Les assureurs qui modernisent leur plateforme doivent être très prudents dans la protection des renseignements personnels, s’ils veulent éviter les risques de brèche informatique qui sont devenus de plus en plus fréquents, estiment deux avocats de la firme Lavery.
L’intelligence d’affaires offre des possibilités incommensurables, note Raymond Doray, associé chez Lavery et auteur d’un traité de plus de 2 000 pages qui porte sur le droit d’accès à l’information (loi provinciale) et la protection de la vie privée (loi fédérale). Mais les contraintes d’ordre juridique empêchent de faire n’importe quoi avec les données qu’on recueille auprès de la clientèle.
« La protection des renseignements personnels n’est pas seulement un problème juridique. Irriter un client, voire un ensemble de clients, c’est souvent très lourd de conséquences. Si les gens croient que vous les épiez et les surveillez, le lien de confiance fondamental pour votre industrie est rompu et il sera difficile à rétablir, même avec les plus beaux systèmes informatiques du monde », dit-il.
Les législations touchant les renseignements personnels existent depuis longtemps au Québec et au Canada, ajoute-t-il. Elles touchent le secteur public depuis 1984, et le secteur privé, depuis 1994. « Ces lois sont assez sévères, assez complexes et il faut les considérer avant toute prise de décision », précise M. Doray.
Loïc Berdnikoff, associé chez Lavery, rappelle que la définition de ce qu’est un renseignement personnel est très large et couvre une très grande variété de données que l’assureur peut recueillir. « Est un renseignement personnel toute information qui concerne une personne physique et qui permet de l’identifier, peu importe la forme du support. »
Il ne s’agit pas que du dossier physique du client, poursuit-il. L’information peut être colligée manuellement ou dactylographiée, compilée sur des photocopies, des photos, des vidéos, des enregistrements, etc.
En janvier 2014, le commissaire fédéral à la protection de la vie privée a traité de la notion de publicité comportementale. Une plainte a été faite au commissaire fédéral à la vie privée par un client qui a reçu des offres pour des appareils médicaux après avoir fait des recherches sur ce thème par l’entremise de Google. Le commissaire a recommandé à Google de s’assurer « qu’aucune catégorie d’intérêt de nature délicate ne soit utilisée pour la diffusion de publicités, à moins que le consentement explicite des utilisateurs concernés n’ait été obtenu ».
Selon M. Berdnikoff une trentaine d’entreprises ont vécu des brèches informatiques livrant des renseignements personnels touchant plus de 30 000 individus. Ces brèches ne sont pas toujours reliées à des pirates informatiques, elles peuvent aussi découler de la perte ou du vol d’un ordinateur personnel.
M. Doray insiste sur la notion de consentement, qui est au cœur des législations tant provinciale que fédérale. Le consentement doit être manifeste, libre et éclairé, et le client a le droit de changer d’idée. Le consentement peut être explicite ou tacite, oral ou écrit, selon les circonstances. On doit le prévoir dans le contrat offert au client, afin de ne pas avoir à l’obtenir par la suite.
Le client doit consentir à cette collecte de renseignements et leur communication à d’autres services de l’entreprise. « Dans le cas du système “pay as you drive” comme celui d’Ajusto, le client sait dès le départ que les données recueillies serviront uniquement à documenter son comportement derrière le volant. Cette information ne sera utilisée que pour réduire la prime », dit-il. Voilà un excellent exemple de la capacité d’utiliser la veille économique, poursuit-il, où l’on adapte les produits et services en fonction des besoins des clients, sans provoquer leur défiance, tout en respectant les lois applicables.
La loi provinciale ajoute une contrainte supplémentaire, soit l’obligation de ne collecter que les renseignements qui sont nécessaires. Même si le client donne son consentement, la collecte de renseignements non nécessaires est proscrite, précise M. Doray.
Les entreprises sont tenues de protéger les renseignements personnels. « Vous ne pouvez pas plaider la désuétude des équipements, vous avez l’obligation active de vous mettre à jour. La décision du commissaire fédéral concernant l’affaire TJX-Winners est explicite en cette matière », ajoute M. Doray. TJX, propriétaire des détaillants Winners et HomeSense, a payé cher les suites d’un recours collectif. Des données financières de cartes de crédit de 45 millions de clients avaient été l’objet d’une fuite informatique en 2005-2006.
Chez l’assureur Penncorp, au Québec, on a mené une filature et le guet d’un assuré pour le recouvrement d’une indemnité. « La cour d’appel a accordé 7 500 $ en dommages moraux, mais 125 000 $ en dommages punitifs à l’entreprise, pour un seul cas », note M. Berdnikoff. Les recours collectifs offrent généralement des indemnités moindres, mais chaque dollar à payer, s’il est multiplié par plusieurs millions d’utilisateurs, peut représenter un lourd montant.