La Chambre de l’assurance de dommages vient de publier les rappels et les nouveautés adoptés dans la foulée de la Loi 25 sur la protection des renseignements personnels dans le secteur privé (LPRPSP). Cette publication répond à la préoccupation croissante des consommateurs et des entreprises en matière de sécurité des informations personnelles. Ces nouvelles modifications entreront en vigueur à partir du 22 septembre 2023.
Le gouvernement du Québec a voulu moderniser cette loi datant de 1994. Cette évolution législative vise à aligner les pratiques avec les avancées technologiques et les préoccupations actuelles liées à la confidentialité des données.
La mise à jour de la Loi aura un impact majeur sur la pratique professionnelle des individus certifiés, notamment les agents et les courtiers en assurance de dommages, ainsi que les experts en sinistre et les gestionnaires. Ces acteurs clés doivent comprendre en profondeur les implications de ces changements pour s’adapter efficacement aux nouvelles normes.
Comprendre les renseignements personnels
La définition des renseignements personnels, selon l’article 2 de la loi, inclut toute information permettant d’identifier directement ou indirectement une personne physique. Cette définition englobe une variété de données, allant des informations d’identification aux données financières et de santé.
Dans l’industrie des assurances, ces données sont couramment présentes dans les dossiers clients lors de la souscription, du renouvellement ou de la réclamation. Les notes des employés font également partie intégrante de ces informations confidentielles.
Cependant, comme le précise la Chambre, les renseignements personnels peuvent aussi être sujets à une collecte. Elle rappelle que seuls les renseignements personnels jugés indispensables pour atteindre les objectifs de la collecte peuvent être recueillis.
Renseignements sensibles
Les renseignements personnels qualifiés de « sensibles », une nouveauté introduite par la loi 25, incluent des informations de nature médicale, biométrique ou intime. Cette catégorie élargie met en lumière l’importance accrue de la confidentialité, même pour des données apparemment anodines. Certains contextes peuvent rendre les noms et prénoms sensibles, comme en témoigne l’exemple du piratage des données du site de rencontres Ashley Madison en 2015, mentionné par la Chambre.
Dans le domaine des assurances, de nombreux renseignements personnels sensibles sont collectés, tels que les données financières et médicales. Pour se conformer à la loi, les entreprises doivent adopter des politiques et des pratiques appropriées. Ces politiques devraient définir clairement les responsabilités du personnel tout au long du cycle de vie des renseignements personnels, incluant des mesures de sécurité physique et informatique ainsi que des niveaux d’accès.
Les nouvelles spécificités de la loi exigent donc que chaque employé ne doive avoir accès qu’aux renseignements qui lui sont nécessaires et essentiels pour effectuer son travail.
Rôle clé des professionnels certifiés
Les professionnels certifiés jouent un rôle essentiel en matière de préservation des informations personnelles. Le Code de déontologie des représentants en assurance de dommages établit clairement les obligations qui incombent aux agents et aux courtiers en assurance de dommages. Ils sont tenus de garantir la confidentialité des données qu’ils collectent dans l’exercice de leurs fonctions, en ne les utilisant que dans le cadre des objectifs prévus.
La notion de consentement est également cruciale dans ce contexte. La loi 25 a mis de l’avant la notion de consentement explicite et transparent, soulignant sa nécessité pour la collecte d’informations personnelles. Ce consentement doit être libre, éclairé et adapté aux objectifs. Avec l’introduction des « renseignements personnels sensibles », la loi 25 a revu le terme de consentement « exprès » (ou explicite).
Dans le cas d’une situation de renseignements personnels sensibles, la loi impose que le consentement soit exprès, c’est-à-dire par le biais d’un geste concret, verbal ou écrit. Toutes les informations recueillies pour des fins de collecte, de rectification et droits d’accès doivent être l’objet d’un avis auprès du client de manière expresse.
Sanctions renforcées et partage de responsabilités
Les sanctions pour le non-respect des dispositions de la loi ont été durcies, avec des amendes pouvant atteindre jusqu’à 25 millions de dollars (M$). La Commission d’accès à l’information peut également imposer des sanctions administratives pécuniaires d’une valeur maximale de 10 M$.
Les professionnels certifiés doivent être vigilants quant à la communication des renseignements personnels à des tiers et s’assurer de la conformité aux règlements. La loi souligne également la responsabilité des cabinets et entreprises de garantir que leurs employés, qu’ils soient certifiés ou non, comprennent et respectent les obligations de confidentialité.
Pour les agents, courtiers et experts en sinistre, l’obligation de protéger les informations personnelles demeure primordiale. La loi insiste sur l’importance de développer et de maintenir de bonnes pratiques de protection des informations en évitant d’exposer les dossiers contenant des données personnelles, en utilisant des outils technologiques sécurisés tels que des mots de passe forts, des systèmes de cryptage et des pare-feu, et en évitant les connexions wi-fi non sécurisées en déplacement.