Trois assureurs déclarent des incidents de confidentialité en moins de quatre mois

L’entrée en vigueur le 22 septembre dernier de la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé) a vite donné des résultats. En moins de quatre mois, près de 90 entreprises ont avisé la Commission d’accès à l’information (CAI) qu’elles avaient été victimes d’incidents de confidentialité et parmi elles se trouvent trois assureurs : la Sun Life du Canada, à deux reprises, Canada Vie et Croix Bleue Medavie. 

Depuis cette date, une personne qui exploite une entreprise au Québec est responsable de la protection des renseignements personnels qu’elle détient. Un incident de confidentialité est décrit comme un accès, une utilisation ou la communication non autorisée par la loi d’un renseignement personnel, la perte de ce renseignement ou une autre atteinte à sa protection.  

Quand pareille situation survient, les entreprises ou organismes doivent désormais évaluer la sensibilité des renseignements en cause. Si l’analyse fait ressortir un risque de préjudice pour les citoyens, elles doivent aviser la CAI et les personnes concernées par l’incident. C’est ce qu’ont fait les trois assureurs à la suite de l’entrée en force de la Loi à l’automne. La Sun Life, Canada Vie et Croix Bleue Medavie apparaissent dans la version la plus à jour du registre de la CAI où figurent aussi la Coalition Avenir Québec — Équipe François Legault, la Banque Royale, l’Université McGill, TELUS Communications à plusieurs reprises, la Régie de l’assurance maladie du Québec (RAMQ) et même Option Consommateurs.

En vertu des articles 24 et 28 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels, la Commission d’accès à l’information ne peut pas rendre public le contenu des incidents que lui rapportent des entreprises et ces dernières ne sont pas tenues de les divulguer au grand public.

La CAI insiste sur le fait que les incidents de confidentialité ne se produisent pas uniquement lors de cyberattaques et qu’il ne faut pas forcément conclure parce qu’une entreprise a fait une déclaration à la Commission d’accès à l’information qu’il y a un risque de préjudice sérieux pour des individus, employés et/ou clients. Dans les faits, des entreprises préfèrent se faire prudentes et rapporter des incidents à la CAI plutôt que de risquer d’être prises en défaut de ne pas l’avoir fait alors qu’elles auraient dû le faire.

Un tiers fournisseur responsable à la Sun Life 

La Sun Life du Canada a accepté de lever le voile sur les faits qui se sont produits au sein de son entreprise et qu’elle a rapportés à la Commission d’accès à l’information. Elle attribue la responsabilité des incidents à un tiers fournisseur auquel elle recourt parfois dans le cadre de son processus de candidatures et de recrutement de personnel. 

« Un de ces fournisseurs, qui nous aide à fixer la date des entrevues avec les candidats, a été victime d’un rançongiciel, a expliqué Arianne Richard, conseillère principale aux relations publiques au Portail de l’assurance. Un tiers non autorisé a eu accès aux noms et aux adresses courriel personnelles de candidats. Cette situation touche les candidats internes et externes qui nous ont présenté leur candidature au cours des deux dernières années en utilisant leur adresse courriel personnelle. » 

D’après l’enquête menée par la Sun Life et celle de son fournisseur, aucun autre renseignement personnel n’a été divulgué lors de cet acte de piratage. « Conformément aux pratiques courantes, a précisé Madame Richard, nous avons signalé ces incidents aux organismes de réglementation appropriés. De plus, les candidats ont été informés et ont reçu les ressources nécessaires pour assurer leur cybersécurité. » 

Une communication par inadvertance 

À la Croix Bleue Medavie, l’incident s’explique par une erreur de communication. « En août 2022, nous a décrit la porte-parole de l’assureur, Jacqueline Zonneville, un fichier contenant des numéros d’identification et des adresses a été communiqué par inadvertance à un autre adhérent. Bien qu’il n’y ait pas eu de données personnelles financières ou de santé en jeu et que la divulgation ait eu lieu sur une plateforme sécurisée, notre protocole d’intervention en cas d’atteinte à la vie privée a été déployé par excès de prudence. Nous avons notamment pris des mesures pour nous assurer que les données concernées aient été supprimées, nous avons notifié les personnes concernées et offert une protection de surveillance du crédit, ainsi qu’informé les différents commissaires à la protection de la vie privée, comme l’exigent les mesures législatives applicables en la matière. » 

Canada Vie 

Contrairement à la Sun Life et à la Croix Bleue Medavie, Canada Vie n’avait fourni aucune explication en date du 9 janvier malgré deux courriels de demandes de précisions envoyés par le Portail de l’assurance. On ignore donc ce qui l’a amenée à déclarer un incident de confidentialité à la Commission d’accès à l’information.

Lourdes sanctions financières 

Les entreprises et organismes n’ont plus le choix de déclarer tels incidents aux autorités concernées. À compter de septembre 2023, celles qui omettront de le faire deviendront passibles de lourdes sanctions financières si elles n’informent pas les personnes concernées par des fuites ou des vols, si elles recueillent, utilisent, communiquent, conservent ou détruisent des renseignements personnels en contravention à la Loi ou ne prennent pas les mesures de sécurité pour assurer la protection des renseignements personnels. 

Le montant maximal de la sanction sera de 50 000 $ pour une personne physique et dans les autres cas, de 10 M$ ou le montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé́. L’article 79.1 de la Loi indique par ailleurs qu’un agent de renseignements personnels d’une entreprise ou d’un organisme doit détruire un renseignement personnel recueilli il y a plus de sept ans.