Moderniser la loi entourant les données personnelles

Par La rédaction | 24 août 2017 | Dernière mise à jour le 15 août 2023
6 minutes de lecture

L’Association canadienne des compagnies d’assurance de personnes souhaite «moderniser » la législation entourant la protection des renseignements personnels pour « permettre aux entreprises d’offrir des produits et services qui répondent aux besoins des consommateurs », indique l’ACCAP dans un récent mémoire.

Remis en juin à la Commission des institutions dans le cadre de ses consultations sur le dernier rapport quinquennal de la Commission d’accès à l’information du Québec (CAIQ), ce document d’une vingtaine de pages est l’occasion pour l’Association de formuler plusieurs propositions.

Elle y rappelle d’abord que les sociétés d’assurance de personnes qu’elle représente gèrent «une quantité considérable de renseignements personnels de nature sensible, tels des renseignements d’ordre financier et médical » et que ceux-ci constituent la « matière première » dont se servent ces compagnies. Par conséquent, souligne l’ACCAP, l’industrie accorde « une importance capitale » à leur protection, « qui est à la base de la relation de confiance qu’elle entretient avec ses millions de clients ».

REVOIR UN CADRE LÉGISLATIF « DÉSUET » Dans son mémoire, l’Association insiste sur le fait que le gouvernement québécois doit aujourd’hui définir « des balises » permettant de protéger ces renseignements. En effet, soutient-elle, seul un cadre législatif renouvelé permettra aux entreprises « d’innover et d’offrir des produits et services personnalisés qui répondent aux besoins des consommateurs, qui s’attendent (…) à recevoir une offre adaptée à leur réalité sans compromettre la protection de leurs informations ».

Citant une récente consultation menée par le Commissariat à la protection de la vie privée du Canada qui concluait que la technologie et les modèles d’affaires ont évolué considérablement et que cette évolution remet en question la faisabilité de l’obtention d’un consentement valable, l’ACCAP affirme qu’il faut notamment dépoussiérer la notion de «dossier » et clarifier celle de « consentement manifeste », qu’elle juge toutes deux «désuètes».

Concrètement, l’Association propose une « modernisation » de la Loi sur le privé adoptée en1994, soulignant au passage que d’autres lois, adoptées par la suite au fédéral et dans certaines provinces, « ont privilégié à divers degrés une approche “par principes” plutôt que prescriptive ». Or, selon elle, cette stratégie présente l’avantage « de pouvoir s’adapter aux différentes réalités technologiques et de mieux évoluer dans le temps, pour ainsi assurer une meilleure protection des individus ».

TENIR COMPTE DE L’ÉVOLUTION TECHNOLOGIQUE L’ACCAP souhaite également que le nouveau cadre réglementaire qui sera instauré prenne en compte l’évolution technologique, qui s’est accélérée au cours de la dernière décennie. Ainsi, déplore-t-elle, la législation actuelle «impose des obligations aux entreprises qui constituent ou détiennent un dossier concernant une personne physique » alors que cette notion est « inadaptée à la nouvelle réalité technologique et aux attentes des individus ». La solution? Il faudrait avoir recours « au principe plus moderne de la “finalité de la collecte de l’information” », car celle-ci « permettrait aux entreprises ne détenant pas un “dossier” sur une personne (…) d’être soumises à la loi, ce qui assurera une plus grande protection aux consommateurs ». En outre, ajoute l’ACCAP, une telle modification « aura l’avantage d’être en harmonie avec les principes déjà établis au Canada, notamment dans la Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE] ».

De même, le mémoire se penche sur la notion de consentement, relevant qu’« il existe une véritable ambiguïté quant à l’interprétation de l’expression “consentement manifeste” dans la Loi sur le privé selon son libellé actuel ». Dans ce cas, l’Association juge que définition de la CAIQ devrait être retenue, « à savoir qu’un consentement qui se veut “manifeste” peut être exprimé de façon implicite ou explicite ».

L’ACCAP appelle par ailleurs à « une gestion responsable des mégadonnées (big data) par les entreprises », soulignant qu’elles sont au cœur des activités de l’industrie de l’assurance de personnes. « Bien que parfois perçue de façon négative, l’utilisation de mégadonnées est essentielle à notre métier, ainsi qu’à l’innovation », observe-t-elle, tout en ajoutant que ce domaine doit toutefois être « encadré adéquatement ». Selon l’Association, cette approche a en effet non seulement permis de faire évoluer le modèle d’affaires de plusieurs entreprises dans différents secteurs d’activité, mais elle « améliore l’expérience-client en lui offrant un service personnalisé répondant mieux à ses besoins ». Dans ce contexte, « il faudrait probablement revoir la notion de consentement en ce qui concerne l’utilisation de mégadonnées et adopter une approche plutôt fondée sur le risque », indique le mémoire.

« ASSURER UNE CONFORMITÉ ACCRUE » Enfin, celui-ci aborde la question de la cybersécurité, domaine aujourd’hui « devenu une priorité pour nombre d’entreprises ». Notant que les sociétés d’assurances consacrent déjà « des ressources considérables » pour prévenir les incidents de sécurité, l’Association considère qu’« un mécanisme formel qui obligerait les entreprises à déclarer à la CAIQ ce genre d’incidents (…) n’est pas nécessaire ». En effet, insiste-t-elle, l’aide-mémoire à l’intention des organismes et des entreprises préparées par la Commission est suffisant, puisqu’il indique déjà les étapes à suivre lors d’une perte ou d’un vol de renseignements personnels.

Toutefois, ajoute l’ACCAP, si le gouvernement décidait quand même d’introduire une telle obligation au Québec, il devrait le faire sur la base d’« une approche proportionnelle aux risques réels de préjudice causé à toute personne dont les renseignements personnels pourraient être compromis ».

« Les améliorations que nous proposons visent à moderniser la Loi sur le privé. Elles appuient également l’harmonisation des règles applicables entre les provinces et sont conformes aux pratiques observées dans d’autres pays. Ainsi, la compréhension par les organisations visées par la loi en sera facilitée, ce qui assurera une conformité accrue à travers les entreprises québécoises de toutes les tailles qui y sont assujetties », conclut l’Association.

La rédaction