Un consommateur peut-il exiger d’un assureur qu’il supprime les données personnelles qu’il a recueillies à son sujet parce qu’il a résilié sa police avant qu’elle n’entre en force ? La Commission d’accès à l’information (CAI) a eu à se prononcer sur un cas du genre à la fin de janvier et sa conclusion a été sans équivoque.
En septembre 2020, une dame souscrit une assurance habitation auprès de Lussier Cabinet d’assurances et de services financiers. Toutefois, elle décide de résilier sa police avant qu’elle ne démarre. Le même mois, l’entreprise lui confirme la résiliation du contrat.
Le 27 octobre, elle s’adresse au cabinet pour exiger la suppression de toutes les informations qui ont été réunies pour lui faire une proposition. « Je ne suis pas cliente, plaide-t-elle. J’ai simplement demandé une soumission. J’ai annulé avant l’entrée en vigueur de la police d’assurance. » En cas de refus, elle indique qu’elle soumettra le dossier à la CAI.
La réaction de Lussier
Deux jours plus tard, le courtier l’informe des termes de la législation qui indiquent que les renseignements relatifs aux dossiers clients et les pièces utilisées pour les constituer doivent être conservés pendant une période minimale de cinq ans suivant la fermeture du dossier.
« Selon l’article 15 du Règlement sur la tenue et la conservation des livres et registres […], précise l’entreprise, nous ne pouvons supprimer les informations à votre dossier, car nous avons émis une nouvelle police d’assurance auprès d’Aviva, en votre nom, suite à votre acceptation. Bien que vous l’ayez résiliée avant la date d’entrée en vigueur de cette police, des prestations professionnelles ont été rendues et ont mené à l’émission de ce contrat. »
« Vous comprendrez que ceci constitue une obligation légale qui nous empêche de procéder à la destruction des renseignements personnels qui vous concerne, ajoute-t-on. Je tiens à vous rassurer que notre cabinet a une politique très stricte quant à la confidentialité des renseignements personnels. »
Insatisfaite de cette réponse, la consommatrice formule une demande d’examen de mésentente à la CAI.
L’analyse et la décision de la Commission
Dans son analyse et sa décision, la Commission rappelle qu’en vertu de l’article 28 de la Loi sur la protection des renseignements personnels dans le secteur privé (loi 25), la personne concernée peut faire supprimer un renseignement personnel qui la concerne si sa collecte n’est pas autorisée par la loi. Or, dans ce dossier, la légalité de la collecte n’est pas contestée par la dame. Elle ne peut donc invoquer cet article.
Une autre disposition pourrait être soulevée, soit l’article 40 du Code civil du Québec. Celle-ci prescrit que toute personne peut faire corriger des renseignements inexacts, incomplets ou équivoques dans un dossier qui la concerne. Or, ce n’est pas ce qu’allègue la consommatrice. Elle ne conteste pas non plus avoir réalisé des démarches pour obtenir un contrat d’assurance et que tous les renseignements personnels réunis à son sujet ont été légalement collectés et qu’une police a été émise.
L’entreprise et les représentants qui y pratiquent, souligne la CAI dans sa décision, sont assujettis à la Loi sur la distribution de produits et services financiers et aux règlements qui en découlent, notamment du Règlement sur la tenue et la conservation des livres et registres.
En vertu des articles 13 et 15 de ce règlement, l’entreprise doit conserver, pour une période de cinq ans à compter de la fermeture du dossier, les informations relatives aux dossiers clients et les pièces justificatives ayant servi à les constituer.
Or, souligne le juge administratif Marc-Aurèle Racicot, à la date de la demande de suppression en octobre 2021, la période de cinq ans n’est pas expirée parce que la relation contractuelle s’était terminée en septembre 2020. Les renseignements ne sont pas périmés au sens de l’article 40.
Les renseignements visés par la demande de suppression sont donc encore nécessaires à l’entreprise afin de s’acquitter de ses obligations légales, commente-t-il. Les craintes énoncées par la dame quant aux risques qu’ils puissent être piratés et utilisés à mauvais escient ne peuvent faire obstacle aux obligations légales du cabinet.
La demande d’examen de mésentente a donc été rejetée.
Des nouvelles dispositions de la Loi en septembre
De nombreuses dispositions de la loi 25 sur laquelle s’est appuyée la CAI dans cette affaire sont entrées en vigueur en septembre 2022 et d’autres, tout aussi importantes, s’enclencheront à leur tour le 22 septembre 2023.
D’ici cette date, les entreprises doivent faire l’inventaire des renseignements personnels qu’elles détiennent ou qu’un tiers détient pour elles, évaluer leur sensibilité, les tenir à jour et préciser les rôles et responsabilités des membres du personnel impliqués dans la protection de ces renseignements tout au long de leur cycle de vie.
Les entreprises sont aussi tenues de mettre en place les mécanismes qui permettront de fournir à la personne dont les renseignements sont collectés, les informations prévues par la loi, l’informer lorsqu’elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé et la prévenir avant de recourir à une technologie permettant de l’identifier, de la localiser ou d’effectuer son profilage. Elles devront en outre publier une politique de confidentialité rédigée en termes simples sur leur site Internet si elles collectent des renseignements personnels à l’aide d’une technologie telle qu’un site web.
À compter du 22 septembre prochain, la loi les obligera à détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie ou les anonymiser pour les utiliser à des fins sérieuses et légitimes sous réserve des conditions et d’un délai de conservation prévus par une loi et respecter le droit à la cessation, à la réindexation ou à la désindexation (droit à l’oubli).
Les ultimes dispositions de la loi 25 entreront en vigueur en septembre 2024.