Protection des renseignements personnels : rappels et nouveautés
La protection des renseignements personnels est une question qui préoccupe un nombre croissant de consommateurs et d’entreprises. Pour relever les défis que posent les avancées technologiques et les risques accrus de fuites de données, le gouvernement du Québec a modernisé sa Loi sur la protection des renseignements personnels dans le secteur privé, qui datait de 1994, en adoptant la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (communément appelée Loi 25).
Une partie des dispositions législatives de la nouvelle mouture de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) est entrée en vigueur le 22 septembre 2022, alors que d’autres prennent effet en 2023 et en 2024. Cet article revient sur certaines notions de base en matière de protection des renseignements personnels et présente les principales nouveautés contenues dans la loi qui ont un impact sur la pratique professionnelle des certifiés.
Mentionnons que la LPRPSP s’applique aux entreprises et individus (dont les certifiés en assurance de dommages) qui recueillent, détiennent, utilisent ou communiquent des renseignements personnels sur autrui.
Qu’est-ce qu’un renseignement personnel?
Selon l’article 2 de la loi « est un renseignement personnel, tout renseignement qui concerne une personne physique et qui permet directement ou indirectement de l’identifier ».
Exemples de renseignements personnels :
| Renseignements d’identification | Renseignements financiers | Renseignements de santé |
|---|---|---|
|
|
|
Quels renseignements personnels peuvent faire l’objet d’une collecte?
Seuls les renseignements personnels qui sont considérés comme nécessaires pour atteindre les fins de la collecte (c’est-à-dire l’objectif, la raison pour laquelle les renseignements sont recueillis) peuvent faire l’objet d’une collecte [1]. Au sens de la loi, est nécessaire un renseignement qui s’avère requis pour répondre à ces fins; il est donc indispensable, essentiel, primordial, et non simplement utile.
Qu’est-ce qu’un renseignement personnel dans le domaine de l’assurance?
Tout dossier-client (dossier de souscription, de renouvellement ou de réclamation) contient des renseignements personnels. Les notes des employés d’un cabinet peuvent également être considérées comme des renseignements personnels, tout comme un rapport d’enquête et les conclusions sur les causes du sinistre ou encore un rapport de surveillance d’un assuré par un enquêteur privé.
Nouveauté : renseignements personnels sensibles
Parmi les nouveautés, la LPRPSP introduit la notion de renseignement personnel dit « sensible ». L’article 12 alinéa 4, en vigueur le 22 septembre 2023, stipule que :
Pour l’application de la présente loi, un renseignement personnel est :
[…]
2° sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. (L’emphase est ajoutée.)
En effet, bien que des renseignements pris isolément puissent sembler inoffensifs, le contexte dans lequel ils sont utilisés peut en faire des renseignements sensibles. Par exemple, les noms et prénoms d’individus, dans un contexte particulier, deviennent des renseignements sensibles dont la divulgation peut causer un préjudice, comme l’a démontré le vol de données extraites du site de rencontres extraconjugales Ashley Madison, en 2015[2] .
En matière d’assurance, beaucoup de renseignements personnels (et notamment des renseignements personnels sensibles) sont recueillis (ex. : renseignements financiers, médicaux). Il est donc important pour les entreprises d’adopter et de mettre en œuvre des politiques et des pratiques appropriées. Ces politiques devraient prévoir, notamment, les rôles et responsabilités du personnel (incluant les certifiés) tout au long du cycle de vie des renseignements personnels, ainsi que des mesures de sécurité physiques et informatiques et les différents niveaux d’accès à l’information. Autrement dit, chaque employé ne devrait avoir accès qu’aux renseignements qui lui sont nécessaires et essentiels pour effectuer son travail.
Par ailleurs, notons que la loi s’applique aux renseignements personnels, et ce, quelle que soit :
- la nature de leur support;
- la forme sous laquelle ils sont accessibles : écrite (courriel, texto), sonore (enregistrement d’une conversation téléphonique), visuelle (photo, fichier vidéo), informatisée (fichier) ou autre.
Ces renseignements étant de plus en plus souvent conservés sous forme électronique, la formation, les connaissances et les bonnes pratiques liées à l’utilisation des technologies de l’information (sauvegarde des documents, partage de fichiers, transfert électronique et ségrégation de fichiers) sont également primordiales.
Envie de perfectionner vos compétences sur la protection de l’information à l’ère du tout numérique ? Suivez la courte formation La protection de l’information sur ÉduChAD.
Quelles sont les obligations des experts en sinistre et des agents ou courtiers en assurance de dommages liées à la LPRPSP et aux nouveautés de la Loi 25?
Votre principale responsabilité en matière de protection des renseignements personnels consiste à veiller à la protection de ces renseignements, et ce, tout au long de leur cycle de vie. Le point de départ incontournable pour respecter vos obligations consiste à connaître et à mettre en application les politiques et pratiques de votre entreprise en matière de protection des renseignements personnels, y compris les bonnes pratiques en matière de cybersécurité.
Votre code de déontologie rappelle également vos obligations en matière de confidentialité des renseignements recueillis dans le cadre de votre travail.
Les articles 23 et 24 du Code de déontologie des représentants en assurance de dommages (articles 22 et 23 du Code de déontologie des experts en sinistre) imposent l’obligation de respecter le secret de tout renseignement personnel ou de nature confidentielle obtenu d’un client et d’utiliser ces renseignements exclusivement aux fins pour lesquelles ils ont été obtenus. Par conséquent, un certifié ne doit pas divulguer ces renseignements obtenus autrement que conformément à la loi ni les utiliser au préjudice du client en vue d’obtenir un quelconque avantage.
Les autres nouveautés
Voici un survol des principales nouveautés qui découlent des modifications de la Loi 25 et qui ont un impact sur votre pratique professionnelle.
1. La notion de consentement : transparence accrue et langage simple et clair
La notion de consentement constitue la pierre angulaire de la loi, et ce, depuis son adoption en 1994.
Ainsi, le consentement doit être :
- manifeste : le consentement obtenu de la personne concernée doit être clair et sans équivoque;
- libre : fait volontairement, sans pression ni contrainte;
- éclairé : la personne doit avoir compris ce à quoi elle consent, d’où l’importance de formuler la demande en langage simple et clair;
- donné à des fins spécifiques : le consentement doit être donné dans un but précis afin d’atteindre un résultat déterminé;
- d’une durée déterminée ou déterminable : le consentement ne sera valable que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé.
La Loi 25 est venue renforcer et clarifier les modalités du consentement et des explications qui doivent être fournies pour son obtention (importance de la transparence dans la communication). Comme le stipule l’article 14 de la loi, dont les ajouts entrent en vigueur à compter du 22 septembre 2023 :
Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ses fins, en termes simples et clairs. Lorsque la demande de consentement est faite par écrit, elle doit être présentée distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé. (Les termes en gras et bleu constituent les ajouts à la loi.)
Ainsi, chacune des finalités pour lesquelles les renseignements sont demandés et le consentement recherché doit être expliquée en termes simples et clairs[3] .
2. Consentement exprès
Comme mentionné précédemment, la notion de « renseignements personnels sensibles » est introduite par la Loi 25; la collecte, l’utilisation et la communication de ces derniers à des tiers nécessitent un consentement manifesté de manière expresse[4] .
Exprès (explicite) ou implicite?
De façon générale, la personne concernée peut donner son consentement de manière expresse (explicite), c’est-à-dire par le biais d’un geste concret, verbal ou écrit (par exemple, votre client qui répond « oui » à une question en lien avec la collecte d’une ou des données personnelles).
Le consentement peut aussi être donné de façon implicite, c’est-à-dire qu’il se déduit d’un geste, d’un comportement ou d’une situation (par exemple, votre client qui demande une soumission d’assurance consent implicitement à fournir certains renseignements).
Cependant, à compter du 22 septembre 2023, le consentement doit être obtenu de manière expresse dans le cas d’un renseignement personnel sensible :
- lorsqu’une entreprise souhaite l’utiliser à d’autres fins que celles pour lesquelles il a été recueilli (art. 12);
- lorsque ce renseignement sera communiqué à un tiers (art. 13 al.2).
Par exemple, des renseignements personnels sensibles sont recueillis dans le contexte de l’obtention d’une soumission en assurance automobile. Si l’entreprise souhaite utiliser ces renseignements pour offrir de l’assurance habitation, un consentement exprès devra être obtenu, de manière distincte.
Rappelons qu’au moment de recueillir des renseignements personnels pour constituer un dossier, vous devez informer la personne concernée des fins de la collecte ainsi que des droits d’accès ou de rectification[5].
En rappel : verbal ou écrit?
Le consentement peut être obtenu de façon verbale ou écrite. En cas de consentement verbal, il est important de noter au dossier les renseignements utiles concernant vos échanges avec le client et les informations que vous lui avez fournies, notamment, les fins de la collecte.
3. Le responsable de la protection des renseignements personnels
Depuis le 22 septembre 2022, les entreprises doivent désigner un responsable de la protection des renseignements personnels[6]. Dans bien des cas, il s’agit d’un haut dirigeant.
Cette personne est notamment responsable de veiller au respect et à la mise en œuvre de la loi, et de voir à ce que l’entreprise traite les données personnelles qu’elle détient conformément aux lois. Elle doit, entre autres, mettre en place les politiques internes entourant la gestion des données, gérer les incidents de confidentialité ainsi que traiter les demandes d’accès et les plaintes liées à la protection des renseignements personnels.
Le titre du responsable et ses coordonnées doivent être publiés sur le site Web de l’entreprise pour permettre aux clients de s’y adresser directement[7].
Il est de votre responsabilité de savoir qui est la personne ou le service responsable de la protection des renseignements personnels au sein de votre entreprise. En effet, en cas d’incident de confidentialité, vous devrez communiquer avec cette personne ou le service responsable pour :
- l’informer de tout incident de confidentialité dans lequel vous êtes impliqué, et
- prendre les mesures pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature se produisent.
Exemples d’incidents de confidentialité :
- envoi d’un courriel contenant des renseignements personnels à un mauvais destinataire;
- vol d’un ordinateur portable contenant des renseignements personnels de clients;
- faille informatique;
- extraction de données par une personne non autorisée.
4. Des sanctions plus sévères
Par ailleurs, les organisations et les individus qui ne respectent pas les dispositions de la loi et de ses règlements d’application s’exposent, à compter du 22 septembre 2023, à des sanctions pénales plus lourdes qu’auparavant : ces sanctions pourront aller jusqu’à 25 M$ dans les cas les plus sévères! De plus, la loi accordera dorénavant à la Commission d’accès à l’information, qui a notamment pour fonction de surveiller l’application des lois en matière de protection des renseignements personnels, le pouvoir d’imposer des sanctions administratives pécuniaires (jusqu’à concurrence d’un montant de 10 M$).
Communication à des tiers
Le consentement de l’assuré est également essentiel à la communication de renseignements personnels à des tiers. Comme le stipule la LPRPSP : « Nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu’il détient sur autrui ni les utiliser à des fins non pertinentes à l’objet du dossier, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie. »[8] Ce sujet fera d’ailleurs l’objet d’un article distinct prochainement.
La protection des renseignements personnels : une responsabilité partagée
Le cabinet ou l’entreprise doit, notamment, s’assurer que ses employés (certifiés ou non) comprennent et respectent leurs obligations en matière de confidentialité.
Quant à vous, agents, courtiers et experts en sinistre, rappelons que vous devez continuer à assurer la protection des renseignements personnels, peu importe le lieu où ils se trouvent ou leurs supports de conservation. Pour ce faire, il est important de développer et maintenir de bons réflexes en matière de protection des renseignements, notamment :
- éviter de laisser vos dossiers contenant des renseignements personnels à la vue du public, de vos collègues de bureau qui ne sont pas concernés par ces dossiers ou des résidents de votre domicile. Rangez-les dans des classeurs fermés et verrouillés;
- utiliser des outils technologiques adéquats : mots de passe confidentiels et robustes, systèmes de cryptage de données, pare-feu, etc.;
- éviter d’utiliser des connexions Wi-Fi non sécurisées lorsque vous êtes sur la route.
En bref
Que vous soyez agent, courtier en assurance de dommages ou expert en sinistre, vous devez respecter le secret des renseignements personnels que vous fournissent les clients et ne les utiliser qu’aux fins pour lesquelles vous les avez obtenus, à moins qu’une disposition d’une loi ou d’une ordonnance d’un tribunal compétent ne vous relève de cette obligation. De plus, vous ne devez en aucun cas divulguer les renseignements personnels ou de nature confidentielle que vous avez obtenus autrement que conformément à la loi, ni les utiliser au préjudice de votre client ou en vue d’obtenir un avantage pour vous-même ou pour une autre personne.
___________
[2] Les Affaires, « Les données du site de rencontres adultères Ashley Madison dévoilées », 19 août 2015.
[3] Article 8, alinéa 4 de la LPRPSP.
[4] Articles 12 et 13 de la LPRPSP.
[6] Article 3, alinéa 1 de la LPRPSP.
Des questions sur votre pratique professionnelle?
Visitez la section « Boîte à outils » à chad.ca/outils.
Communiquez avec Accent Déonto par téléphone au 514 842-2591, par courriel à info@chad.qc.ca ou en ligne.
Outils pour les certifiés
Procédure pour la protection des renseignements personnels
Formulaire de consentement relatif à la cueillette et à la communication de renseignements personnels dans le cadre d’une réclamation
Contenu en cours de révision.
Formulaire de consentement relatif à la cueillette et à la communication de renseignements personnels dans le cadre d’une réclamation – Expert en sinistre mandaté par l’assuré
Contenu en cours de révision.
Liens utiles pour les entreprises
Articles connexes
Quoi faire quand les devis divergent?
Maltraitance financière et matérielle : comment réagir?
Cybersécurité : adoptez les bons gestes
L’intelligence artificielle en assurance de dommages
Vos questions : quels actes sont réservés aux agents et aux courtiers?
Quels actes sont réservés aux agents et aux courtiers?
Le point sur les franchises du syndicat de copropriété
Marché dur: que doit faire un courtier?
