ISI Supermarché d’assurance (ISI) mettrait en péril les données confidentielles des clients en préconisant leur échange par courriel, estime un concurrent. L’agent général ontarien se défend en disant recourir au cryptage de ces courriels pour éviter les atteintes à la protection des données.

photo_web_1546Par un communiqué envoyé à ses conseillers et dont le Journal de l’assurance a obtenu copie, le cabinet Diversico Services conseils a fait savoir qu’ISI (ISI Insurance Supermarket en Ontario), présent au Québec depuis janvier 2013, demande dans un formulaire d’entente de référencement avec les conseillers de révéler trois informations sur leurs clients, qu’il considère de nature personnelle.

« Dans le cadre de son offre, laquelle prévoit un partage des commissions découlant des ventes faites par le conseiller aux clients référés, une obligation de soumettre les documents suivants est prévue : copie de la demande indiquant le nom et l’adresse du client; copie du rapport de l’agent; copie de l’illustration et copie de l’analyse des besoins », écrit le PDG de Diversico, Daniel Guillemette.

Les modes de transmission proposés pour ces documents sont le fax et le courriel, ajoute M. Guillemette, qui y va d’une mise en garde à ses conseillers. « Le courriel n’est pas une méthode de transmission sécuritaire. En agissant tel que proposé, vos clients pourraient subir des dommages quasi irréparables dont vous seriez directement responsables. Nous conseillons donc fortement de ne pas transmettre par courriel toute information confidentielle, de quelque nature que ce soit. »

Réponse aux critiques


Actif depuis près de deux ans au Québec, ISI a fait sa marque avec un site de cotations d’assurance de personnes semblable à ceux de cabinets tels Info-Primes. Dans son formulaire, ISI demande bel et bien les informations citées par Diversico. Lors d’une entrevue accordée au Journal de l’assurance, son président, Alexandr Dudarev, a répondu aux critiques de M. Guillemette.

 

M. Dudarev croit que le courriel peut être un moyen sécuritaire de transmission des données. « Nous croyons que le courriel est là pour rester, car c’est un moyen de communication que veulent utiliser les conseillers et les consommateurs. Il suffit d’utiliser le courriel sécurisé », insiste M. Dudarev.

Tout dépend du degré de sécurisation employé, ajoute-t-il. M. Dudarev dit adhérer aux exigences du Conseil des normes de sécurité PCI, dont les normes prescrivent pour toutes les institutions financières les exigences en matière de protection des données. « Nous nous assurons que tous les courriels passent le test de conformité de PCI », soutient le PDG d’ISI. Le Conseil des normes PCI veille à la protection des données confidentielles. Ses normes diffusent plusieurs exigences sur la sécurisation des courriels.

L’agent général explique que ces exigences stipulent entre autres que les courriels soient cryptés, avec des serveurs et des murs coupe-feu. « Pour traiter avec les clients par courriel, il faut s’assurer que toute atteinte à la protection des données est impossible », insiste M. Dudarev. Il pense que tout agent général qui traite des données électroniques devrait le faire dans un environnement contrôlé, par exemple en vertu des exigences du Canadian Life Electronic Data Interchange Standards (CLIEDIS), qui portent sur l’échange de données informatisées.

L’agent général peut bien sécuriser l’information qu’il reçoit. Mais au moment de l’envoi à partir de l’ordinateur du conseiller, ce n’est pas sécurisé.
 

– Daniel Guillemette


Outre ce qui est demandé au formulaire d’entente, M. Dudarev s’assure que le conseiller n’échange avec lui aucune autre donnée confidentielle sur le client par voie électronique. Il veille aussi à informer les conseillers qui traitent avec lui de ne pas conserver les informations confidentielles sur le client à leur dossier une fois que la vente est conclue.

 

« De notre côté, nous n’avons besoin que de l’illustration et la page conseiller de la proposition. Nous avons déjà l’information sur le client. Nous n’avons pas besoin que le conseiller nous l’envoie », a-t-il expliqué.

M. Dudarev donne un exemple des ces informations dont l’échange est à proscrire : « Les renseignements médicaux et sur l’employeur sont très sensibles et ne devraient jamais être envoyés par courriel et personne ne devrait demander au conseiller ou au client de le faire. »

En entrevue au Journal de l’assurance, Daniel Guillemette a rappelé que le cryptage a ses limites. Il explique que pour être sécuritaire, le protocole de cryptage doit s’enclencher dès l’envoi du courriel et non seulement à sa réception. « L’agent général peut bien sécuriser l’information qu’il reçoit. Mais au moment de l’envoi à partir de l’ordinateur du conseiller, ce n’est pas sécurisé. Cela expose les conseillers à un risque élevé », prévient M. Guillemette.

Le président de Diversico explique que lorsqu’un distributeur demande au conseiller de lui envoyer de l’information confidentielle par courriel qu’il cryptera ensuite, l’échange des données entre le conseiller et son fournisseur Internet n’est pas crypté au départ. « Les échanges entre le bureau du conseiller et d’un fournisseur comme Bell ou Vidéotron débouchent sur un univers complètement ouvert. Mon serveur doit parler au tien pour pouvoir créer un tunnel sécurisé. C’est seulement quand les deux serveurs s’entendent sur un protocole de cryptage que se crée ce tunnel », insiste M. Guillemette.

Méconnaissance répandue


Selon lui, cette méconnaissance de la protection des renseignements personnels dont fait preuve ISI est très largement répandue dans l’industrie. « Les banques sont prêtes : elles ont toutes un protocole de sécurité pour leurs communications des données clients. C’est le conseiller indépendant qui écopera s’il se retrouve au cœur d’un cas d’usurpation d’identité, qui ne manquera pas de faire les manchettes. Les conseillers obtiennent souvent autant de renseignements sur le client que son institution bancaire et la Régie de l’assurance maladie du Québec réunies. Je veux alerter l’industrie du danger », lance M. Guillemette. Il souligne que la Loi sur la protection des renseignements personnels dans le secteur privé est claire à cet égard : plus l’information est sensible, plus le niveau de sécurité doit être élevé.

 

Dans son formulaire d’entente avec le conseiller, ISI précise recommander au conseiller des clients potentiels qui se trouve dans son secteur. L’agent général établi à Woodbridge, en Ontario, a pignon sur rue au centre-ville de Montréal. Si le conseiller conclut la vente, il reçoit 40 % des commissions et ISI en conserve 60 %. Le formulaire d’ISI précise que le conseiller doit maintenir un ratio de fermeture (conclusion de la vente) de 30 % et envoyer les rapports électroniques requis pour continuer de recevoir des références.

La formule semble convenir à plusieurs conseillers. ISI partait de peu au Québec. « Depuis notre arrivée au Québec en janvier 2013, nous avons fait croitre le nombre de nos clients dans cette province de 250 %. En 2015 au Canada, nous nous attendons à recevoir 100 000 demandes et récolter 15 000 clients. Nous avons un bureau à Montréal et traitons actuellement avec 150 conseillers au Québec. Nous prévoyons faire croitre le nombre de nos clients de 25 % à 35 % en 2015 par rapport à 2014 », a révélé Alexandr Dudarev. ISI cible les clients de la classe moyenne avec des produits à cout abordable, a-t-il précisé.