Au moins six assureurs ainsi que des cabinets privés d’assurance ont déclaré des incidents de confidentialité à la Commission d’accès à l’information (CAI) entre les mois de septembre 2022 et décembre 2023, a constaté le Portail de l’assurance. Sun Life Canada en a rapporté quatre à elle seule. 

Un incident de confidentialité, indique la Commission, pourrait se produire lorsqu’un employé consulte un renseignement personnel sans autorisation, communique des renseignements personnels au mauvais destinataire ou encore lorsque l’entreprise est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.

De leur collecte à leur destruction, les renseignements personnels doivent être rigoureusement protégés par ceux qui les obtiennent, impose la Loi 25.

Depuis le 22 septembre 2022, toute entreprise au Québec est tenue de signaler à la CAI les incidents de confidentialité impliquant un renseignement personnel qu’elle détient et présentant un risque de préjudice sérieux pour les personnes concernées.

Les organisations en cause doivent aussi prendre des mesures pour éviter la répétition d’autres incidents.

L’AMF n’y échappe pas 

Toutes les entreprises, publiques et privées, peuvent en être victimes. Pour preuve, même la police des marchés financiers au Québec, l’Autorité des marchés financiers (AMF), a déclaré un incident à la CAI en janvier 2023. 

Le Barreau du Québec, la Régie de l’assurance maladie du Québec (RAMQ) et Option Consommateurs, ont aussi rapporté des incidents à l’organisme.

Les assureurs qui ont déclaré des incidents 

Voici la liste des compagnies d’assurance au Québec qui ont déclaré des incidents de confidentialité à la Commission d’accès à l’information ainsi que la date et l’année indiquées par l’organisme : 

Explications de certains assureurs 

La CAI ne dévoile pas publiquement la nature et la portée des incidents de confidentialité qui lui sont révélées. Chaque organisation ou entreprise concernée est libre d’en expliquer l’origine au public dans un souci de transparence, mais rien dans la Loi ne les oblige à le faire. Le Portail de l’assurance a demandé à chaque assureur figurant dans la liste ci-dessus d’indiquer la source des incidents qu’elles ont rapportés. Certains ont accepté de le faire, d’autres n’ont pas donné suite à notre requête. 

Croix Bleue Medavie : « nous confirmons que dans les deux cas, des informations ont été envoyées au mauvais destinataire. En ce qui concerne l’incident signalé le 5 octobre 2022, les informations ont été téléchargées dans un fichier sécurisé accessible uniquement au destinataire. Nous avons reçu la confirmation que le fichier a été détruit par le mauvais destinataire. L’incident du 10 février 2023 est dû à un fournisseur de services qui a transmis par inadvertance des informations personnelles. Le fournisseur a pris des mesures correctives, y compris l’extension de la protection à la surveillance du crédit pour la personne touchée ». 

De son côté, Empire Vie a indiqué au Portail avoir « été mis au courant d’un incident de cybersécurité touchant un fournisseur de services tiers que nous avons utilisé pour produire et distribuer certaines communications destinées aux clients. Par conséquent, certains renseignements personnels appartenant à des clients d’Empire Vie ont pu être consultés ou copiés. L’incident n’a pas affecté les systèmes informatiques d’Empire Vie. Nous avons avisé les clients concernés et leur avons offert une surveillance de crédit gratuite. Nous avons également avisé les organismes de réglementation et les commissaires à la protection de la vie privée concernés ». 

Beneva a précisé pour sa part par courriel : « concernant les deux cas, ils se résument comme suit : le 30 janvier 2023, une erreur humaine a entraîné l’envoi d’un nombre très limité de lettres à de mauvaises adresses ; le 8 septembre 2023, une erreur humaine commise lors d’un appel a fait en sorte que l’adresse d’un client a été accidentellement communiquée à un tiers non autorisé. Pour ces deux cas, les personnes touchées ont été contactées et des mesures correctives appropriées ont été mises en place rapidement pour éviter que de futurs incidents similaires ne se reproduisent. » 

Également contactée par le Portail, Sun Life s’est limitée à un très bref commentaire : « selon nos pratiques courantes, nous avons pris contact avec les personnes concernées par ces incidents et avons signalé les incidents à l’organisme de réglementation approprié ».  

Contactés, Canada Vie et Co-operators ont préféré garder le silence.