Une compagnie d’assurance révise ses mesures de sécurité à la suite d’une atteinte à la vie privée
Rapport de conclusions en vertu de la LPRPDE no 2014-003
Le 3 mars 2014
Un proposant a reçu une lettre de sa compagnie d’assurance collective l’informant que son dossier faisait partie d’une centaine de dossiers égarés au cours de leur transfert entre deux bureaux situés dans des villes différentes. La lettre faisait état de certains efforts déployés par la compagnie d’assurance, mais le client voulait en savoir plus sur les circonstances entourant l’incident et les mesures qui pourraient être prises pour le protéger de toute répercussion possible. Son dossier contenait une grande quantité de renseignements personnels, entre autres son salaire, sa signature et des renseignements médicaux sensibles.
À peu près à la même période, la compagnie a fait parvenir un avis d’atteinte à la sécurité des renseignements personnels au Commissariat à la protection de la vie privée du Canada et à plusieurs commissaires provinciaux à la protection de la vie privée.
La personne a par la suite déposé auprès du Commissariat une plainte concernant les mesures de sécurité en place au sein de la compagnie d’assurance au moment de l’incident.
Dans le cadre de notre enquête, la compagnie d’assurance a démontré qu’elle avait amélioré la sécurité de façon proactive dès qu’elle a eu connaissance de l’incident. Après avoir fait parvenir une première lettre aux participants touchés, la compagnie leur a offert un accès gratuit à un service de surveillance du crédit ainsi que la possibilité de communiquer avec un de ses représentants. Elle a également effectué des recherches exhaustives dans ses deux bureaux et mené une enquête interne approfondie dans le cadre de laquelle elle a interrogé des employés et des messagers clés, en partie pour mettre au jour toute mauvaise conduite ou tout comportement frauduleux, le cas échéant. L’enquête a été documentée dans un rapport détaillé dont le Commissariat a pris connaissance.
La compagnie a également mis en place d’importantes mesures de sécurité pour remédier à la situation. Après avoir mis en œuvre un système de suivi des dossiers des proposants transmis aux souscripteurs, elle a adopté une nouvelle procédure de transfert électronique des dossiers entre les bureaux. Cette mesure a permis de remplacer les dossiers papier par des versions numérisées stockées dans un site Web sécurisé auquel seuls certains employés clés de la compagnie ont accès.
À l’issue de son enquête, le Commissariat a conclu que les mesures de sécurité en place au sein de la compagnie d’assurance au moment de l’incident et qui visaient à assurer le contrôle et le suivi des dossiers d’assurance collective sensibles étaient inadéquates et ne respectaient pas les exigences énoncées aux principes 4.7 et 4.7.1 de l’annexe 1 de la LPRPDE. Toutefois, compte tenu de l’intervention rapide de la compagnie et de l’ampleur des mesures prises pour apporter des améliorations — particulièrement l’examen exhaustif et, par la suite, la révision de ses mesures de sécurité —, le Commissariat a conclu que la plainte était fondée et résolue.
Leçons apprises
- Les organisations doivent protéger les renseignements personnels en mettant en œuvre des mesures de sécurité adaptées à leur degré de sensibilité.
- Les organisations doivent mettre en place des mesures de sécurité qui protègent les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les renseignements plus sensibles devraient être mieux protégés.
- À l’avenir, les organisations qui traitent des renseignements personnels auraient intérêt à se familiariser avec le document intitulé Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée, qui a été élaboré par le Commissariat.
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
- Le plaignant soulève la question de savoir si une compagnie d’assurance (la mise en cause) avait mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels transférés d’un bureau à un autre.
- Plus précisément, le plaignant allègue que la mise en cause aurait perdu les renseignements personnels contenus dans son dossier d’assurance, lequel a été égaré au cours de son transfert entre deux bureaux de la compagnie situés dans des villes canadiennes différentes.
- Par suite de cet incident, la mise en cause a réévalué sa procédure et mis en œuvre une procédure plus sécuritaire pour l’enregistrement et le transfert des dossiers d’assurance.
- À la lumière de l’enquête menée par le Commissariat et pour les raisons expliquées ci après, nous concluons que la plainte est fondée et résolue.
Résumé de l’enquête
- Le plaignant a présenté à la mise en cause une demande pour faire augmenter le montant de son assurance-vie dans le cadre de la police d’assurance collective de son employeur.
- Quelques mois après avoir présenté sa demande, il a reçu une lettre de la mise en cause l’informant que ses renseignements personnels (y compris des renseignements médicaux sensibles) avaient été égarés au moment de leur transfert entre deux bureaux de la mise en cause situés dans des villes différentes. Selon la lettre, le nom du plaignant, son adresse, sa date de naissance ainsi que des renseignements médicaux et des renseignements sur son emploi et sa police d’assurance pourraient avoir été égarés.
- Outre les détails des renseignements égarés, la mise en cause expliquait dans la lettre les mesures qu’elle avait prises pour donner suite à l’incident, notamment ses efforts pour améliorer la sécurité des dossiers de ses clients afin d’éviter qu’un tel incident se reproduise.
- Le plaignant a par la suite porté plainte auprès du responsable de la protection des renseignements personnels de la compagnie d’assurance. Il a simultanément déposé une plainte auprès du Commissariat, qui l’a acceptée le 28 mars 2013.
- Dans la plainte adressée au Commissariat, le plaignant indiquait vouloir mieux comprendre la cause première de l’incident, les mesures de sécurité en place au moment de l’incident et les mesures qui pourraient être prises pour atténuer tout dommage pouvant résulter de la communication de ses renseignements personnels.
Réponse de la mise en cause au plaignant
- Après avoir fait parvenir la lettre informant les participants touchés de l’incident, la mise en cause a répondu à la demande de renseignements supplémentaires que lui avait fait parvenir le plaignant par courriel. Dans sa réponse, elle lui a offert un accès gratuit à un service de surveillance du crédit, comme elle l’avait fait pour tous les autres participants touchés par l’incident en lien avec la police d’assurance collective de l’employeur du plaignant.
- La mise en cause croyait avoir indiqué au plaignant qu’un représentant du service à la clientèle communiquerait avec lui pour lui donner plus de détails sur l’incident. Aucun représentant n’a toutefois communiqué avec le plaignant, en raison de ce que la mise en cause considère maintenant comme un problème de communication. La mise en cause a indiqué qu’elle n’était absolument pas au courant de cette mauvaise communication, qui a été constatée uniquement au cours de l’enquête du Commissariat.
- Un mois plus tard, le plaignant a demandé à la mise en cause de lui présenter un bilan de son enquête interne sur l’incident. On l’a informé le lendemain qu’il pouvait téléphoner à la mise en cause pour obtenir plus de détails. La mise en cause affirme que le plaignant n’a pas communiqué avec elle par la suite, que ce soit par écrit ou par téléphone.
Enquête du Commissariat
- Les souscripteurs de la mise en cause exercent leurs activités dans une ville différente de celle où sont menées à bien d’autres activités de la mise en cause.
- Le dossier du plaignant se trouvait parmi un ensemble de dossiers d’assurance qui ont été égarés au cours de leur transfert. La plupart de ces dossiers n’ont jamais été retrouvés.
- Les souscripteurs de la mise en cause ont reçu le dossier du plaignant une semaine après qu’il leur a été envoyé.
- Cependant, le dossier a été égaré après que les souscripteurs l’eurent renvoyé à la mise en cause.
- La mise en cause a déterminé que le dossier du plaignant renfermait les renseignements personnels suivants : son nom, son adresse, sa date de naissance, sa taille et son poids, son salaire, une copie de sa signature, les montants de son assurance-vie (couverture actuelle et couverture demandée), les renseignements médicaux indiqués sur le formulaire de demande, les résultats médicaux déclarés dans le cadre de l’examen paramédical, les résultats d’un examen médical ainsi que les notes du souscripteur et sa décision relative à la demande de majoration de son assurance vie.
- Dans le but de retrouver les dossiers, la mise en cause a fouillé de fond en comble les étages où ils auraient pu se trouver, et ce, dans les deux bureaux concernés. Cette mesure lui a permis de retrouver un petit nombre de dossiers manquants.
- La mise en cause a également effectué une enquête approfondie sur l’incident. Elle a notamment interrogé des employés clés de ses deux bureaux (p. ex. personnel de la salle du courrier et souscripteurs) et des chauffeurs des deux services de messagerie du secteur privé. Les courriels d’un souscripteur clé ont également été examinés.
- La mise en cause a indiqué au Commissariat que l’un des messagers avait confirmé qu’il renverrait à l’organisation toute enveloppe sans adresse qu’il trouverait, le cas échéant.
- La mise en cause a remis copie de son rapport d’enquête au Commissariat. Nous avons examiné le rapport, qui documentait en détail l’enquête et concluait que l’on n’avait constaté aucune conduite répréhensible ni aucun détournement frauduleux par les employés. Le rapport signalait toutefois plusieurs changements apportés avant l’incident aux ressources et activités de messagerie ainsi que des problèmes antérieurs attribuables à l’absence d’un système de suivi des dossiers. Nous estimons que ces lacunes ont contribué à l’atteinte à la sécurité des renseignements personnels.
Procédures de traitement des dossiers au moment de l’incident
- À la lumière de l’information fournie par la mise en cause, nous avons été en mesure de tirer les conclusions suivantes sur la procédure en place au moment de l’incident pour le souscripteur ainsi que pour le transfert et le suivi des dossiers. Ces conclusions sont énoncées ci-dessous.
- Toutes les demandes d’assurance collective (accompagnées des rapports médicaux et autres documents justificatifs) étaient envoyées par service de messagerie privé d’un bureau aux souscripteurs d’un bureau situé dans une autre ville. Le personnel de la salle du courrier du bureau d’origine déposait les enveloppes dans un bac fourni par un service de messagerie, qui était ensuite scellé. Un autre service de messagerie privé transportait le bac.
- La salle du courrier du bureau d’origine ne tenait aucun registre des documents déposés dans le bac du service de messagerie et l’équipe chargée de l’administration de l’assurance collective ne tenait aucun registre des dossiers envoyés aux souscripteurs.
- Sur réception des bacs scellés, le personnel de la salle du courrier de l’autre bureau les ouvrait et distribuait les enveloppes aux souscripteurs.
- Les souscripteurs tenaient un registre électronique des dossiers reçus et y inscrivaient la date de réception, le numéro de dossier et le nom du proposant.
- Après avoir examiné et évalué un dossier, le souscripteur l’insérait dans une enveloppe que le personnel de la salle du courrier ramassait et renvoyait au bureau d’origine, encore une fois par service de messagerie.
Procédure de traitement des dossiers après l’incident — enregistrement et transfert des dossiers
- À la suite de l’incident à l’origine de la plainte sur laquelle porte le présent rapport, la mise en cause a réévalué sa procédure et mis en place une procédure plus sécuritaire pour l’enregistrement et le transfert des dossiers des participants. Soulignons que ces mesures ont été prises avant même que le client lésé porte plainte auprès du Commissariat.
- Plus précisément, les services d’administration de l’assurance collective de la mise en cause ont commencé à attribuer un numéro de suivi aux dossiers traités par les deux bureaux. Les expéditeurs et les destinataires savent dorénavant combien de dossiers sont envoyés aux souscripteurs car les dossiers sont tous identifiés par un numéro de suivi.
- Pour mieux gérer le transfert des dossiers, la mise en cause a adopté une nouvelle procédure électronique environ deux mois plus tard. Tous les dossiers sont dorénavant copiés sous forme d’image avant d’être numérisés dans un site Web sécurisé. Certains employés des deux bureaux ont accès à ce site Web pour examiner et analyser les dossiers. Cette procédure élimine le transfert de dossiers papier entre les deux bureaux.
- Par conséquent, il est maintenant possible de documenter le moment où les souscripteurs reçoivent les dossiers par voie électronique et celui où l’équipe d’administration de l’assurance collective les reçoit à son tour. La mise en cause a indiqué au Commissariat qu’aucun dossier n’avait été égaré depuis l’adoption de cette nouvelle procédure.
Application de la Loi
- Pour rendre une décision dans cette affaire, nous avons appliqué les principes 4.7 et 4.7.2 de l’annexe 1 de la Loi.
- Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité
- Selon le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte et le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les renseignements plus sensibles devraient être mieux protégés.
Conclusions
- Il fallait déterminer si des mesures de sécurité appropriées étaient en place en janvier 2013, soit au moment où les renseignements personnels du plaignant ont été transférés entre les deux bureaux de la mise en cause aux fins de traitement.
- Selon l’enquête menée par le Commissariat, des renseignements médicaux et d’autres renseignements personnels sensibles transmis à la mise en cause ont été égarés. Selon nous, les mesures en place pour le contrôle et le suivi de dossiers d’assurance collective sensibles au moment de l’incident étaient inadéquates et ne respectaient pas les exigences des principes 4.7 et 4.7.1 de l’annexe 1 de la Loi.
- Soulignons toutefois qu’à la suite de l’incident, la mise en cause a fait parvenir de façon proactive un avis d’atteinte à la sécurité des renseignements personnels au Commissariat et à plusieurs commissaires provinciaux à la protection de la vie privée. Elle a également avisé de l’atteinte tous les participants touchés. En outre, la mise en cause a mené une enquête interne approfondie, interrogeant notamment des employés des deux bureaux ainsi que des employés des services de messagerie du secteur privé, et effectuant des recherches dans ses locaux pour retrouver les dossiers égarés. L’enquête, documentée dans un rapport détaillé dont nous avons pu prendre connaissance, a révélé que la disparition des dossiers était fort probablement attribuable à des contrôles inadéquats et à des modifications apportées au système de transfert des dossiers.
- Avant même que le Commissariat amorce son enquête, la mise en cause était intervenue de façon proactive et avait mis en place des mesures de sécurité plus strictes afin de mieux gérer le suivi, la numérisation et le transfert des dossiers, et d’éviter ainsi que la situation se reproduise.
- Les renseignements personnels contenus dans les dossiers d’assurance collective sont dorénavant numérisés et transférés aux employés autorisés par l’intermédiaire d’un site Web sécurisé. Aucune autre atteinte ne semble s’être produite depuis la mise en œuvre de ces nouvelles mesures.
- Soulignons également que la mise en cause a offert un accès gratuit à un service de surveillance du crédit aux participants touchés par l’atteinte à la sécurité, y compris le plaignant. Cette initiative louable devrait permettre de réduire les répercussions négatives qui pourraient découler de la communication des renseignements personnels.
- Le Commissariat est donc satisfait des mesures prises par la mise en cause pour corriger les problèmes de sécurité découlant de cet incident.
Conclusion
- Par conséquent, nous concluons que la plainte est fondée et résolu
- Date de modification :