Une personne refuse de se soumettre aux exigences d’une compagnie d’assurances relatives au consentement

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-358

[Principes 4.3, 4.3.2, 4.3.3 et 4.3.4 de l’annexe 1]

Un homme a refusé de se soumettre aux exigences d’une compagnie d’assurances relatives au consentement telles que décrites dans un formulaire qu’on lui a demandé de signer lorsqu’il a présenté une demande de prestations. Il soutenait que la compagnie avait refusé qu’il modifie les dispositions relatives à l’autorisation dans son formulaire de consentement standard, formulaire qu’il devait présenter dans le cadre de sa demande. À son avis, la compagnie d’assurances devrait lui fournir l’identité des tierces parties susceptibles de consentir à toute réclamation qu’il ferait, et que la compagnie devrait lui demander son consentement exprès avant de communiquer des renseignements personnels le concernant à qui que ce soit.

Le plaignant travaille dans le domaine de la gestion des soins de santé et de l’invalidité. Il craignait que son dossier soit transmis à quelqu’un avec qui il a déjà eu des contacts professionnels et que son droit à la protection de la vie privée s’en trouverait compromis.

La commissaire adjointe à la protection de la vie privée estimait que la compagnie d’assurances avait expliqué les fins auxquelles elle recueillait et communiquait des renseignements personnels concernant le plaignant, et qu’elle avait fait un effort raisonnable pour atténuer les craintes de cette personne que des renseignements qui la concernent soient transmis à quelqu’un avec qui elle avait eu des contacts professionnels. Cependant, la commissaire adjointe estimait que la compagnie pourrait améliorer le libellé du consentement dans son formulaire d’autorisation standard et elle a présenté diverses recommandations que la compagnie a accepté de mettre en place.

On trouvera ci-dessous un résumé de l’enquête et les considérations de la commissaire adjointe.

Résumé de l’enquête

Le plaignant avait souscrit une police de remplacement de revenu, laquelle, en vertu des modalités du contrat, lui permet de toucher des prestations advenant une invalidité. Lorsqu’une personne demande des prestations en vertu de cette police, la compagnie d’assurances recueille et examine des renseignements personnels, médicaux, professionnels et financiers dans le but de prendre une décision.

Quelques mois avant de présenter sa demande, le plaignant avait demandé que l’on modifie sa police. La compagnie lui a fait parvenir une lettre dans laquelle elle décrivait ses pratiques relatives à la collecte, à l’utilisation et à la communication des renseignements personnels tout en l’invitant à consulter son site Web où sont affichés ses documents sur la protection de la vie privée, s’il voulait obtenir de plus amples renseignements. Ces documents décrivent les fins auxquelles la compagnie peut devoir recueillir des renseignements personnels sur un client, la façon dont l’information pourrait être utilisée et à qui elle pourrait être transmise.

Une partie de ces documents portait sur le traitement des renseignements personnels concernant les prestations d’invalidité et de maladie grave. Dans cette section, l’assureur précisait à quelles tierces parties il pourrait transmettre des renseignements personnels sur les clients et expliquait à quelles fins ces renseignements étaient communiqués. Selon l’information, les tiers fournisseurs de services pourraient comprendre des services relatifs aux soins de santé.

Le plaignant a ultérieurement présenté une demande de prestations à la compagnie. À ce moment-là, l’assureur l’a informé qu’il pourrait devoir communiquer avec son médecin pour obtenir d’autres renseignements. On lui a dit que, si tel était le cas, il serait informé par écrit des renseignements supplémentaires dont on aurait besoin et à quels médecins ils seraient demandés.

Le formulaire de réclamation envoyé au plaignant comprenait un guide sur la façon de présenter une demande de prestations. On y précise également que la compagnie peut :

• écrire à plus d’un médecin;
• prendre les dispositions nécessaires pour qu’un représentant régional aille rencontrer le demandeur;
• exiger d’autres renseignements concernant sa santé, ses revenus, ses fonctions ou activités professionnelles;

• prendre les dispositions nécessaires pour que le demandeur subisse un examen médical indépendant.

Le guide précise également que l’assureur a la responsabilité à l’égard de tous ses clients d’évaluer les demandes « en fonction de la divulgation complète de renseignements concrets ».

Le plaignant a fourni sa « déclaration du demandeur » et la « déclaration du médecin traitant » de même que d’autres documents médicaux justificatifs. Cependant, il n’a pas présenté le formulaire d’autorisation standard, mais bien plutôt un formulaire qu’il avait modifié. La compagnie a écrit au plaignant pour lui demander de remplir et de signer l’autorisation requise. Elle lui a également expliqué qu’elle était dans l’impossibilité d’examiner toute demande de prestations non accompagnée d’une autorisation dûment signée et non modifiée. La compagnie a précisé que si elle ne recevait pas l’autorisation dûment signée et non modifiée à telle date, elle supposerait que le plaignant ne désirait pas donner suite à sa demande et que son dossier serait fermé.

La compagnie d’assurances a également indiqué que, dès réception de l’autorisation, elle fournirait les renseignements médicaux figurant au dossier du plaignant à ce moment-là au consultant médical interne de la compagnie pour fins d’examen. La compagnie a indiqué que, une fois l’examen terminé, elle obtiendrait tout renseignement supplémentaire nécessaire pour déterminer sa responsabilité et que tous les renseignements recueillis demeureraient confidentiels.

La compagnie a communiqué avec le plaignant à plusieurs reprises au sujet des préoccupations de ce dernier. Elle a décrit comment les renseignements personnels qui le concernent seraient utilisés par le service des demandes de prestations et qui y aurait accès. Elle a également expliqué comment la compagnie protège les renseignements personnels sur les clients lorsqu’elle signe des contrats avec des tiers fournisseurs de services.

D’après la compagnie d’assurances, en refusant de lui fournir un formulaire d’autorisation non modifié, le plaignant a refusé que la compagnie donne au consultant médical interne, ou à toute personne autre que celle qui évaluera la demande, accès à son dossier, sans qu’il ne le sache au préalable et qu’il n’en ait donné son consentement. La compagnie ne pouvait accepter l’autorisation modifiée et a proposé une autre option. Si le plaignant fournissait à la compagnie d’assurances une liste de personnes ou d’entités précises que, à son avis, la compagnie d’assurances devrait éviter de contacter durant l’évaluation de la demande, elle ferait des efforts raisonnables pour se soumettre à une telle exigence. La compagnie a indiqué qu’elle tenterait d’aviser le plaignant, à l’avance, du nom des fournisseurs de services qui auraient accès à ses renseignements personnels. Même si elle ne pouvait garantir qu’elle n’utiliserait pas tel ou tel fournisseur de services, la compagnie d’assurances a indiqué qu’elle ferait tous les efforts nécessaires pour tenir compte des préoccupations que le plaignant pourrait avoir en ce qui concerne un fournisseur donné de services.

Le plaignant a refusé de remettre à l’assureur une liste des fournisseurs de services. Il a déclaré que le secteur de la gestion de l’invalidité est un petit secteur, qu’il y a beaucoup de mouvements de personnel d’une compagnie à l’autre et qu’il y a simplement trop de noms. À son avis, cela était une tâche trop difficile.

L’assureur a également tenté de prendre les mesures nécessaires pour qu’un représentant régional aille rencontrer le plaignant. La compagnie l’a informé qu’elle requérait une entrevue afin d’avoir une idée complète de son état de santé, de sa profession et de sa situation générale, et que l’entrevue serait menée par une firme indépendante dont le nom a été communiqué au plaignant. Celui-ci a refusé de traiter avec des tiers, notamment cette entreprise en particulier qu’il considérait comme une « entreprise concurrente ». La compagnie a dénié une telle affirmation précisant que l’entreprise ne menait pas le même genre d’activités que le plaignant, et que le représentant régional ne connaissait pas ce dernier. Le plaignant n’était pas d’accord avec l’assureur à ce sujet. De plus, il dit ne pas se souvenir de quelque tentative que ce soit de la part de l’assureur pour lui faire rencontrer un représentant régional.

Conclusions

Rendues le 8 novembre 2006

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 précise que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour faire en sorte que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.3 stipule qu’une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Le principe 4.3.4 stipule que pour déterminer la forme de consentement à utiliser, les organisations doivent tenir compte de la sensibilité des renseignements. Certains renseignements, comme les dossiers médicaux, sont toujours considérés comme sensibles.

Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :

• À l’aide d’un formulaire d’autorisation de l’assureur, celui-ci demandait au plaignant de consentir à la collecte et à la transmission de ses renseignements personnels, notamment, son dossier médical, professionnel et financier, à ses agents et fournisseurs de services dans le but de prendre une décision à l’égard de sa demande de prestations de remplacement de revenu. Même si la commissaire adjointe estime que l’objectif n’était pas clairement expliqué dans le formulaire d’autorisation standard, il a été expressément indiqué au plaignant de plusieurs autres façons : on lui a demandé de consulter la politique sur la protection de la vie privée publiée par l’assureur, ainsi que ses documents d’information sur la question, lesquels décrivent pourquoi certains renseignements personnels sont recueillis, utilisés ou communiqués. Le plaignant a également eu plusieurs communications avec le personnel de la compagnie d’assurances au cours desquelles les objectifs lui ont été expliqués. En outre, lorsque la compagnie lui a envoyé le formulaire de demande, elle a inclus une lettre et un guide qui expliquaient encore plus en détail le processus de traitement des demandes.
• Ces communications et ces documents connexes ont fourni au plaignant une explication raisonnable des objectifs de la collecte, de l’utilisation ou de la communication des renseignements personnels que l’assureur exigeait pour prendre une décision à l’égard de sa demande, ce qui est conforme aux exigences du principe 4.3.2. La commissaire adjointe était convaincue que l’assureur ne demandait pas au plaignant de consentir à la collecte, à l’utilisation ou à la communication de renseignements personnels autres que ceux qui sont nécessaires pour les fins qui lui ont été par la suite clairement expliquées. Elle était également convaincue que les fins visées, notamment statuer sur sa demande, étaient légitimes. Elle a donc déterminé que l’assureur ne contrevenait pas aux principes 4.3 et 4.3.3.
• La principale préoccupation du plaignant était qu’il devait avoir le droit de retirer son consentement à la transmission de renseignements personnels le concernant à certains fournisseurs de services, compte tenu de la nature de sa profession.
• Le Commissariat a déjà adopté la position suivante, à savoir que les compagnies d’assurances ne sont pas tenues de permettre aux clients de refuser une telle exigence lorsqu’un tiers fournisseur de services offre des services directement liés aux principaux objectifs pour lesquels les renseignements personnels ont été recueillis.
• Dans le cas présent, les renseignements personnels du plaignant étaient recueillis dans le but de statuer sur sa demande de prestations, et le tiers fournisseur de services fait partie de ce processus décisionnel. Selon la commissaire adjointe, l’assureur n’était pas tenu de lui offrir le choix d’exiger que la compagnie d’assurances ne communique pas ses renseignements personnels à des tiers fournisseurs de services. Cependant, la compagnie a tenté de faire des concessions pour tenir compte des préoccupations particulières du plaignant concernant la protection de sa vie privée afin de réduire au minimum la possibilité que ses renseignements soient transmis à un fournisseur de services avec qui il avait eu des contacts professionnels. La commissaire adjointe était convaincue que les mesures prises par l’assureur à cet égard étaient raisonnables et conformes au principe 4.3.4.

La commissaire adjointe en est venue à la conclusion que la plainte était non fondée.

Nonobstant cette conclusion, la commissaire adjointe était d’avis que la compagnie d’assurances pourrait apporter des améliorations à son formulaire d’autorisation standard. Par exemple, si le plaignant n’avait pas fait part de préoccupations qu’il pourrait avoir concernant le libellé du formulaire de consentement, il n’aurait pas reçu beaucoup d’information sur ces fins.

Par conséquent, la commissaire adjointe a recommandé à la compagnie d’assurances :

• de reformuler le libellé relatif au consentement dans ses formulaires de demande de sorte qu’ils soient spécifiques à l’évaluation, à l’enquête et aux fins administratives courantes, plutôt que de simplement mentionner des fins administratives;
• de réviser ses formulaires de demande pour faire référence à d’autres documents (comme la politique sur la protection de la vie privée de la compagnie ou encore des documents d’information sur le sujet) qui expliquent plus en détail les fins auxquelles les renseignements personnels sont recueillis, utilisés et communiqués.

L’assureur a accepté de mettre en œuvre ces recommandations. La commissaire adjointe s’est dite convaincue que de tels changements rendraient les politiques et les pratiques de la compagnie d’assurances conformes aux obligations de l’assureur en vertu des principes 4.3 et 4.3.2.