Chantal Bernier, chef de pratique nationale, Cybersécurité et protection de la vie privée
Peu de secteurs doivent compter autant sur les renseignements personnels, y compris les renseignements de nature délicate, que le secteur de l’assurance, ce qui se comprend. Les sociétés d’assurances prennent en charge les risques auxquels leurs clients sont exposés, ce qu’elles peuvent faire seulement si elles disposent de tous les renseignements nécessaires pour évaluer ces risques. C’est pourquoi il est utile d’examiner les répercussions du projet de loi C‑11, intitulé Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données, sur le secteur de l’assurance.
Les sociétés d’assurances s’appuient sur la modélisation des données, soit le processus qui consiste à créer un modèle de données qui permet d’identifier les données pertinentes qui peuvent servir à évaluer le risque et d’établir les mesures à prendre si le risque en question se matérialise. Le projet de loi C‑11 intègre trois nouveaux concepts au droit canadien relatif à la protection des renseignements personnels et de la vie privée, lesquels pourraient être particulièrement importants pour la modélisation des données. Il s’agit du « système décisionnel automatisé », des « renseignements dépersonnalisés » et de la communication de renseignements dépersonnalisés à des « fins socialement bénéfiques ».
Le terme « système décisionnel automatisé » est défini à l’article 2 du projet de la Loi sur la protection de la vie privée des consommateurs (la « LPVPC ») comme désignant la « technologie qui appuie ou remplace le jugement de décideurs humains au moyen de techniques telles que l’usage de systèmes basés sur des règles, l’analyse de régression, l’analytique prédictive, l’apprentissage automatique, l’apprentissage profond et l’usage de réseaux neuronaux ». Même s’il ne s’agit pas de remplacer le jugement des assureurs, l’utilisation de l’intelligence artificielle dans le secteur de l’assurance équivaut à un « système décisionnel automatisé ». Les obligations suivantes en découlent : par souci de transparence, les sociétés d’assurances devront désormais donner, dans leur politique de confidentialité, une « explication générale » de l’utilisation qu’elles font des systèmes décisionnels automatisés, étant donné que cela pourrait avoir un effet important sur les particuliers concernés (alinéa 62 (2) c); afin de respecter le droit d’accès, les sociétés d’assurances devront fournir, à la demande d’un particulier, « une explication de la prédiction, de la recommandation ou de la décision » et lui indiquer « la provenance des renseignements personnels utilisés pour faire la prédiction, formuler la recommandation ou prendre la décision » (paragraphe 63 (3)). Bien entendu, la difficulté sera de protéger la confidentialité de la propriété intellectuelle dans ce contexte.
Le terme « renseignements dépersonnalisés » désigne les renseignements obtenus après que les renseignements personnels ont été modifiés de sorte qu’ils ne permettent plus d’identifier une personne, qu’ils soient utilisés seuls ou en combinaison avec d’autres renseignements (article 2). Ce concept entre en jeu dans le cadre de deux applications très importantes pour les sociétés d’assurances, c’est‑à‑dire que les renseignements d’une personne, une fois dépersonnalisés, (i) peuvent être utilisés, à son insu ou sans son consentement, à des fins de recherche et de développement internes (article 21) et (ii) peuvent être communiqués, à son insu ou sans son consentement, à une institution gouvernementale, à un établissement de soins de santé, à un établissement d’enseignement postsecondaire ou à une bibliothèque publique situés au Canada, ou encore à une organisation mandatée, en vertu d’une loi ou d’un contrat avec une institution gouvernementale, pour réaliser une fin socialement bénéfique, si la communication est faite à une fin socialement bénéfique (article 39).
Le terme « fin socialement bénéfique » désigne « toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou toute autre fin réglementaire » (paragraphe 39 (2)).
Ces dispositions, dans leur ensemble, forment le fondement juridique permettant à une société d’assurances de dépersonnaliser les renseignements personnels afin de les communiquer pour faire avancer la recherche médicale en plus de consolider une meilleure base de données aux fins de l’évaluation des risques.
L’article 9 du projet de loi C‑11 place la barre très haut en ce qui a trait à la mise en œuvre de programmes de gestion de la protection des renseignements personnels. Bien qu’elles reprennent essentiellement la clause 4.1.4 de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») qu’elles remplacent, les nouvelles dispositions exigent désormais que le programme de l’organisation tienne compte du volume et de la nature des renseignements personnels qui relèvent d’elle et créent l’obligation de permettre au Commissaire à la protection de la vie privée du Canada (le « Commissaire ») d’avoir accès aux documents du programme sur demande.
Étant donné le volume et la nature délicate des renseignements personnels qui relèvent des sociétés d’assurances, ces dernières devraient s’attendre à recevoir une telle demande de la part du Commissaire et s’y préparer.
Le paragraphe 12 (2) s’inspire du droit relatif aux droits de la personne ou, plus précisément, du critère établi par la Cour suprême du Canada dans la décision R. c. Oakes, [1986] 1 RCS 103, pour interpréter l’article 1 de la Charte canadienne des droits et libertés en ce qui concerne les limites admissibles des droits et libertés protégés. Pour établir le caractère acceptable des fins, l’organisation doit tenir compte de la mesure dans laquelle les renseignements personnels sont de nature délicate, de la mesure dans laquelle la collecte, l’utilisation ou la communication de tels renseignements répondent à des besoins commerciaux légitimes, du degré d’efficacité de la collecte, de l’utilisation ou de la communication pour répondre à ces besoins, de l’existence, ou non, de moyens portant une atteinte moindre à la vie privée de l’individu et permettant d’atteindre les fins visées et de la proportionnalité entre l’atteinte de la vie privée de l’individu et les avantages pour l’organisation.
Il se pourrait que ces dispositions n’aient pas de répercussions concrètes énormes sur les sociétés d’assurances puisque ces dernières traitent seulement les renseignements personnels qui sont pertinents pour évaluer le risque, ce qui constitue une fin « acceptable ». Cependant, cela ne signifie pas que ces dispositions sont sans importance : une nouvelle série de critères doit être appliquée pour évaluer quelles sont les « fins acceptables » et l’organisation doit déclarer ces fins. Cela ouvre la voie à la possibilité qu’une société d’assurances dont les « fins » ont été établies au moyen de modèles de données complexes fasse l’objet d’une contestation à ce sujet. C’est la façon dont la notion de « fins acceptables » sera interprétée qui révèlera les répercussions réelles de ces dispositions.
Pendant que le projet de loi C‑11 était en cours d’élaboration, tous les secteurs d’activité ont exprimé leur inquiétude quant au type de données qui seraient assujetties au droit à la mobilité des données. La mobilité des données s’appliquerait‑elle uniquement aux données fournies ou s’appliquerait‑elle aussi aux données fournies et dérivées? Les données dérivées sont les données qu’une société élabore au sujet d’une personne. L’article 72 du projet de loi C‑11 répond à la question : une organisation doit communiquer à l’organisation qu’un individu désigne les « renseignements personnels qu’elle a recueillis auprès de lui ». Il est raisonnable d’interpréter cette disposition de manière à exclure les données dérivées, comme l’évaluation du risque lié à un souscripteur que fait l’assureur, du droit à la mobilité. Non seulement le projet de loi C‑11 est‑il libellé en ce sens, mais les droits de propriété intellectuelle interdiraient de toute manière les interprétations à l’effet contraire.
Le droit à la mobilité s’applique seulement si les deux organisations sont soumises à un cadre de mobilité des données. Ces cadres seront prévus par règlement (article 120). Les sociétés d’assurances doivent s’assurer de leur interopérabilité pour remplir les obligations qui leur incombent à cet égard.
Bien que cela ne soit pas propre au secteur de l’assurance, la nature délicate des renseignements personnels détenus par les sociétés d’assurances est telle que la plupart des atteintes sont susceptibles de présenter « un risque réel de préjudice grave ». C’est pour cette raison, et aussi parce que cette modification du droit canadien relatif à la protection des renseignements personnels et de la vie privée est d’une importance cruciale, qu’il convient de mentionner la structure des pénalités prévues par le projet de loi C‑11.
Aux termes du projet de loi C‑11, les violations moins graves pourraient donner lieu à une amende administrative pouvant aller jusqu’à 10 000 000 $ ou à un montant correspondant à 3 % des recettes globales brutes de l’organisation au cours de son exercice précédent, si ce montant est plus élevé. Les amendes pourraient être infligées par le nouveau Tribunal de la protection des renseignements personnels et des données si le Commissaire a fait une recommandation en ce sens (article 93).
Parmi les violations qui pourraient donner lieu à de telles amendes, les plus pertinentes pour les sociétés d’assurances sont la collecte excessive de renseignements, étant donné que l’avis d’une société quant aux renseignements personnels qui sont nécessaires pour évaluer le risque pourrait être contesté, ou encore, le fait de ne pas prendre des mesures de sécurité ou de ne pas déclarer ou signaler une violation, en raison du montant élevé des pénalités.
L’article 125 crée des infractions et des peines en cas de violations plus graves. Par exemple, l’organisation qui ne déclare pas ou ne signale pas une violation ou qui ne déclare pas tous les incidents relatifs à la sécurité encourt, par mise en accusation, une amende de 25 000 000 $ ou d’un montant égal à 5 % de ses recettes globales brutes de l’exercice précédent ou, par procédure sommaire, une amende de 20 000 000 $ ou d’un montant égal à 4 % de ses recettes globales brutes de l’exercice précédent, si ce montant, dans les deux cas, est plus élevé.
Enfin, bien que les sociétés d’assurances demandent déjà le consentement explicite de leurs clients, elles seraient bien avisées de revoir leurs formulaires de consentement et leurs politiques de confidentialité (article 15) afin de s’assurer que ces documents remplissent les critères proposés par le projet de loi C‑11, de rédiger un texte qui explique l’utilisation qu’elles font des systèmes décisionnels automatisés (article 62), s’il y a lieu, et d’établir des mécanismes qui leur permettront d’honorer les nouveaux droits conférés aux personnes de demander le retrait de leurs renseignements personnels (article 55) et le droit à la mobilité des données (article 72).
Tout bien pesé, nous estimons que le secteur de l’assurance réussira bien à l’intérieur de ce nouveau cadre réglementaire sur la protection des renseignements personnels et de la vie privée.
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».