Sélection de la langue

Recherche

La LPRPDE et ses implications

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Deuxième Symposium annuel sur les affaires réglementaires organisé par le Bureau d'assurance du Canada

Le 30 octobre 2002
Toronto, Ontario

George Radwanski
Commissaire à la protection de la vie privée du Canada

(Le texte prononcé fait foi)


Je suis très heureux d'avoir l'occasion de vous rencontrer aujourd'hui. Votre industrie est l'une des plus importantes dans notre société. Nos foyers, nos autos et nos activités commerciales font partie intégrante pratiquement de tous les aspects de notre vie, et il nous appartient de les assurer contre toutes sortes d'adversités.

Nous entretenons des rapports assez particuliers avec nos assureurs. Nous leur dévoilons souvent plus de choses que nous ne le ferions à des amis très proches. Votre industrie recueille et traite de vastes quantités de renseignements personnels, et une bonne partie d'entre eux sont très sensibles. Les personnes qui vous confient ces renseignements doivent pouvoir vous faire confiance. Il s'agit là pour vous d'une lourde responsabilité à assumer et votre industrie a joué, à cet égard, un rôle exemplaire.

Je suis donc heureux de pouvoir vous entretenir de la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE, et de ses implications pour l'industrie des assurances. Cette loi ne touche pas les assureurs présentement, sauf dans des cas très limités. Mais cette loi ou des lois provinciales substantiellement similaires s'appliqueront aux compagnies d'assurance à partir de 2004; vous voudrez donc vous préparer en conséquence.

Mais avant de parler de cette loi, je voudrais vous dire un mot sur l'importance de la vie privée.

Qu'en est-il au juste – Pourquoi ce regain d'intérêt au sujet de la protection de la vie privée – Pourquoi le Parlement a-t-il adopté des lois pour en assurer la protection – Bien plus, pourquoi devons-nous nous préoccuper de la protection de la vie privée ?

Tout d'abord, la vie privée est un droit fondamental de la personne, reconnu comme tel par les Nations Unies. En fait, c'est le droit dont découlent toutes les autres libertés - liberté de parole, liberté d'association, liberté de pensée et, de manière générale, toutes les libertés auxquelles on peut penser.

Pour moi, cela va pratiquement de soi. Comment peut-on être réellement libre si chacun de nos gestes est épié, chacune de nos activités connue, chacune de nos préférences surveillée ?

Or, la vie privée est plus qu'un droit fondamental de la personne - c'est aussi un besoin humain inné. Lorsque vous rentrez à la maison le soir, vous tirez probablement les rideaux. Non pas que vous cherchez à cacher quelque chose, mais précisément parce que vous sentez instinctivement un besoin de vie privée, de liberté à l'égard de toute observation.

Admettons que vous êtes en train de lire dans l'avion ou dans l'autobus et que la personne assise derrière commence par observer par-dessus votre épaule ce que vous lisez. Vous vous sentiriez probablement mal à l'aise, non pas parce qu'il s'agirait d'information secrète, mais précisément parce que l'on empiète sur votre vie privée.

Si vous avez été victime d'une entrée par effraction dans votre foyer ou votre voiture, vous comprendrez que le sentiment d'intrusion, d'invasion de votre vie privée, peut être encore plus douleureux que la perte même d'objets volés.

Et pourtant, presque tous les jours, de façon inédite et insidieuse, ce besoin humain inné, ce droit fondamental de la personne - le droit à la vie privée - est en train de s'effriter. Parfois, la perte est subtile, mais souvent il s'agit d'une attaque de front virulente. Dans un cas comme dans l'autre, c'est un défi que nous devons relever.

Pour y parvenir, nous devons d'abord comprendre que la vie privée ne se résume pas à un droit individuel - il s'agit d'un bien collectif, d'un droit qui reflète des décisions que nous avons prises en tant que société sur la manière de vivre ensemble.

Et parce qu'il s'agit d'une valeur partagée, il nous revient à tous - en tant que société - d'en assurer la protection.

Il ne s'agit pas tout simplement de sauvegarder l'équilibre entre le droit des citoyens à la vie privée et les intérêts de la société. Il s'agit de comprendre que les intérêts mêmes de la société incluent la vie privée des citoyens et que nous sommes tous perdants lorsque la liberté individuelle est atteinte.

Comme l'a dit le juge La Forest de la Cour suprême du Canada, le droit à la vie privée est « au cour de la liberté dans un État moderne ».

Maintenant, permettez-moi d'aborder la Loi sur la protection des renseignements personnels et les documents électroniques dont, j'en suis sûr, vous avez sans doute entendu parler.

Ceux d'entre vous qui ne la connaissent pas déjà la connaîtront bientôt, car au cours des prochaines années, si vous exercez des activités commerciales au Canada, soit cette loi, soit une loi provinciale essentiellement similaire vous touchera.

Cela signifie qu'il y aura d'importants défis à relever en matière de protection de la vie privée pour les agents d'assurance sur les biens et contre les accidents. Les renseignements personnels sont le nerf de l'assurance.

Votre industrie recueille, utilise et communique des renseignemens personnels à des fins diverses - pour évaluer les risques en jeu lorsqu'il s'agit d'assurer les clients, de résoudre une demande de règlement, d'endiguer les fraudes, de suivre de près les déclarations de sinistre.

Les renseignements personnels des demandeurs et des abonnés de police d'assurance peuvent se retrouver dans les mains des courtiers, des agents, des représentants de services, des experts répartiteurs, des enquêteurs, des Services anti-crime des assureurs - j'en reparlerai dans un moment - et de la Division de l'information sur les assurances du Bureau d'assurance du Canada. Voilà une liste assez impressionnante, et j'en ai sans doute omis d'autres. Et des renseignements personnels sont parfois recueillis auprès de parties à l'intérieur de l'industrie ou communiqués à ces parties - par exemple, les services de police ou d'incendie, des témoins, des experts ou des agences d'évaluation du crédit.

Je reconnais que vos pratiques en ce qui a trait à la collecte, à l'utilisation et à la communication de renseignements personnels sont lourdement réglementées par les administrateurs provinciaux et autres autorités compétentes. Leur législation et leurs lignes directrices ont toute une incidence sur votre façon de recueillir ces renseignements au cours du traitement de la demande, la façon dont vous formulez vos déclarations de consentement, et le reste.

Dans cette perspective, je ne serais pas surpris si certains d'entre vous rechignez à l'idée de voir d'autres lois réglementer votre profession. Peut-être seriez-vous particulièrement inquiets au sujet d'incompatibilités entre les lois et règlements sur les assurances, d'une part, et la LPRPDE ou une loi provinciale substantiellement similaire, d'autre part.

Or, il se peut que le problème ne soit pas si inquiétant. La LPRPDE pourrait aussi bien s'agencer avec la législation régissant votre industrie que d'entrer en conflit avec ces lois. Lorsque la Loi stipule une exigence, et que les lois et règlements sur les assurances demeurent muettes à cet égard, il n'y a aucune difficulté à s'y conformer. De toute évidence, c'est ce que vous devriez faire dans cette situation.

Lorsqu'il y a opposition entre la LPRPDE et une loi ou un règlement provincial, la même règle fondamentale s'applique comme dans tout conflit entre une loi fédérale et une loi provinciale. Toutes choses étant égales, la loi fédérale a préséance.

Je peux comprendre pourquoi la perspective d'une réglementation supplémentaire vous inquiète, et notamment la perspective de réconcilier les exigences provinciales et fédérales. Bien évidemment, vous ne voulez pas occasionner des problèmes avec les autorités provinciales de réglementation, pas plus qu'avec la législation sur la protection de la vie privée, et vous ne voulez sûrement pas avoir à faire face à des problèmes ni à des plaintes concernant la protection de la vie privée.

Aussi, je voudrais vous rassurer en soulignant trois points importants. Les deux premiers s'appliquent à toute activité commerciale assujettie à la LPRPDE. Le troisième, qui n'est pas aussi courant, propulse l'industrie des assurances sur les biens et contre les accidents à l'avant-garde du monde des affaires au Canada.

Le premier point, c'est que la LPRPDE est axée sur le Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation. Ce code, qui est incorporé, en fait, dans la Loi, est le fruit d'une collaboration entre les gouvernements, les consommateurs et les entreprises - y compris le Bureau d'assurance du Canada. Ce code reflète donc les réalités du monde des affaires, plutôt qu'une abstraction théorique quelconque d'Ottawa.

Le deuxième point que je voudrais aborder, c'est que OUI, si vous êtes assujettis à la LPRPDE, vous ferez l'objet d'une surveillance de la part de moi-même et de mon bureau. Mais attention, nous sommes là pour seconder les entreprises et non pour leur créer des obstacles. Comme je l'expliquerai brièvement, la Loi a été conçue pour vous assurer que vos besoins légitimes en renseignements personnels peuvent s'équilibrer avec les droits fondamentaux des personnes en matière de protection de la vie privée. Mon rôle en la matière, c'est celui d'un ombudsman, et non d'un exécuteur. Mon unique intérêt, en fait, est de trouver des solutions à des problèmes concernant la protection de la vie privée, et non des personnes à blâmer.

Le troisième point qui devrait vous assurer, et qui devrait vous rendre la tâche facile pour ce qui est de vous conformer à la LPRPDE, c'est que vous êtes déjà à la tâche depuis un certain temps. Le Bureau d'assurance du Canada dispose d'un code de pratiques en matière de renseignements personnels depuis plus de cinq ans, et ce code est conforme au Code type de l'Association canadienne de normalisation. Bien sûr, la LPRPDE va plus loin que le Code type. Elle est plus rigoureuse, par exemple, pour ce qui est de limiter les situations où il est possible de recueillir, utiliser ou communiquer des renseignements personnels sans consentement. Vous aurez donc toujours besoin de porter attention à la Loi.

Cela dit, j'en exposerai, tout d'abord, l'objet, les dispositions et l'application.

La Loi a pour objet d'assurer l'équilibre entre les droits des personnes en matière de protection des renseignements personnels et la nécessité pour les entreprises de recueillir, d'utiliser et de communiquer certains renseignements personnels.

Cette Loi s'inspire fondamentalement du Code type sur la protection des renseignements personnels de l'Association canadienne de normalisation, code qui vous est déjà familier. En résumé, voici ce qu'affirme la Loi :

Si votre organisation est soumise à la Loi et si vous voulez recueillir, utiliser ou communiquer des renseignements personnels sur des personnes, vous devez obtenir leur consentement, sauf dans quelques circonstances précises et limitées.

Vous pouvez utiliser ou communiquer des renseignements personnels uniquement pour les fins auxquelles les intéressés ont consenti lorsque vous les avez recueillis.

Même si vous obtenez ce consentement, la collecte, l'utilisation et la communication des renseignements personnels doivent être limitées à des fins qu'une personne raisonnable jugerait acceptables dans les circonstances.

Les personnes concernées ont le droit d'examiner les renseignements personnels que vous détenez à leur sujet et d'en faire corriger les inexactitudes.

Le Commissariat et moi-même exerçons un processus de surveillance afin de faire respecter la Loi et d'exercer des recours en cas de violation des droits des personnes.

J'ai mentionné qu'il y a des exceptions particulières et limitées à la règle fondamentale voulant que le consentement s'impose lorsqu'il est question de recueillir, d'utiliser ou de communiquer des renseignements personnels. Une de ces exceptions concerne les enquêtes menées sur la violation d'un accord ou d'une loi. Une exception connexe permet à un organisme d'enquête visé par les règlements d'obtenir des renseignements personnels d'une organisation, et de lui communiquer en retour ce type de renseignements, sans obtenir le consentement de l'intéressé. Au nombre des deux organismes d'enquête que le gouvernement a précisés sont les Services anti-crime des assureurs, ou SACA.

Cela implique que lorsqu'une compagnie d'assurance soupçonne qu'une fraude a été commise ou a raison de croire qu'une demande de règlement est suspecte, elle peut demander aux SACA d'effectuer une enquête. Ces services peuvent mener à bien leur enquête - vérifier leurs bases de données ou discuter avec d'autres compagnies, par exemple - et faire rapport à la compagnie d'assurance. Ni la compagnie d'assurance ni les SACA n'ont à obtenir le consentement de l'intéressé dans de telles circonstances, pourvu qu'il s'agisse de faire enquête sur la violation d'un accord ou d'une loi.

Il est à noter toutefois que tant les compagnies d'assurance que les SACA devront toujours respecter toutes les autres exigences de la Loi. Bien évidemment, l'industrie des assurances ne sera pas généralement visée par cette loi avant le 1er janvier 2004. Aussi, je m'attends à ce que les SACA s'adaptent bien aux exigences de la nouvelle loi, à en juger par ce que j'ai constaté au sujet de l'organisme d'enquête de l'industrie bancaire. Cette entité est visée par la Loi depuis son adoption et je n'ai pas encore eu à traiter de plainte à son égard

Actuellement, la Loi s'applique à tous les renseignements personnels, y compris les renseignements personnels en matière de santé, qui sont recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par des entreprises fédérales. Les entreprises fédérales comprennent principalement des sociétés de télécommunications, des radiodiffuseurs et des sociétés de transport. La Loi porte aussi sur les renseignements personnels des employés des organismes fédéraux, de même que sur les renseignements personnels que recueillent les organisations sous réglementation provinciale lorsqu'ils sont échangés par vente, location ou troc à l'extérieur de la province ou du pays.

À compter de janvier 2004, la Loi s'appliquera partout au Canada de manière générale et uniforme - à tous les renseignements personnels recueillis, utilisés ou communiqués dans le cadre d'activités commerciales par toutes les organisations du secteur privé, sauf dans la circonstance particulière que voici :

Dans les provinces qui se seront donné une loi sur la protection des renseignements personnels qui sera « essentiellement similaire » à la LPRPDE, le gouvernement fédéral pourra soustraire à l'application de la Loi la totalité ou une partie du secteur privé sous réglementation provinciale dans le cas des activités commerciales accomplies à l'intérieur des limites de la province. La Loi continuera de s'appliquer aux entreprises fédérales dans toutes les provinces. Elle continuera également de couvrir les renseignements personnels qui sont recueillis, utilisés ou communiqués de part et d'autre des frontières provinciales ou nationales.

Telle est la Loi dans ses grandes lignes. Je reviendrai dans un moment sur la question de loi provinciale essentiellement similaire, mais permettez-moi maintenant de vous exposer mon rôle.

Je suis un mandataire du Parlement, et mon mandat comporte deux volets principaux.

Le premier porte sur la surveillance. Il consiste à faire enquête et à rendre des décisions sur les plaintes en vertu de la LPRPDE ainsi que de la Loi sur la protection des renseignements personnels, une loi similaire s'appliquant déjà au secteur public fédéral depuis près de vingt ans.

Dans le cadre de mes fonctions de surveillance, je joue un rôle d'ombudsman. Mon but est donc de trouver des solutions, et non de blâmer ou de punir.

Il va de soi que j'ai pleins pouvoirs d'enquête. Je peux ordonner la production de documents, pénétrer dans un local et contraindre des témoins à comparaître. Cependant, en près de vingt ans de surveillance dans le cadre de la Loi sur la protection des renseignements personnels dans le secteur public fédéral, mes prédécesseurs et moi-même, nous n'avons jamais eu à recourir à ces pouvoirs parce que nous avons toujours pu obtenir la collaboration volontaire des personnes concernées. Il en a également été de même jusqu'à maintenant en ce qui concerne la LPRPDE, et j'espère évidemment qu'il continuera d'en être ainsi pour la nouvelle Loi touchant le secteur privé.

Si je conclus qu'une organisation viole la vie privée, je recommande une solution au problème.

Je n'ai pas le pouvoir de rendre des ordonnances. Je dispose cependant des moyens nécessaires pour faire respecter la vie privée et pour faire en sorte qu'on tienne compte de mes recommandations.

Si une organisation refuse de se conformer, je peux faire connaître publiquement le problème - puis m'appuyer sur l'opinion publique pour faire bouger les choses.

Je peux aussi demander à la Cour fédérale d'ordonner à l'organisation concernée de se conformer, voire de verser des dommages-intérêts aux personnes dont le droit à la protection de la vie privée a été violé.

Le deuxième grand volet de mon mandat porte sur l'éducation et la promotion. La LPRPDE me donne mandat de sensibiliser les Canadiens et les Canadiennes à leurs droits en matière de vie privée et d'en promouvoir le respect.

J'ai mentionné il y a un instant que la LPRPDE encadrera toutes les activités commerciales, dès 2004, sauf lorsqu'une province aura passé une loi essentiellement similaire. Peut-être que vous vous demandez ce que signifie, au juste, l'expression « essentiellement similaire ». Cela m'amène au troisième aspect de mon mandat, qui consiste à examiner la législation provinciale en matière de vie privée pour déterminer si elle est essentiellement similaire, et faire connaître mon opinion là-dessus.

J'interpréterai une loi provinciale comme « essentiellement similaire » lorsqu'elle assure une protection égale ou supérieure à celle de la Loi fédérale. À cet égard, je tiendrai compte, au bas mot, des dix principes établis du Code type de l'Association canadienne de normalisation. Je m'attarderai tout particulièrement aux cinq éléments suivants : le consentement, le critère de la personne raisonnable, les droits d'accès et de correction, la surveillance et les voies de recours. Une loi provinciale devra offrir un degré de protection de la vie privée au moins égal à celui de la LPRPDE dans ces secteurs pour être considérée comme essentiellement similaire.

On pourra donc s'attendre à ce que les principes de la LPRPDE fassent partie de l'environnement des entreprises à l'échelle du Canada. Bon nombre parmi vous avez déjà adapté vos pratiques à ces principes. À cet égard, vous étiez sans doute davantage motivés que par le seul souci de vous y conformer. Aussi, je présume que, si vous l'avez fait, c'est parce que vous reconnaissez que le respect et la protection de la vie privée constituent un élément important de votre avantage concurrentiel. Vous êtes conscients que votre clientèle désire préserver sa vie privée, que votre personnel a besoin de préserver la sienne et, ce qui est le plus important, que vos concurrents se conformeront à ces principes.

Une démarche de cette envergure n'est pas facile. Elle exige du temps et de l'attention - ainsi que des ressources.

Une partie de mon travail consiste à vous aider à contribuer au respect de la vie privée. J'encourage les consultations entre le Commissariat et le monde des affaires, et j'ai rencontré un grand nombre d'organisations commerciales - y compris le Bureau d'assurance du Canada. Nous avons lancé une série d'initiatives pour aider les entreprises - nous avons, par exemple, mis au point des fiches d'information, un guide de l'entreprise et un document d'information sur la Loi. Notre site Web renferme les sommaires de toutes les conclusions que j'ai rendues en vertu de la Loi ainsi que mon interprétation.

Cela m'amène à vous parler de plusieurs constatations récentes que j'ai faites à la suite de plaintes concernant l'utilisation de renseignements personnels à des fins secondaires de marketing. Je pense que vous les trouverez utiles, car elles devraient fournir des indications sur l'utilisation de l'option de refus.

Avant d'aborder quelques-uns des aspects qui se dégagent de ces constatations, permettez-moi quelques réflexions touchant le consentement.

La notion de consentement est assez simple : si vous voulez recueillir, utiliser ou communiquer les renseignements personnels de quiconque, vous devez avoir sa permission. Ce principe simple est fondamental en matière de vie privée. La plupart des dispositions importantes de la LPRPDE ont trait au consentement.

La LPRPDE reconnaît qu'il y a différentes façons de donner son consentement et qu'il n'est pas nécessaire que le consentement soit explicite dans tous les cas. Mais comme la plupart des personnes qui favorisent la prudence en matière de vie privée, j'estime que le consentement devrait être explicite dans la mesure du possible.

Et comme la plupart des défenseurs du droit à la vie privée, je ne suis pas un partisan du consentement passif. Dans ce cas, celui qui veut recueillir, utiliser ou communiquer nos renseignements personnels nous donne l'option de dire que nous ne voulons pas qu'il le fasse et si nous ne nous prévalons pas de cette option, il va de l'avant comme s'il avait notre consentement.

De façon générale, cette pratique fait que le fardeau repose sur la mauvaise partie. La personne qui veut se servir de mes renseignements personnels devrait m'en demander la permission. Si elle me dit que j'y ai consenti et me laisse la charge de m'y opposer, ce n'est pas une très bonne pratique en matière de protection de la vie privée.

Et, à mon avis, ce n'est pas très efficace sur le plan des affaires. Vous témoignez du respect à vos clients en les invitant à consentir activement à quelque chose, plutôt qu'en les obligeant à refuser sous peine d'en subir les conséquences.

Pour vous aider à répondre aux attentes de vos clients, je vous suggère de favoriser le consentement actif et de leur dire clairement ce que vous faites. Si vos clients ont tendance à être d'accord avec ce que vous comptez faire de leurs renseignements personnels, ils vous sauront gré d'avoir fait preuve de respect à leur égard et de leur avoir demandé la permission. Il y a un avantage concurrentiel pour une entreprise à être reconnue comme respectueuse du droit à la vie privée

Je reconnais toutefois que dans certains cas, le consentement passif est bien inspiré - lorsque vous faites du marketing auprès de vos clients actuels, par exemple.

Si vous décidez d'utiliser le consentement passif, vous veillerez à ce que cette pratique soit le plus respectueuse possible de la vie privée. Cela m'amène à quelques-uns des enseignements que vous voudrez peut-être dégager de mes récentes constatations sur l'utilisation de renseignements personnels à des fins secondaires de marketing.

La LPRPDE exige que vous fassiez savoir à vos clients, lorsque vous collectez des renseignements qui les concernent, pourquoi vous agissez ainsi, et de quelle façon et pourquoi vous utiliserez ces renseignements et les communiquerez. Vous devez fournir ces explications dans un langage simple et clair - un langage que le consommateur moyen comprend.

Toute fin secondaire doit être précisée, limitée et clairement identifiée. Si le but d'une communication de renseignements personnels consiste à permettre du marketing direct, vous devriez le dire.

Il vous appartiendra de fournir suffisamment de détails pour permettre aux consommateurs d'apprécier la nature et l'étendue des fins auxquelles vos renseignements personnels seront utilisés. Soyez très clairs concernant les sujets ou les types de renseignements que vous prévoyez utiliser ou communiquer, les parties à qui vous envisagez communiquer les renseignements, et les buts que vous visez. Soyez clairs et simples dans vos explications, de façon à ce que vos clients comprennent facilement ce à quoi ils s'engagent.

Ne vous appuyez pas sur des documents qui ne sont pas effectivement fournis à vos clients, qu'ils doivent trouver de leur propre initiative. Et n'utilisez pas des textes en petits caractères égarés dans un long document.

Faites clairement savoir à vos clients que l'utilisation de leurs renseignements personnels, tel que le marketing direct, est facultative, et assurez-vous qu'ils comprennent bien comment ils peuvent exercer une option de refus.

Le consentement passif devrait être facile, immédiat et peu coûteux. Une case à cocher sur le formulaire de demande permet facilement aux gens d'opter pour un refus. Si ce n'est pas possible pour une raison quelconque, une autre possibilité serait de fournir un numéro 1-800 bien identifié.

Assurez-vous que les utilisations que vous faites des renseignements personnels sont claires pour les clients qui vont affaire avec vous en personne et par des moyens divers - qu'il s'agisse de l'écrit, du courriel ou du téléphone. Veillez à ce que vos clients reçoivent la même information par téléphone que par l'écrit ou l'électronique. Si vous utilisez un scénario téléphonique - des instructions à vos représentants sur la façon d'expliquer aux clients comment vous entendez utiliser et communiquer vos renseignements personnels - élaborez-le de façon claire. Assurez-vous qu'il énonce les buts de la collecte d'information et fasse clairement savoir aux clients qu'ils disposent d'un droit de refus.

Lorsque vous dites à vos clients que vous communiquerez leurs renseignements personnels à des fins secondaires de marketing, il est très opportun de

Signaler un problème ou une erreur sur cette page
Erreur 1: Aucune sélection n’a été faite. Vous devez choisir au moins une réponse.
Veuillez cocher toutes les réponses pertinentes (obligatoire) :

Remarque

Date de modification :