Le 26 janvier 2023, l’ACIFA a organisé un webinaire sur les questions et les tendances relatives à la confidentialité dans le domaine des assurances. Les conférenciers étaient Dallas Ewen, de Canada Vie, et David Elder, de Stikeman Elliott.
David Elder a indiqué que, dans une perspective commerciale, les lois sur la confidentialité adoptées jusqu’à présent au Canada ont été assez efficaces. Dans les provinces de common law, ces lois sont largement fondées sur des principes, et les commissaires à la protection de la vie privée ont été en mesure de traiter une grande variété de questions. Il existe d’importantes raisons non financières pour lesquelles les entreprises tiennent à respecter les exigences en matière de confidentialité. Cependant, une des difficultés vient du fait qu’il n’existe pas de mécanisme concret pour faire appel d’une décision rendue par un commissaire. Dallas Ewen a convenu que le régime de protection de la vie privée est généralement efficace au Canada. Il a également convenu qu’il était difficile de contester les décisions relatives à la confidentialité, mais il a précisé que le nouveau projet de loi fédéral C-27 prévoit la création d’un tribunal qui, dans une certaine mesure, remédie à cette lacune.
Dallas Ewen a fait remarquer que les lois sur la confidentialité au Canada ne sont pas harmonisées d’une administration à l’autre. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale, s’applique partout au Canada, sauf lorsque des régimes provinciaux ont été jugés essentiellement similaires à la LPRPDE, ce qui est le cas en Colombie-Britannique, en Alberta et au Québec. Il s’agit des lois sur la protection des renseignements personnels (Personal Information Protection Acts – PIPA) en Colombie-Britannique et en Alberta, et d’une autre loi au Québec. Il existe toutefois quelques petites différences entre les divers régimes. La différence la plus importante entre les régimes concerne l’obligation de signaler les infractions. David Elder partage l’avis de M. Ewen, mais fait remarquer que ces défis ne sont pas si différents des autres difficultés liées aux frontières juridiques qui se posent au Canada dans d’autres secteurs. Notons que les organismes de réglementation coopèrent grandement et coordonnent leurs activités, ce qui est utile. Toutefois, la modernisation récente de la législation québécoise en matière de protection de la vie privée pourrait poser de nouveaux défis et placer le Québec dans une position un peu à part.
David Elder a ajouté à ces commentaires que le Québec a récemment adopté une approche très différente et apporte des modifications majeures à son régime de protection de la vie privée. Les modifications que le Québec a apportées s’échelonnent sur plusieurs années et marquent une nouvelle orientation, qui s’apparente davantage à l’approche adoptée en Europe (le Règlement général sur la protection des données, ou le RGPD, de l’Union européenne). D’une manière générale, les normes et les attentes sont désormais plus élevées au Québec, et de nouvelles exigences supplémentaires ont été introduites. La nouvelle loi québécoise impose aussi des exigences non seulement pour les activités à l’extérieur du pays, mais aussi à l’extérieur du Québec. La législation québécoise prévoit également de nouvelles sanctions financières importantes, ainsi qu’un droit de recours privé. Dallas Ewen a convenu que les nouvelles règles sont différentes de celles en vigueur ailleurs au Canada et qu’elles sont très strictes. Ce nouveau régime repose davantage sur une philosophie selon laquelle la confidentialité est perçue comme un droit de la personne.
Nonobstant les développements au Québec, la plupart des autres territoires du Canada s’intéressent également aux développements internationaux, notamment ceux de la Californie et le RGPD de l’Union européenne. Les règles fédérales en matière de confidentialité qui sont modernisées dans le projet de loi C-27, si elles sont adoptées, reprendront de nombreuses caractéristiques des règles québécoises. Les lois canadiennes sur la confidentialité devront probablement être réformées afin de correspondre plus étroitement au RGPD et aux évolutions internationales en général, surtout en ce qui concerne l’application des lois et l’imposition de sanctions financières importantes aux entreprises non conformes.
Toute entreprise dont les activités dépendent des données devra faire face aux problèmes liés à l’utilisation des informations personnelles. Si les données étaient autrefois des informations personnelles et que, sous forme agrégée, elles pouvaient être liées à une personne, ces données pourraient désormais être soumises aux règles plus strictes en vigueur en Europe et dans d’autres pays.
Parmi les personnes qui ont assisté au webinaire figuraient des représentants des associations sectorielles connexes, l’Association canadienne des compagnies d’assurances de personnes, l’Association canadienne de l’assurance voyage et l’Association des banquiers canadiens, ainsi que des représentants d’organismes de réglementation et de politiques, notamment :
- les Organismes canadiens de réglementation en assurance;
- les Insurance Councils of Saskatchewan;
- l’Alberta Insurance Council;
- le gouvernement de l’Alberta;
- le ministère des Finances de la Colombie-Britannique;
- la British Columbia Financial Services Authority.