Présentation à l’Association canadienne des compagnies d’assurances de personnes

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Conférence annuelle conjointe de 2006 de la Section de l’observation et de la Section des agents de plaintes des consommateurs

Le 11 mai 2006
Niagara Falls (Ontario)

Allocution prononcée par Patricia Kosseim
Avocate générale, Commissariat à la protection de la vie privée du Canada


Si vous demandiez aux Canadiennes et aux Canadiens d'identifier le type de renseignements personnels qu’ils jugent les plus délicats, un grand nombre d'entre eux placeraient sans doute les renseignements sur la santé et les renseignements financiers en tête de liste. L’industrie de l’assurance-maladie et de l’assurance-vie a un lourd fardeau à assumer relativement à la protection de cette information.

Les renseignements sur la santé et les renseignements financiers personnels constituent votre gagne-pain. Vous savez trop bien que toute faille relative à la protection de la vie privée, en particulier lorsque des renseignements sur la santé ou des renseignements financiers personnels sont en cause, peut détruire en un tournemain la réputation durement acquise d’une organisation. La pente peut ensuite être longue et ardue à remonter, et les activités de l’organisation peuvent en souffrir considérablement.

En juin 2005, le Bureau du surintendant des institutions financières (BSIF) a communiqué les résultats de son examen sur les pratiques de gestion des risques pour la réputation de certaines institutions financières réglementées à l’échelon fédéral. Le BSIF a invité les institutions à reconnaître que leur réputation constitue un outil stratégique important, et à accorder la priorité au renforcement de l’efficacité de leurs pratiques de gestion des risques pour la réputation. En raison de récents scandales organisationnels, les organismes de réglementation et le public accordent de plus en plus d’importance aux pratiques organisationnelles, à l’éthique et à l’intégrité. La gestion des risques pour la réputation, c’est bien plus que le strict respect des exigences légales et des exigences relatives à la réglementation et à la responsabilisation. Il s’agit d’une gestion nécessitant la mise en place d’une culture organisationnelle qui favorise l’éthique et l’intégrité et qui est marquée par un engagement personnel à l’égard de ces valeurs, et ce, aux plus hauts niveaux de direction.

Si nous appliquions les conclusions du BSIF à la situation qui nous occupe, je suppose que le message serait celui‑ci : pour gérer les risques pour la réputation entraînés par toute faille relative à la protection de la vie privée, la stricte observation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) n’est pas suffisante. Il est nécessaire d’adopter une approche fondée sur l’éthique et l’intégrité organisationnelles qui vise non seulement le respect de la lettre mais surtout le respect de l’esprit des principes de la LPRPDE.

Voici trois exemples pour illustrer mon propos.

Tout d’abord, la question du consentement. Comme vous le savez, la LPRPDE est une loi fondée sur le consentement. Pour recueillir, utiliser et communiquer les renseignements personnels d’une personne dans le cadre d’activités commerciales, il faut obtenir son consentement. On pourra alors penser qu’en incluant à une politique d’assurance des dispositions suffisamment souples sur le consentement, il devient techniquement et légalement possible de recueillir, d’utiliser et de communiquer des renseignements personnels à toutes sortes de fins. Mais la notion de consentement pleinement libre et éclairé est plus complexe. Il ne s’agit pas seulement d’une signature ponctuelle, ouverte et inconditionnelle au bas d’un formulaire de consentement. Un consentement éclairé ne peut être obtenu que grâce à un processus dynamique dans lequel les personnes sont tenues informées, de façon active, continue, transparente et dans un langage compréhensible, des fins auxquelles sont destinés leurs renseignements personnels. Les personnes doivent aussi pouvoir demander, au besoin, des explications plus approfondies, poser des questions ou contester certaines allégations – en particulier dans les relations où le pouvoir de négociation est inégal.

En deuxième lieu, la collecte. La LPRPDE permet la collecte de renseignements personnels nécessaires aux fins auxquelles une personne a préalablement consenti. Mais lorsque les compagnies d’assurances décrivent ces fins sans trop de précision, je suppose que tout motif de collecte devient alors justifiable. Quant aux personnes qui n’ont pour seul choix que de se doter ou non d’une assurance, il est difficile pour elles de défendre leur position. Par conséquent, au-delà de la question de la stricte observation de la Loi, il faut se demander si les renseignements personnels recueillis sont véritablement nécessaires à l’évaluation d’une demande d’assurance ou de règlement, ou si l’information n’est recueillie que par habitude, parce que c’est ainsi qu’on procède depuis longtemps. J’ai l’impression que si les organisations canadiennes, publiques et privées, effectuaient un examen interne,  nombreuses d’entre elles découvriraient qu’elles détiennent une abondance de renseignements personnels qui ne sont pas nécessaires à leur mandat. L’industrie de l’assurance-vie et de l’assurance-maladie est-elle différente ou est-elle aussi prompte que les autres secteurs de l’économie canadienne à solliciter et à accumuler des renseignements personnels sans grande utilité? Il est peut-être temps pour vous de porter un regard beaucoup plus critique sur vos bases de données actuelles et d’examiner en profondeur les pratiques de collecte qui ont mené à cette accumulation de données .

En troisième lieu, la responsabilisation. Pour que ce principe prenne tout son sens, la LPRPDE oblige les organisations à mettre en œuvre des politiques et des pratiques et à former leurs employés de façon appropriée. Certains penseront peut-être que pour s’acquitter de cette disposition contenue dans la LPRPDE, il suffit de distribuer quelques dépliants, d’inclure une page ou deux à la trousse d’orientation des nouveaux employés ou de discuter de protection de la vie privée de façon générale à l’occasion des réunions de tout le personnel. Vous seriez toutefois surpris d’apprendre le nombre de plaintes que nous recevons à la suite de simples erreurs d’employés ou d’erreurs de jugement. Il est avantageux, en temps et en argent, d’investir dans une  formation adéquate sur la protection de la vie privée. Les employés comprennent-ils réellement les enjeux en cause et ce, non seulement du point de vue des intérêts du client, mais aussi du point de vue des intérêts de l’organisation? Comprennent‑ils l’esprit et l’intention sous‑jacents aux principes judicieux de gestion de l’information et peuvent‑ils, par conséquent, faire preuve de jugement dans des situations qui ne leur ont pas nécessairement été décrites explicitement au cours de la formation ou qui ne sont pas traitées dans le manuel de procédures? Relèvent‑ils de chefs organisationnels qui se sont concrètement engagés en faveur de la protection de la vie privée et qui favorisent la mise en place d’une culture de respect des droits de la personne? Ont‑ils l’impression qu’ils n’ont pas, par crainte de représailles, les moyens de dénoncer leurs collègues ou gestionnaires qui ne respectent pas certains principes de protection de la vie privée?

Même s’il est clair que le strict respect à la lettre de la LPRPDE ne permet pas à une organisation de bien gérer les risques pour la réputation pouvant découler de failles à la protection de la vie privée, je tiens également à souligner que le respect de la LPRPDE demeure la norme minimale à satisfaire. Il importe d’établir de solides assises afin de faire respecter le droit à la vie privée des personnes – un droit fondamental dans les sociétés libres et démocratiques – tout en appuyant la poursuite des activités commerciales essentielles à la prospérité économique.

L'Association canadienne des compagnies d'assurances de personnes (ACCAP) participe depuis de nombreuses années à des discussions visant à déterminer la façon, pour les organisations membres, d'agir de manière responsable devant les enjeux liés à la protection de la vie privée dans le secteur de l’assurance‑vie et de l’assurance‑maladie, et nous espérons que cet engagement se poursuivra. Comme vous le savez, la LPRPDE fera l’objet d’un examen législatif cette année, et nous vous invitons à participer aux débats qui auront lieu à ce sujet.

Considérant ce que nous savons sur l’application de la LPRPDE, nous avons déterminé ce qui, à notre avis, constitue des questions importantes à soulever dans le cadre des entretiens qui se dérouleront à l’automne. Nous ignorons si nous avons réussi à soulever l’ensemble des questions importantes, sans parler des réponses. Nous travaillons actuellement à l’élaboration d’un document de consultation afin de faciliter nos entretiens avec les organisations et les consommateurs sur l’orientation de l’examen de la LPRPDE. Ce document devrait être disponible sur notre site Web d’ici la fin mai, et nous consulterons les intervenants tel qu'il conviendra. Nous sommes d’ailleurs impatients de connaître vos opinions.

Aux fins de la présentation d’aujourd’hui, j’ai dressé une liste préliminaire de questions, et je souligne qu’il s’agit d’une liste incomplète. En raison du temps limité dont nous disposons, je n’aborderai que quelques questions aujourd’hui.

Les fonctions d’ombudsman versus les fonctions d’application de la loi : D’une juridiction à une autre, les commissaires canadiens à l’information et à la protection de la vie privée peuvent soit avoir le pouvoir de rendre des ordonnances, soit fonctionner selon le modèle de l’ombudsman. Dans le cadre de l’examen prochain de la LPRPDE, le Parlement tentera très certainement de déterminer si le pouvoir de rendre des ordonnances permettrait au Commissariat de promouvoir et de faire appliquer plus efficacement de meilleures pratiques de gestion des renseignements personnels dans le secteur privé. Cette décision revêtira une importance considérable.

Tout changement aux pouvoirs de la commissaire est susceptible d'avoir une incidence sur les structures, les processus, le ressourcement, la détermination des priorités et d’autres activités du Commissariat, comme la médiation, la sensibilisation ainsi que la tenue d’enquêtes et de vérifications, par exemple. Lui conférer le pouvoir de rendre des ordonnances changerait sans doute le rôle du Commissariat par rapport à la Cour fédérale. Pour l’heure, et puisque nous nous penchons actuellement sur la LPRPDE, la commissaire à la protection de la vie privée croit néanmoins que le moment n’est peut-être pas opportun d’examiner la question de l’octroi de ce pouvoir au Commissariat. De nombreux défis liés à la mise en œuvre de la LPRPDE dans sa forme actuelle doivent être relevés avant de songer à l’adoption de tout autre modèle. Par exemple, nous devrions nous servir plus activement des outils déjà en place, comme les plaintes formulées par la commissaire, les vérifications ainsi que les révisions judiciaires, afin de tirer pleinement profit des possibilités qu'offre la LPRPDE dans sa forme actuelle.

Obligation de rendre compte : Environ 24 juridictions américaines obligent actuellement les organisations à noter ou à signaler des lacunes de sécurité se rapportant aux renseignements personnels. À l’échelon fédéral et dans plusieurs autres États, des projets de loi sont envisagés à ce sujet. Il nous faut maintenant décider si les lois canadiennes doivent prévoir des obligations semblables et, le cas échéant, quels devraient être les critères applicables. Par exemple, faut‑il mettre en place des critères fondés sur la vérification des risques ou de la gravité de la situation, de façon à éviter que les avis importants, noyés dans le flot des avis inutiles ou inappropriés, n’aient plus l’effet souhaité? Des conditions doivent‑elles être définies de façon à orienter la mise en œuvre des avis selon la situation, et ainsi éviter que les personnes concernées subissent plus de mal qu’elles n’en bénéficient? Les avis doivent‑ils être communiqués aux personnes concernées ou plutôt aux agences d’évaluation du crédit ou aux organismes de réglementation appropriés afin que l’on détermine la façon de gérer la situation et minimiser les risques de fraudes ou de vols d’identité?

Diligence raisonnable appliquée à la circulation de données organisationnelles : À l’heure actuelle, aucune disposition de la LPRPDE ne permet à une organisation de communiquer, sans le consentement des personnes concernées, des renseignements personnels à un acheteur potentiel ou à un partenaire d’affaires qui souhaite effectuer une évaluation préalable ou déterminer si l'on donnera le feu vert à une transaction. Par ailleurs, d’autres lois, comme la loi de l’Ontario sur la protection des renseignements personnels sur la santé et les lois sur la protection des données de l’Alberta et de la Colombie‑Britannique, permettent ce type de communication, à condition que soient établies de strictes ententes de confidentialité. Nous avons également noté des restrictions relativement à la façon dont la LPRPDE permet actuellement de gérer les plaintes liées au transfert de renseignements personnels après la vente d’une entreprise, en particulier lorsque les personnes concernées ne souhaitent plus faire affaire avec la nouvelle entreprise mais que celle‑ci est tenue de respecter des exigences sur la conservation des dossiers, l’obligeant à conserver les renseignements personnels des clients pour une durée déterminée. Ces deux questions devront être réglées dans le cadre de l’examen de la LPRPDE.

Collecte sans consentement : L’alinéa 7(1)e) a été ajouté à la LPRPDE par suite de l’adoption de la Loi sur la sécurité publique en 2002. Cette disposition autorise les organisations à recueillir et à communiquer aux organismes chargés de l’application des lois et de la sécurité nationale, les renseignements personnels de personnes sans leur consentement. La formulation imprécise de cette disposition suscite des préoccupations considérables. La disposition vise toute organisation assujettie à la LPRPDE et a pour conséquence indésirable de déléguer au secteur privé la tenue d’activités pour l’application des lois sans toutefois l’obliger à répondre de ses actes devant le public.  De plus, cette disposition ne restreint ni la quantité d’information pouvant être recueillie sans consentement, ni les sources possibles d’information.

Relations entre employeurs et employés :  Les activités de collecte et d’utilisation de renseignements personnels sur des employés, des activités visées par la LPRPDE, sont l’objet d’autres préoccupations. Les plaintes concernant les relations entre employeurs et employés comptent parmi les plaintes les plus complexes et difficiles que le Commissariat a dû régler au cours des cinq dernières années. L’une des questions récurrentes se rapportant à l’application de la LPRPDE est de savoir si l’employé qui consent à la collecte et à l’utilisation de ses renseignements personnels au travail à titre de condition d’emploi, le fait de façon véritablement volontaire. À titre d’exemple de la propension à accroître la surveillance au travail, il suffit de mentionner les employeurs qui décident unilatéralement d’installer des caméras de surveillance ou d’utiliser des systèmes GPS ou de sécurité biométrique. Toutes sortes de motifs sont invoqués pour justifier ce genre de mesures, y compris la sécurité, la sûreté des produits, la gestion du rendement ou encore l’efficacité des opérations. Les lois de l’Alberta et de la Colombie‑Britannique visant le secteur privé contiennent toutes deux des dispositions particulières autorisant la collecte de renseignements personnels sur des employés sans leur consentement sous certaines conditions, dont la nature raisonnable. Une notion équivalente pourrait être étudiée dans le cadre de l’examen de la LPRPDE.

Conclusion

Comme je l’ai indiqué d’entrée de jeu, les renseignements financiers et les renseignements sur la santé dont dépend votre industrie comptent parmi les renseignements personnels les plus délicats, et c’est à leur sujet que les gens s’inquiètent le plus. La possibilité d’exercer un contrôle sur la manipulation de ces renseignements permet aux gens de donner un véritable sens à leur droit fondamental à l’intégrité et à l’autonomie. La protection de leurs renseignements personnels représente sans doute un bien plus grand défi pour vous que pour la plupart des autres organisations régies par la LPRPDE. Ce qui est en jeu, c’est la protection de la vie privée, un droit que vous savez cher aux personnes. Est également en jeu la réputation de votre organisation, l’un de vos biens les plus précieux.

Il ne s’agit pas simplement d’une question de strict respect des exigences techniques de la LPRPDE dans sa forme actuelle ou dans la forme qu’elle pourrait prendre après l’examen législatif. Aujourd'hui, je souhaitais vous communiquer l'importance de voir au‑delà de la simple conformité. Il importe en effet d’assumer vos responsabilités en matière de protection de la vie privée et de faire de ces responsabilités un objectif primordial qui vous permettra d’intégrer l’éthique et l’intégrité à votre stratégie de gestion des risques pour la réputation ainsi que de promouvoir et de mettre concrètement en place une culture organisationnelle fondée sur le respect des personnes.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :