and banking -- Rating of

Credit bureaus

Banques -- Comptabilité

Banques -- Actif

Banques -- Gestion du risque

Banques -- Evaluation

Crédit -- Agences de renseignements

1988 Basel Accord

accounting transparency

capital requirements

credit rating agencies

credit risk

New Basel Accord

public disclosure

self-selection

treatment effect

unsolicited ratings

Redefining personal information in the context of the Internet

Gratton, Eloïse

10 1900

Réalisée en cotutelle avec l'Université de Panthéon-Assas (Paris II) / Vers la fin des années soixante, face à l’importance grandissante de l’utilisation des ordinateurs par les organisations, une définition englobante de la notion de donnée personnelle a été incorporée dans les lois en matière de protection de données personnelles (« LPDPs »). Avec Internet et la circulation accrue de nouvelles données (adresse IP, données de géolocalisation, etc.), il y a lieu de s’interroger quant à l’adéquation entre cette définition et cette réalité. Aussi, si la notion de donnée personnelle, définie comme étant « une donnée concernant un individu identifiable » est toujours applicable à un tel contexte révolutionnaire, il n’en demeure pas moins qu’il importe de trouver des principes interprétatifs qui puissent intégrer ces changements factuels. La présente thèse vise à proposer une interprétation tenant compte de l’objectif recherché par les LPDPs, à savoir protéger les individus contre les risques de dommage découlant de la collecte, de l’utilisation ou de la divulgation de leurs données. Alors que la collecte et la divulgation des données entraîneront surtout un risque de dommage de nature subjective (la collecte, un sentiment d’être sous observation et la divulgation, un sentiment d’embarras et d’humiliation), l’utilisation de ces données causera davantage un dommage objectif (dommage de nature financière, physique ou discriminatoire). La thèse propose plusieurs critères qui devraient être pris en compte pour évaluer ce risque de dommage ; elle servira de guide afin de déterminer quelles données doivent être qualifiées de personnelles, et fera en sorte que les LPDPs soient le plus efficaces possibles dans un contexte de développements technologiques grandissants. / In the late sixties, with the growing use of computers by organizations, a very broad definition of personal information as “information about an identifiable individual” was elaborated and has been incorporated in data protection laws (“DPLs”). In more recent days, with the Internet and the circulation of new types of information (IP addresses, location information, etc), the efficiency of this definition may be challenged. This thesis aims at proposing a new way of interpreting personal information. Instead of using a literal interpretation, an interpretation which takes into account the purpose behind DPLs will be proposed, in order to ensure that DPLs do what they are supposed to do: address or avoid the risk of harm to individuals triggered by organizations handling their personal information. While the collection or disclosure of information may trigger a more subjective kind of harm (the collection, a feeling of being observed and the disclosure, embarrassment and humiliation), the use of information will trigger a more objective kind of harm (financial, physical, discrimination, etc.). Various criteria useful in order to evaluate this risk of harm will be proposed. The thesis aims at providing a guide that may be used in order to determine whether certain information should qualify as personal information. It will provide for a useful framework under which DPLs remain efficient in light of modern technologies and the Internet.

Définition

Renseignement personnel

Donnée personnelle

Protection

Vie privée

Risque de dommage

Interprétation

Definition

Personal information

Personal Data

Data protection

Privacy

Internet

Risk of harm

Interpretation

Purpose of data protection laws

Principe de finalité, protection des renseignements personnels et secteur public : étude sur la gouvernance des structures en réseau / Purpose principle, personal data protection and public sector : study on network-based structures governance

Duaso Calés, Rosario

14 October 2011

La question de la protection des renseignements personnels présente des enjeux majeurs dans le contexte des réseaux. Les premières lois en la matière au Canada et en Europe avaient pour base une série de principes qui sont encore aujourd’hui d’actualité. Toutefois, l’arrivée d’Internet et des structures en réseau permettant l’échange d’un nombre infini d’informations entre organismes et personnes ont changé la donne et induisent de nouveaux risques informationnels. Le principe de finalité, pierre angulaire des systèmes de protection des renseignements personnels, postule le caractère adéquat, pertinent et non excessif des informations collectées par rapport à l’objet du traitement et exige qu’elles soient uniquement utilisées à des fins compatibles avec la finalité initiale. Nous retracerons l’historique de ce principe et analyserons la manière dont la doctrine, la jurisprudence et les décisions du CPVPC comme de la CNIL ont contribué à délimiter ses contours. Nous étudierons comment ce principe se manifeste dans la structure en réseau de l’administration électronique ou du gouvernement électronique et nous relèverons les nouveautés majeures que présente l’État en réseau par rapport au modèle d’État en silo, ainsi que la nécessité d’une gouvernance adaptée à cette structure. Nous examinerons également la présence de standards juridiques et de notions à contenus variable dans le domaine de la protection des renseignements personnels et nous tenterons de montrer comment la finalité, en tant que principe ou standard, a les capacités de s’adapter aux exigences de proportionnalité, d’ajustement et de mutation continuelle qui sont aujourd’hui au coeur des défis de la gouvernance des réseaux. Finalement, il sera question de présenter quelques pistes pour l’adoption de mécanismes d’adaptation « réseautique » pour la protection des renseignements personnels et de montrer dans quelle mesure ce droit, capable de créer un cadre de protection adéquat, est également un « droit en réseau » qui possède tous les attributs du « droit post-moderne », attributs qui vont rendre possible une adaptation propre à protéger effectivement les renseignements personnels dans les structures, toujours changeantes, où circulent aujourd’hui les informations. / Personal data protection poses significant challenges in the context of networks. The first laws on this matter both in Canada and in Europe were based on a series of principles that remain valid today. Nevertheless, Internet and the development of network-based structures that enable infinite exchange of information between institutions and individuals are changing the priorities and, at the same time, present new risks related to data protection. The purpose principle,which is the personal data protection systems cornerstone, stresses the relevance and adequate yet not excessive nature of the collected information vis à vis the objective of data collection. The purpose principle also requires that the information shall not further be processed in a way incompatible with the initial purpose. We will describe the origins and evolution of this principle, as well as its present relevance and scope analysing the doctrine, jurisprudence and decisions of theOffice of the Privacy Commissioner in Canada and of the Commission nationale de l’informatique et des libertés (CNIL) in France. We will also examine how this principle is reflected in the network structure of the digital administration and of the electronic government. We will also underline the differences between a network based State and a « silo-based » State, each needing its structure of governance. Within the context of personal data protection, we will explore the presence of legal standards and of concepts with a changing nature. An effort will be made to highlight how purpose, be it as a principle or as a standard, has the capacity to adapt to the requirements of the core principles of the current network governance, such as proportionality, adjustment and continuous mutation. Finally, the objective is to reflect on some personal data protection network adaptation mechanisms, and to demonstrate how personal data protection can work in a network that includes all« post-modern law » elements that allow for true adaptation for effective personal data protection within the ever changing structures where data is being exchanged.

Protection des renseignements personnels

Vie privée

Gouvernement électronique

Internet

Standard juridique

Principe de finalité

Réseau

Gouvernance

France

Canada

Personal data protection

Privacy

Electronic government

Internet

Legal standard

Purpose principle

Network

Governance

France

Canada

Détection dynamique des intrusions dans les systèmes informatiques / Dynamic intrusion detection in computer systems

Pierrot, David

21 September 2018

La démocratisation d’Internet, couplée à l’effet de la mondialisation, a pour résultat d’interconnecter les personnes, les états et les entreprises. Le côté déplaisant de cette interconnexion mondiale des systèmes d’information réside dans un phénomène appelé « Cybercriminalité ». Des personnes, des groupes mal intentionnés ont pour objectif de nuire à l’intégrité des systèmes d’information dans un but financier ou pour servir une cause. Les conséquences d’une intrusion peuvent s’avérer problématiques pour l’existence d’une entreprise ou d’une organisation. Les impacts sont synonymes de perte financière, de dégradation de l’image de marque et de manque de sérieux. La détection d’une intrusion n’est pas une finalité en soit, la réduction du delta détection-réaction est devenue prioritaire. Les différentes solutions existantes s’avèrent être relativement lourdes à mettre place aussi bien en matière de compétence que de mise à jour. Les travaux de recherche ont permis d’identifier les méthodes de fouille de données les plus performantes mais l’intégration dans une système d’information reste difficile. La capture et la conversion des données demandent des ressources de calcul importantes et ne permettent pas forcément une détection dans des délais acceptables. Notre contribution permet, à partir d’une quantité de données relativement moindre de détecter les intrusions. Nous utilisons les événements firewall ce qui réduit les besoins en terme de puissance de calcul tout en limitant la connaissance du système d’information par les personnes en charge de la détection des intrusions. Nous proposons une approche prenant en compte les aspects techniques par l’utilisation d’une méthode hybride de fouille de données mais aussi les aspects fonctionnels. L’addition de ces deux aspects est regroupé en quatre phases. La première phase consiste à visualiser et identifier les activités réseau. La deuxième phase concerne la détection des activités anormales en utilisant des méthodes de fouille de données sur la source émettrice de flux mais également sur les actifs visés. Les troisième et quatrième phases utilisent les résultats d’une analyse de risque et d’audit technique de sécurité pour une prioritisation des actions à mener. L’ensemble de ces points donne une vision générale sur l’hygiène du système d’information mais aussi une orientation sur la surveillance et les corrections à apporter. L’approche développée a donné lieu à un prototype nommé D113. Ce prototype, testé sur une plate-forme d’expérimentation sur deux architectures de taille différentes a permis de valider nos orientations et approches. Les résultats obtenus sont positifs mais perfectibles. Des perspectives ont été définies dans ce sens. / The expansion and democratization of the digital world coupled with the effect of the Internet globalization, has allowed individuals, countries, states and companies to interconnect and interact at incidence levels never previously imagined. Cybercrime, in turn, is unfortunately one the negative aspects of this rapid global interconnection expansion. We often find malicious individuals and/or groups aiming to undermine the integrity of Information Systems for either financial gain or to serve a cause. The consequences of an intrusion can be problematic for the existence of a company or an organization. The impacts are synonymous with financial loss, brand image degradation and lack of seriousness. The detection of an intrusion is not an end in itself, the reduction of the delta detection-reaction has become a priority. The different existing solutions prove to be cumbersome to set up. Research has identified more efficient data mining methods, but integration into an information system remains difficult. Capturing and converting protected resource data does not allow detection within acceptable time frames. Our contribution helps to detect intrusions. Protect us against Firewall events which reduces the need for computing power while limiting the knowledge of the information system by intrusion detectors. We propose an approach taking into account the technical aspects by the use of a hybrid method of data mining but also the functional aspects. The addition of these two aspects is grouped into four phases. The first phase is to visualize and identify network activities. The second phase concerns the detection of abnormal activities using data mining methods on the source of the flow but also on the targeted assets. The third and fourth phases use the results of a risk analysis and a safety verification technique to prioritize the actions to be carried out. All these points give a general vision on the hygiene of the information system but also a direction on monitoring and corrections to be made.The approach developed to a prototype named D113. This prototype, tested on a platform of experimentation in two architectures of different size made it possible to validate our orientations and approaches. The results obtained are positive but perfectible. Prospects have been defined in this direction.

Securité

Détection d'intrusions

Pare-feu (firewall)

Apprentissage supervisé

Collecte de renseignements

Journaux (logs)

Évènements

Attaques

Clustering

Validité des clusters

Disponibilité

Intégrité

Confidentialité

Traçabilité

Apprentissage non-surpervisé

Security

Intrusion detection

Firewall

Supervised machine learning

Unsupervised machine learning

Information gathering

Logs

Events

Attacks

Clustering

Cluster validity

Avaibility

Integrity

Privacy

Traceability

004

L'accountability ou le principe de responsabilité en matière de protection des renseignements personnels

Mouchard, Emilie

05 1900

Entre terme anglophone et concept transversal, l’accountability pose la question du principe de responsabilité et de sa réalisation dans la protection des renseignements personnels. Résultat d’un cheminement à la fois social et législatif, l’imputabilité qui ressort du concept fait de la protection des renseignements personnels un processus à la fois collaboratif et individuel de régulation au service de la responsabilité et des risques nouveaux générés par les technologies de l’information et le déploiement des théories de la responsabilité sociale des entreprises. À la fois objectif, mécanisme et instrument d’une protection des renseignements personnels efficace et efficiente, le principe d’accountability est un principe de droit et de gestion, souvent compris par les entreprises comme une technique de management interne. La mise en action de l’accountability project, par le biais de la reconnaissance du principe par l’OCDE, a mis en lumière l’idée d’une accountability comme un standard essentiel, un mécanisme nécessaire, et un besoin de moralisation à intégrer au regard des risques engendrés par les évolutions sociales et technologiques sur le droit fondamental à la vie privée et la protection des renseignements personnels. / Between anglophone word and transversal concept, accountability ask about the responsability and the enforcement of its principle in privacy laws. Result of a social and legislative path, the imputabilité, who came throught the concept, shows privacy laws as a collaborative and individual regulation process, serving the responsability and the risks that cames with the information technologies and the achievement of the corporate social responsability. In the same time seeing as a goal, a mechanism and an instrument of an effective and efficient privacy, the accountability principle is a legal and a management principle, used by companies as an intern management technic. The realisation of the accountability project take place with the acknoledgement of the principle by the OECD, who highlight the accountability as an essential standard, a necessary mecanism and a moralization requirement according the risks that came throught social and technological evolutions on the right to privacy and its laws.

Vie privée

Imputabilité

Renseignements personnels

Données personnelles

Technologies de l'information (TIC)

Privacy

Accountability

Data protection

Corporate social responsibility (CSR)

RGPD

GDPR

La communication de la preuve civile au préalable dans les litiges commerciaux internationaux

Lesage-Bigras, Élisabeth

11 1900

Dans l’ère économique actuelle où les transactions commerciales, propulsées par l’omniprésence des technologies de l’information, se font de plus en plus à l’échelle mondiale, les risques de conflits juridiques de nature internationale augmentent considérablement. Les entreprises québécoises faisant plus fréquemment affaire avec des partenaires étrangers, les litiges d’aujourd’hui confrontent les parties et leurs représentants à des dilemmes légaux nouveaux qui les forcent à interagir avec des cultures judiciaires, autres que québécoises, et ce, particulièrement lors de la communication au préalable de la preuve civile. Nous nous pencherons donc sur l’analyse des divers enjeux légaux soulevés par ce processus afin de relever les considérations pratiques auxquelles seront soumises les parties à un conflit commercial international institué devant les tribunaux québécois. Ainsi, à l’aide d’un cas hypothétique, nous effectuerons l’étude des régimes procéduraux québécois, tant général que particulier, de communication de la preuve civile internationale, les restrictions applicables à la procédure ainsi que son encadrement supranational. Puis, nous étudierons l’impact des technologies de l’information sur le régime québécois de communication au préalable de la preuve civile en mettant l’accent tout particulièrement sur la dématérialisation de la preuve civile internationale, les changements législatifs de la réforme du Code de procédure civile et la protection des renseignements personnels. / In the current economic era, where business transactions are more than ever globalized due to the increasing use of technologies, the risks of legal conflicts being international in nature are now higher. Since businesses from Québec are now frequently making transactions with foreign partners, litigation nowadays confronts parties and their lawyers with new legal dilemmas, forcing them to interact with different judicial cultures other than Québec’s, especially during the pre-trial discovery and disclosure process. We will then analyze the many legal challenges resulting from this procedure to address the practical considerations that subject the parties of an international litigation instituted in front of Québec’s tribunals. Therefore, with the help of a hypothetical, we will study Québec’s general and specific procedures of discovery and disclosure of international civil evidence, its restrictions and the international legal frame surrounding it. Also, we will discuss the impact of technologies on Québec’s pre-trial discovery and disclosure process focusing on the dematerialization of civil evidence, the legislative modifications of the reform of the Québec Code of Civil Procedure, and the protection of personal data.

Preuve civile

Procédure civile

Droit international privé

Preuve technologique

Litiges internationaux

Droit commercial international

Protection des renseignements personnels

Civil evidence

Civil procedure

Private international law

Electronic evidence

International litigation

International business law

Protection of personal data

Droit d'accès à l'information environnementale : pierre d'assise du développement durable

Baril, Jean

18 April 2018

Tableau d’honneur de la Faculté des études supérieures et postdoctorales, 2012-2013. / Pour participer efficacement à la protection de l'environnement et au développement durable, les citoyens doivent disposer de l'information nécessaire. Il en va de même s'ils veulent évaluer correctement les mesures environnementales prises par l'État et les promoteurs. Les problématiques environnementales étant complexes et variées, ces informations peuvent provenir de plusieurs sources et être rendues accessibles de différentes façons. Ce constat a mené à nous interroger sur les conditions d'accès à l'information environnementale au Québec. Nous présentons d'abord l'évolution internationale sur les deux droits qui entrent en jeu sur cette question : le droit à l'information administrative et le droit à l'environnement. Ces deux droits « nouveaux » connaissent, depuis la fin des années 1960, un développement parallèle fort important et se nourrissent mutuellement. Ces avancées juridiques stimulent aussi une réflexion théorique quant au fait que l'accès à l'information environnementale puisse, en soi, constituer une nouvelle forme de réglementation environnementale. Ces réflexions amènent à revoir les limites traditionnelles du droit d'accès à l'information environnementale, entre autres celles reliées aux intérêts économiques du secteur privé. Après avoir proposé une définition de « l'information environnementale », nous démontrons que toute information visée par cette définition devrait relever du principe juridique d'égalité d'accès, de façon à permettre la mise en oeuvre du droit fondamental à un environnement sain ainsi que la réalisation de l'objectif collectif que représente le développement durable. Une fois analysés et évalués les plus récents développements internationaux, nous passons en revue les principaux mécanismes québécois permettant d'accéder à l'information environnementale. En premier lieu, nous examinons jusqu'à quel point la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels permet aux citoyens d'obtenir l'information environnementale demandée. Puis, nous analysons les diverses procédures d'information spécifiques aux questions environnementales prévues par la Loi sur la qualité de l'environnement. Notre thèse confirme notre hypothèse de travail, à savoir que les mécanismes québécois d'information environnementale s'avèrent inefficaces pour garantir le droit de toute personne à un environnement sain et respectueux de la biodiversité ainsi que l'atteinte d'un développement qui soit durable. Il faut revoir l'architecture juridique entourant le droit d'accès à l'information environnementale au Québec.

K 46.5 UL 2012 B252