Un courtier d’assurance doit modifier ses libellés en matière de protection des renseignements personnels

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-385

[Principes 4.3 et 4.3.2 de l’annexe 1]

Un couple a exprimé ses préoccupations au sujet du libellé du formulaire de consentement à la communication de renseignements personnels utilisé par leur courtier d’assurance. Ils estimaient que les pratiques de communication qu’autorisait le formulaire étaient trop générales et qu’on leur demandait leur consentement au préalable pour les communications, ce qui, d’après eux, contrevient à la Loi sur la protection des renseignements personnels et les documents électroniques. Le couple était d’avis que le courtier devrait communiquer avec eux pour obtenir un consentement valable pour chaque communication de leurs renseignements personnels.

La commissaire à la protection de la vie privée a conclu que le courtier n’avait pas fait un effort raisonnable pour informer ses clients de la façon dont leurs renseignements personnels allaient être utilisés ou communiqués et pour quelles raisons. Par conséquent, elle a jugé qu’il n’obtenait pas le consentement valable de ses clients, ce qui est contraire aux exigences de la Loi. Elle a fait plusieurs recommandations au courtier, qui les a mises en œuvre.

Voici un résumé du déroulement de l’enquête et les conclusions de la commissaire.

Résumé de l’enquête

La formulation qui pose problème aux plaignants est la suivante :

[Traduction]
Je reconnais que le processus d’assurance pourrait faire en sorte que le courtier doive demander des rapports sur le consommateur, des rapports d’enquête et des rapports de l’ancien assureur, contenant des renseignements personnels, précis, de solvabilité et d’enquête. J’autorise le courtier à recueillir et à utiliser mes renseignements personnels ainsi qu’à les communiquer aux tiers appropriés, au besoin, notamment les sociétés d’assurance.

Le paragraphe qui suit celui-ci précise que si les personnes ne consentent pas ou ne consentent plus à ces pratiques en matière de protection des renseignements personnels, le courtier pourrait ne pas être en mesure d’obtenir ou de renouveler la protection d’assurance, et que le contrat pourrait être annulé. Les plaignants ont interprété que, s’ils voulaient avoir accès aux services, ils devaient consentir à la collecte, à l’utilisation et à la communication de renseignements autres que ceux nécessaires pour parvenir à des fins sans équivoque, précises et légitimes.

Le formulaire renvoyait le lecteur à la politique sur la protection des renseignements personnels du courtier sur son site Web. Cependant, certaines parties de la politique étaient également problématiques. Par exemple, l’une des utilisations possibles des renseignements personnels était la suivante :

[Traduction]
Pour transmettre ou échanger des rapports avec les agences d’évaluation du crédit et d’autres personnes, sociétés ou entreprises afin de vérifier l’exactitude de renseignements personnels.

Selon la politique, les renseignements personnels pourront être utilisés pour évaluer les besoins éventuels de la personne et lui offrir des produits et des services du courtier, de ses sociétés affiliées ou d’organisations réputées choisies par le courtier. Un souscripteur qui désire s’opposer à cette pratique doit écrire à l’agent de la protection de la vie privée mentionné sur le formulaire. Il ne semblait pas y avoir de méthode facile, commode et instantanée de s’opposer à l’utilisation secondaire de ses renseignements personnels au cours du processus de demande.

Conclusions

Rendues le 29 novembre 2007

Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. De plus, le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre la manière dont les renseignements seront utilisés ou communiqués.

À la suite de son examen du formulaire de consentement et de la politique sur la protection des renseignements personnels du courtier, la commissaire était d’avis que l’entreprise n’avait pas fait un effort raisonnable pour s’assurer que ses clients étaient informés de la façon dont seraient utilisés et communiqués leurs renseignements personnels, et à qui ils seraient communiqués. Pour ces raisons, elle a jugé que l’entreprise n’obtenait pas le consentement valable de sa clientèle, comme l’exige la Loi.

Elle a donc formulé les recommandations suivantes :

• Dans la politique sur la protection des renseignements personnels, l’une des fins pour lesquelles le courtier recueille, utilise et communique les renseignements personnels est [Traduction] « pour constamment comprendre et évaluer les besoins du client et lui offrir des produits et des services en vue de satisfaire à ces besoins ». Le courtier devrait préciser à quels produits et services il fait référence et offrir aux clients une méthode facile et commode de s’opposer, au cours du processus de demande, à l’utilisation et à la communication de leurs renseignements personnels pour toute fin secondaire, comme le marketing de nouveaux produits et services.
• Le courtier devrait préciser quels renseignements sont transmis ou communiqués à des bases de données centrales, ainsi que les circonstances et les fins de ces transmissions ou communications.
• La politique sur la protection des renseignements personnels ainsi que le formulaire de demande ou de consentement du courtier devraient préciser la différence entre la façon dont sont traités les renseignements personnels lorsqu’une personne présente une demande d’assurance et lorsqu’elle dépose une réclamation à titre de client.
• La politique sur la protection des renseignements personnels du courtier devrait préciser plus en détail les circonstances dans lesquelles il « confirme les renseignements » fournis par le souscripteur ou titulaire de la police.
• Le courtier devrait préciser ce qu’il entend par « communiquer [les renseignements personnels] aux tiers appropriés, au besoin ». Il devrait fournir des exemples des types de tiers à qui il communique les renseignements personnels.
• Le courtier devrait revoir le libellé de sa politique sur la protection des renseignements personnels et celui de son formulaire de consentement, qui mentionnent qu’un contrat d’assurance peut être annulé si la personne ne consent pas ou ne consent plus à ces pratiques. Le courtier devrait préciser les circonstances dans lesquelles la personne ne peut s’opposer à ses pratiques en matière de protection des renseignements personnels.
• Le courtier devrait expliquer clairement les circonstances dans lesquelles il échange les renseignements personnels avec les assureurs et les types de renseignements échangés.

La commissaire a souligné que ces mesures devraient donner l’assurance que la personne est informée des fins pour lesquelles ses renseignements personnels sont recueillis, utilisés et communiqués, et que la personne consent aux pratiques du courtier en matière de traitement des renseignements personnels.

Le courtier a répondu aux recommandations, soulignant qu’à titre d’intermédiaire entre les clients et les sociétés d’assurance, il fournit les renseignements sur ses clients à de nombreuses sociétés en vue de proposer des prix concurrentiels à ses clients. Bien souvent, ces sociétés ont leur siège dans d’autres provinces. Chacune peut avoir une philosophie d’assurance, un marché cible et une méthode d’assurance différents. Le courtier a mentionné que certaines d’entre elles utilisent des bases de données sur les réclamations, d’autres tiennent compte des cotes de solvabilité et d’autres encore se penchent sur d’autres facteurs – les pratiques varient d’une société à l’autre, voire d’un tarificateur à l’autre. L’organisation a tenté d’en informer ses clients en conséquence dans son formulaire de consentement.

Le courtier a modifié ses documents portant sur la protection des renseignements personnels en se basant sur ceux recommandés par l’Association des courtiers d’assurance du Canada (ACAC). Il a également apporté d’autres changements à ses documents suivant certaines des recommandations. En ce qui concerne une éventuelle clause de refus, l’entreprise a fait savoir qu’elle ne pouvait y consentir, car elle ne pourrait transmettre les renseignements personnels du client aux sociétés d’assurance. Si un client affirmait qu’il n’offrirait que son consentement éclairé (p. ex. refusant que soient effectuées certaines vérifications ou commandes de rapports en particulier), le courtier ne pourrait accepter de faire affaire avec ce client et envoyer ses renseignements aux sociétés d’assurance qui procèdent à certaines de ces vérifications d’assurance, voire toutes. Le courtier se verrait alors dans l’obligation de refuser de servir cette personne.

La commissaire s’est penchée sur les documents modifiés portant sur la protection des renseignements personnels, de même que sur les raisons pour lesquelles l’organisation n’inclut aucune clause de refus dans son formulaire de consentement. Le courtier semblait prendre des mesures préliminaires en vue de s’assurer que la personne est informée des fins pour lesquelles ses renseignements personnels sont recueillis, utilisés et communiqués et qu’elle consent à ses pratiques en matière de traitement des renseignements personnels. En ce qui concerne les deuxième, quatrième et cinquième recommandations, la commissaire s’est montrée satisfaite de la façon dont l’entreprise avait modifié son formulaire de consentement.

La commissaire conclut que la plainte était résolue.

Voir aussi

N^o 358 Une personne refuse de se soumettre aux exigences d’une compagnie d’assurances relatives au consentement

N^o 368 Formulaire de consentement d’un expert en assurances jugé trop général