Une compagnie d’assurance modifie la période et les pratiques de conservation des propositions d’assurance renfermant des renseignements personnels

Rapport de conclusions en vertu de la LPRPDE n^o 2014-019

Le 30 octobre 2014

---

Un homme a demandé à avoir accès aux renseignements personnels le concernant détenus par une compagnie d’assurance. Il avait reçu huit ans auparavant des propositions d’assurance automobile et habitation, auxquelles il n’avait toutefois pas donné suite. Quand la compagnie d’assurance a répondu à sa demande d’accès, celui-ci a été étonné de constater qu’elle avait conservé les renseignements personnels qu’il avait alors fournis pour obtenir les propositions d’assurance.

De plus, la compagnie d’assurance l’a informé que sa politique en la matière prévoyait une période de conservation de sept ans pour ce type de renseignements. À la demande de l’homme, elle a supprimé les renseignements le concernant.

Toutefois, l’homme n’en était pas moins en désaccord avec la pratique de conservation des renseignements adoptée par l’intimée. Il se demandait entre autres pourquoi elle conservait pendant sept ans les renseignements personnels des individus qui ne donnent pas suite aux propositions d’assurance, alors que ces propositions ne sont valides que pour 60 jours. C’est pourquoi il a déposé une plainte contre la compagnie d’assurance auprès du Commissariat.

La compagnie d’assurance, filiale d’une banque canadienne, a expliqué que la période de conservation de sept ans concordait avec les normes en vigueur dans l’industrie des institutions financières et qu’elle avait été fixée pour se conformer à des exigences législatives, prendre en compte des délais de prescription variés et répondre à certains impératifs opérationnels, y compris la détection et la prévention de la fraude.

Au cours de notre enquête, nous avons constaté qu’il n’y avait aucun lien entre certaines données probantes fournies par l’intimée et les propositions d’assurance, par la suite refusées ou retirées.  

Nous avons également appris au cours de l’enquête que la compagnie d’assurance n’avait mis en place aucune procédure automatisée pour détruire les renseignements personnels à l’expiration de la période de sept ans. De plus, le plaignant n’est pas la seule personne dont les renseignements personnels ont été conservés plus de sept ans.

À terme, le Commissariat a formulé deux recommandations à la compagnie d’assurance : 1) déterminer des périodes raisonnables pour la conservation des renseignements personnels et élaborer des lignes directrices et des procédures en conséquence et 2) détruire ou dépersonnaliser les renseignements personnels conformément à ces lignes directrices et procédures.  

L’intimée nous a confirmé avoir détruit tous les renseignements personnels associés à la proposition d’assurance qu’elle avait en mains depuis plus de sept ans. En outre, elle a créé expressément pour les propositions d’assurance automobile une nouvelle série de dossiers assortie d’une période de conservation de trois ans (afin de répondre aux exigences en matière de gestion de la fraude).  

L’intimée nous a également fait savoir que tous ses dossiers de propositions d’assurance automobile seraient dorénavant soumis à un processus de suppression automatisée après trois ans.

À la lumière d’information corroborante supplémentaire présentée par la compagnie d’assurance, le Commissariat est convaincu qu’une période de conservation de trois ans serait appropriée.

En conséquence, nous avons conclu que la plainte était fondée et résolue.

Rapport de conclusions d’enquête

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou la « LPRPDE »)

Résumé de l'enquête

1. Le plaignant alléguait qu’une compagnie d’assurance (l’« intimée »), filiale d’une grande banque canadienne (la « banque »), conservait pendant une période excessive (sept ans) les renseignements personnels recueillis en vue de fournir une proposition d’assurance.
2. Il alléguait également que la compagnie d’assurance n’avait pas détruit ses renseignements personnels en temps opportun, contrevenant ainsi à ses propres lignes directrices en la matière.
3. Le plaignant, résident de l’Ontario, a reçu de l’intimée une proposition d’assurance automobile et habitation en mars 2005. Tous conviennent qu’il n’a jamais été client de la compagnie d’assurance, ni avant ni après cette date.
4. En 2013, le plaignant a demandé à avoir accès à ses renseignements personnels détenus par l’intimée, qui lui a confirmé avoir en mains l’information associée à sa proposition d’assurance de 2005. Ces renseignements personnels comprenaient le nom du plaignant, sa date de naissance ainsi que l’information sur son véhicule et sa propriété. À la demande du plaignant, la compagnie d’assurance a alors supprimé les renseignements personnels le concernant stockés dans sa base de données.
5. Le plaignant était encore insatisfait du fait que la compagnie d’assurance avait conservé ses renseignements personnels pendant huit ans, au-delà de la période de conservation de sept ans prévue par sa politique en la matière, comme on le lui avait expliqué. D’ailleurs, le plaignant s’opposait aussi à la politique proprement dite, estimant qu’une période de conservation de sept ans était trop longue pour des renseignements personnels dont la collecte est associée à une proposition d’assurance qui n’est valide que pour 60 jours.
6. Il a déposé une plainte sur ces questions auprès du Commissariat contre la compagnie d’assurance.
7. Au cours de notre examen de la plainte, l’intimée a fait certaines déclarations et produit des documents. À la lumière des résultats préliminaires de notre enquête, nous avons formulé certaines recommandations, qui sont énoncées dans le présent rapport. En réponse à notre rapport préliminaire, l’intimée a fait de nouvelles déclarations et donné suite à nos recommandations. L’information présentée ci-après repose sur celle que le Commissariat a obtenue au cours de ce processus.

Périodes de conservation

8. La compagnie d’assurance a expliqué au Commissariat que la période de conservation attribuée dans son système de gestion des documents varie selon le calendrier de conservation en vigueur à la banque, sa société mère. Une période est attribuée à une série de types de renseignements similaires dans le but de faciliter les choses pour les employés. Conformément au calendrier, la période de conservation de sept ans a été utilisée pour une série de documents, entre autres ceux se rapportant aux propositions d’assurance refusées ou retirées et aux demandes d’autres produits de la banque (cartes de crédit, prêts, hypothèques, etc.) refusées ou retirées. La compagnie d’assurance a déclaré conserver les documents de cette série de manière à pouvoir étayer toute absence de biais ou de discrimination dans l’approbation ou le rejet des demandes de produit.
9. D’après la politique de confidentialité de la banque, l’information recueillie par l’intimée peut consister en des renseignements figurant sur une demande de produit ou de service. De plus, la politique précise que la banque demande aux personnes de fournir uniquement les renseignements nécessaires pour donner suite à la demande, offrir un meilleur service ou proposer des produits et des services susceptibles d’intéresser la personne visée. Elle ajoute que la banque peut utiliser les renseignements fournis par le client afin de gérer ses risques et ses activités et de répondre aux exigences réglementaires et législatives.
10. L’intimée a fait valoir que la période de conservation de sept ans avait été fixée, à la suite d’une analyse exhaustive de plus de 10 000 actes, références, règlements, exigences réglementaires et règles sur la conservation dans la législation canadienne, américaine et britannique, pour se conformer aux normes en vigueur dans l’industrie des institutions financières ainsi qu’à des lois variées et prendre en compte les délais de prescription applicables. Elle avait aussi été établie pour répondre à certains impératifs opérationnels, dont la détection et la prévention de la fraude.
11. Plus précisément, la compagnie d’assurance a affirmé que la conformité à la législation fédérale visant à lutter contre le blanchiment d’argent a été déterminante au moment de fixer à sept ans la période de conservation. D’après elle, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes^{Note de bas de page 1}(« LRPCFAT ») l’obligeait à conserver les documents associés aux ententes de crédit conclues avec les clients et aux demandes de crédit refusées pendant cinq ans après la date de fermeture des comptes auxquels se rapporte le dossier de crédit du client. Toutefois, la compagnie d’assurance n’a pas fait référence à des lignes directrices particulières ni à des règlements pris en application de la LRPCFAT à l’appui de sa période de conservation de sept ans.
12. En outre, selon un autre exemple de législation cité par la compagnie d’assurance pour justifier la période de sept ans prévue dans son calendrier de conservation, en vertu du paragraphe 34(1) du Mortgage Brokers and Mortgage Administrators Regulations de la Saskatchewan, les administrateurs d’hypothèques, y compris la banque, doivent conserver pendant six ans tous les documents et la correspondance qu’ils fournissent à une personne ou reçoivent d’elle concernant une transaction hypothécaire.
13. La compagnie d’assurance a en outre précisé que la période de conservation de sept ans prend aussi en compte le délai de prescription pour intenter une action en justice (après la découverte de la cause d’action), qui est généralement de deux ans en Ontario et dans certaines autres provinces.
14. Enfin, la compagnie d’assurance a fait valoir que sa période de conservation de sept ans visait à répondre à des impératifs opérationnels. Plus précisément, elle a soutenu que cette période lui permet d’avoir accès à l’information pour détecter et prévenir la fraude à l’assurance. Toutefois, elle n’a fourni aucune justification à l’appui d’une période de conservation de sept ans à cette fin.
15. Au cours de nos discussions avec la Commission des services financiers de l’Ontario (« CSFO ») et le Bureau du surintendant des institutions financières (« BSIF »), aucun de ces organismes n’a fait état de lignes directrices sur la conservation des données à l’intention des compagnies d’assurance.
16. Au cours de nos discussions avec le Bureau d’assurance du Canada (« BAI »), celui-ci n’a pas fourni de lignes directrices concernant les périodes de conservation des renseignements associés aux propositions d’assurance.

Renseignements personnels expirés détenus par l’intimée

17. D’après notre enquête, malgré la politique prévoyant une période de conservation de sept ans, certains renseignements personnels étaient conservés sous forme numérique sur les serveurs de la banque au-delà de cette période.
18. Dans la correspondance envoyée au plaignant avant le dépôt de sa plainte, la banque s’est dite incapable de supprimer automatiquement les documents, même après l’expiration de la période de conservation. Elle a expliqué que son système de gestion des documents avait été mis en place avant l’adoption de la LPRPDE, si bien que les renseignements conservés au-delà de la date prévue devaient être supprimés manuellement.
19. La compagnie d’assurance a également précisé n’avoir jamais utilisé, communiqué ou autrement transmis à un tiers les renseignements du plaignant. Elle a ajouté avoir détruit les renseignements immédiatement à la demande du plaignant, comme il est mentionné au paragraphe 4 du présent rapport.
20. Au cours de notre enquête, la compagnie d’assurance a indiqué qu’elle n’était pas en mesure de supprimer immédiatement les données électroniques sur les clients dont la période de conservation était terminée. Elle a toutefois expliqué avoir entrepris un projet pour modifier son système de gestion de la conservation de manière à remédier à ce problème. Le système modifié devait être mis en œuvre dès octobre 2014. Dans le cadre de ce projet, l’intimée s’attachait alors à recenser les éléments d’information i) à supprimer ou ii) à conserver et à dépersonnaliser. Elle conserverait certains éléments d’information associés aux propositions d’assurance, sous une forme dépersonnalisée, aux fins d’analyse et d’établissement des tendances à long terme.
21. Le 25 juin 2014, le Commissariat a transmis à la compagnie d’assurance un rapport d’enquête préliminaire examinant les questions soulevées dans la plainte en lui demandant de donner suite à ses recommandations. Les paragraphes qui suivent présentent le résultat de notre analyse des données probantes recueillies au cours de notre enquête.

Application de la loi

22. Pour tirer nos conclusions, nous avons appliqué les principes 4.5, 4.5.2 et 4.5.3 de l’annexe 1 de la Loi.
23. En vertu du principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées.
24. Le principe 4.5.2 précise notamment que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation.
25. En vertu du principe 4.5.3, on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels.

Analyse

26. L’intimée a reconnu avoir conservé la proposition d’assurance automobile du plaignant ainsi que d’autres renseignements dans son système de gestion de la conservation au-delà de la période de sept ans prévue. C’est pourquoi nous jugeons qu’elle a violé les principes 4.5 et 4.5.3.
27. Cela nous amène à la deuxième question. Il s’agit de déterminer si la période de sept ans prévue par la politique de conservation de l’intimée pour les renseignements associés à une proposition d’assurance refusée ou retirée est plus longue que nécessaire sous le régime de la LPRPDE. La Loi n’indique pas de limites précises pour la conservation des renseignements personnels par les organisations. En fait, le facteur déterminant consiste à établir si la compagnie d’assurance a conservé l’information plus longtemps que nécessaire pour la réalisation des fins déterminées.
28. La compagnie d’assurance a déclaré que les raisons pour lesquelles elle avait besoin de conserver pendant sept ans les renseignements sur les clients (y compris les données appartenant aux intéressés, comme le plaignant, qui n’ont pas obtenu à terme le produit ou le service d’assurance) étaient les suivantes : se conformer à diverses lois applicables et prendre en compte les délais de prescription connexes; et répondre à certains impératifs opérationnels, y compris la prévention de la fraude. Après avoir examiné la question attentivement, nous n’avons pas trouvé convaincantes les raisons et les explications données par la compagnie d’assurance.
29. Plus précisément, la législation à laquelle fait référence l’intimée dans ses déclarations (p. ex. au paragraphe 12 du présent rapport) se rapporte aux produits financiers axés sur le crédit et non au type de renseignements dont il est question dans la plainte, qui sont associés à une proposition d’assurance personnelle refusée.
30. De plus, lorsque nous avons consulté des organismes de surveillance de l’industrie des services financiers et de l’assurance exerçant leur compétence en Ontario (province de résidence du plaignant), ils n’ont pas corroboré la période de conservation de sept ans prévue par la politique.
31. Nous reconnaissons que des impératifs opérationnels, y compris la prévention de la fraude, peuvent être pertinents pour déterminer la période de conservation des renseignements personnels dans certains cas, mais la compagnie d’assurance n’a pas expliqué en quoi ces impératifs ont joué expressément dans l’établissement de la période de sept ans contestée dans la plainte.
32. À la lumière de ce qui précède, nous avons jugé que l’intimée conservait les renseignements personnels associés aux propositions d’assurance personnelle refusées ou retirées plus longtemps que nécessaire pour la réalisation des fins déterminées.
33. En vertu de la LPRPDE, les organisations sont tenues de gérer efficacement les renseignements personnels qu’elles détiennent. On n’insistera jamais trop sur leurs responsabilités à cet égard. En cas d’atteinte à la sécurité des données, les organisations qui conservent les renseignements personnels plus longtemps que nécessaire pour la réalisation des fins déterminées risquent de devoir rendre des comptes devant le tribunal de l’opinion publique.

Nos recommandations et réaction de la compagnie d’assurance

34. Ainsi, dans notre rapport d’enquête préliminaire, nous avons recommandé à l’intimée :
    1. d’élaborer et de mettre en œuvre des lignes directrices et des politiques détaillées judicieuses concernant la conservation et la destruction des renseignements personnels de ses clients et des proposants, conformément au principe 4.5.2, et d’y prévoir notamment des périodes de conservation raisonnables pour différents types de documents;
    2. de supprimer ou de dépersonnaliser les renseignements personnels de ses clients ou des proposants en conformité avec ces lignes directrices.
35. Dans sa réponse à notre première recommandation, l’intimée a donné au Commissariat des explications supplémentaires sur les raisons pour lesquelles elle a besoin de conserver les renseignements associés aux propositions d’assurance automobile, comme la gestion de la fraude. Elle a aussi cité des cas d’espèce à l’appui de sa position. L’intimée a toutefois déclaré qu’elle créerait expressément pour les propositions d’assurance automobile une série de dossiers assortie d’une période de conservation de trois ans, de manière à mieux refléter les besoins en matière de prévention de la fraude. Elle s’est engagée à mettre en œuvre cette nouvelle politique de conservation dès décembre 2014. Elle a d’ailleurs confirmé en novembre 2014 qu’un sous-programme automatisé (exécuté au moins une fois par mois) avait commencé à supprimer tous les dossiers de propositions d’assurance automobile ayant dépassé l’échéance de la nouvelle période de conservation maximale de trois ans. D’après l’information supplémentaire fournie par la compagnie d’assurance, nous sommes d’avis qu’une période de trois ans est appropriée.
36. En ce qui a trait à notre seconde recommandation, l’intimée nous a informés que le nouveau système de gestion de la conservation avait été mis en œuvre en juillet 2014 et qu’il avait supprimé dès le milieu du mois tous les renseignements associés aux propositions d’assurance qui avaient été conservés au-delà de la période de conservation de sept ans.

Conclusion

37. En conséquence, nous concluons que la plainte était fondée et résolue.

Notes