Les auteurs de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (dite Loi 25) n’ont pas lésiné sur les assertions à ajouter à la Loi sur la protection des renseignements personnels dans le secteur privé (dite Loi 39.1). Leur but : asseoir leur exigence d’informer de façon intelligible les personnes sur les tenants et les aboutissants de l’utilisation de leurs données avant qu’elles consentent à les confier.
Depuis 22 septembre 2023, pas moins de 4 articles de la Loi 39.1 ont dû être modifiés ou ajoutés, pour qu’y apparaisse la mention « en termes simples et clairs », notamment à propos du contenu internet (articles 3.2 et 8.2), lors des communications directes (article 8) et dans les demandes écrites (article 14).
Parmi les experts de la protection des données provenant tant du domaine de l’éthique que de l’intelligence artificielle, une telle évolution de la structure légale s’imposait, car, depuis 1993, étape où fut ratifiée la Loi 39.1, beaucoup d’eau a coulé sous les ponts de la technologie.
Schallum Pierre, conseiller en éthique institutionnelle et co-auteur de Médias sociaux : perspectives sur les défis liés à la cybersécurité, la gouvernementalité algorithmique et l’intelligence artificielle, mentionne, entre autres, la tendance des entreprises à s’approprier et à garder des données personnelles comme des actifs, avant même d’avoir décidé ce qu’elles comptaient en faire : « Et cela est une tendance que l’on voit beaucoup avec les entreprises qui utilisent des données et font ce que nous appelons de la valorisation des données, c’est-à-dire qu’elles se basent là-dessus pour trouver les stratégies. »
Maintenant, soyez spécifiques !
C’est donc pour renverser la tendance et permettre au consommateur de comprendre pourquoi et jusqu’à quand les entreprises comptent utiliser les données des citoyens que la Loi 25 est ainsi venue modifier d’autres lois existantes. Mais quelles sont ces fameuses informations que tous les membres de l’équipe concernée devraient dorénavant connaître sur le bout des doigts ? Pour chaque nouvelle donnée demandée, ceux-ci devront dorénavant pouvoir expliquer, simplement, à quoi elle va servir exactement et combien de temps elle sera utilisée.
Cela entraîne aussi, précise Me Jannick Desforges, avocate et directrice des affaires juridiques et de la conformité de la Chambre de l’assurance de dommages l’obligation de demander une nouvelle autorisation pour chaque produit qui s’ajoute : « Il faut que ce soit précis. Par exemple, ce n’est pas parce que je suis assurée pour ma voiture que les consentements que j’ai donnés sont valides pour toutes les protections d’assurance. »
Le représentant d’assurance doit donc valider le plus possible la compréhension de son interlocuteur, puisqu’un consentement pour lequel il est impossible de démontrer que tous les moyens nécessaires à la compréhension de sa portée ont été utilisés pourrait être jugé non valide.
Ces nouveaux articles sur la clarté en présentent aussi des défis de mise en forme, pour adapter le discours à la clientèle cible, lorsque les consentements doivent être donnés en ligne ou encore pour la création de formulaires qui, sans être généraux, pourraient facilement être adaptés par les représentants d’assurance à la diversité des situations. À ce propos, Me Guillaume Laberge, avocat associé spécialisé en protection des renseignements personnels chez Lavery avocats à Montréal, suggère de s’assurer de bien connaître sa cible et que celle-ci puisse s’adresser si nécessaire, au responsable de la protection des renseignements personnels.
Fehmi Jaafar, professeur spécialiste de la cybersécurité à l’UQAC et coauteur de l’ouvrage Les Médias sociaux précise néanmoins que la Loi 39.1 n’impose cette exigence de simplification et d’explication des objectifs avant l’autorisation que pour le consentement aux données personnelles : « Le contrat d’assurance pourra demeurer compliqué, parce qu’il y a des clauses et des détails juridiques. Mais en ce qui a trait au consentement, il faut le clarifier. »
Confirmer, virtuellement parlant
Le nouvel article 14 de la Loi 39.1 stipule aussi que, lorsqu’il est transmis par écrit, un document distinct doit être présenté pour l’approbation à l’accès aux données. Mais ce principe risque de ne pas changer les habitudes des représentants d’assurance, que rien n’empêche de continuer à conclure les ententes de consentement au partage de donnée sous forme verbale, confirme Me Laberge : « Par exemple, si, au stade de l’enquête, un expert en sinistres omettait de faire signer un formulaire standard pour la collecte de renseignements, et qu’il recueillait des renseignements, par exemple, au téléphone, il est possible, si les choses sont bien expliquées, d’obtenir un consentement qui va être tout à fait valide, même s’il n’est pas écrit. ».
Les enregistrements, à condition qu’ils soient consentis, peuvent aussi faire office de preuves de consentement. Et ces preuves deviennent particulièrement significatives dans les cas d’une enquête de sinistre, souligne Dominic Boisvert un autre avocat associé chez Lavery, pour sa part, spécialisé en assurance : « Si l’expert en sinistres doit se présenter et obtenir, effectivement, un consentement, il aura à lui soumettre soit un document écrit ou quelque chose qu’il va pouvoir expliquer. »
Consentir : pas un pouvoir absolu
Mais un autre passage de la Loi 39.1 qui risque de laisser perplexes plusieurs lecteurs du domaine de l’assurance se trouve au quatrième paragraphe de l’article 8, où il est écrit que « lors de la collecte et par la suite sur demande lorsqu’elle constitue un dossier sur cette dernière devrait l’informer […] de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis ».
Cela ne doit toutefois, en aucun cas, être interprété comme la possibilité de faire disparaître toutes traces de son dossier qui, selon la Chambre, doit être gardé durant cinq ans et certaines informations demeurent obligatoires à la formation du contrat.
Me Jannick Desforges interprète alors ce droit comme la possibilité de changer certaines informations, par exemple, pour un usager qui voudrait changer son mode de paiement. Il offre aussi la possibilité de retirer des informations susceptibles de faire varier le coût de l’assurance, mais seulement à condition que l’usager en accepte les conséquences sur le coût de sa prime.
Cette avocate de la Chambre déclare également que se maintient l’obligation déontologique de rapporter à l’assureur toutes les informations que le représentant aurait glanées par hasard, et qui pourraient élever la prime ou même invalider un contrat comme un dossier criminel ou un accident de voiture révélé sur le ton de la confidence : Dans les bonnes pratiques, ce serait d’appeler son client et de lui dire ‟Écoute, je dois transférer cette information à l’assureur” ».
D’ailleurs, Me Boisvert rappelle qu’avant d’en arriver là, le client a, lui aussi l’obligation de divulguer à l’assureur tous les faits qui permettent la tarification de la police. Et cette obligation, précise-t-il, s’applique encore autant au moment de la souscription que de l’enquête de sinistre, et ce, autant pour l’assuré qui pour les tiers interrogés : « Le Code civil prévoit effectivement que, lorsqu’il y a un sinistre, il y a une obligation de collaboration. »
