Une compagnie d’assurance est tenue de supprimer les renseignements personnels d’un individu après que ce dernier a retiré son consentement
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2017-005
Le 10 février 2017
Leçons apprises
- Une personne peut retirer son consentement à l’égard de la collecte, de l’utilisation et de la communication des renseignements personnels la concernant, sous réserve d’un préavis raisonnable et des restrictions prévues par une loi ou un contrat. L’organisation doit informer la personne des conséquences d’un tel retrait.
- Les organisations doivent avoir une politique et de procédures en place pour évaluer et documenter les renseignements personnels qu’elles détiennent et les raisons pour lesquelles elles recueillent, utilisent et communiquent ces renseignements.
- En vertu de la LPRPDE, une organisation n’est pas tenue de s’assurer que les renseignements personnels d’une personne sont supprimés des dossiers d’un tiers si les renseignements ont déjà été divulgués légalement.
Plainte
Un individu s’est plaint que son ancienne compagnie d’assurance automobile a refusé de répondre favorablement à sa demande de supprimer ses renseignements personnels des dossiers de la compagnie ainsi que des dossiers de toute tierce partie à qui la compagnie a communiqué ses renseignements.
La compagnie a refusé la demande de suppression en faisant valoir qu’elle avait conservé les renseignements personnels du plaignant pour continuer à fournir ses antécédents à d’autres assureurs, et qu’elle ne pouvait faire supprimer l’information de la base de données d’une tierce partie.
Selon le Commissariat, et compte tenu des circonstances propres à la présente plainte, la compagnie aurait dû traiter la demande de suppression présentée par le plaignant au même titre qu’une demande de retrait du consentement à la poursuite de l’utilisation de ses renseignements personnels. À la suite de la réinterprétation de la demande, les deux parties ont convenu que l’enquête permettrait de déterminer si la compagnie contrevenait à la LPRPDE en refusant de se conformer à la demande visant le retrait du consentement à l’utilisation continue des renseignements personnels de l’individu concerné.
Résumé de l’enquête
La compagnie avait précédemment obtenu le consentement du plaignant pour la collecte, l’utilisation et la communication de ses renseignements personnels au moyen d’un formulaire normalisé de demande d’assurance automobile utilisé dans la province de résidence de celui-ci. En 2014, le plaignant a envoyé un courriel à l’ombudsman de la compagnie pour exiger la suppression de ses renseignements personnels des dossiers de la compagnie et de toute tierce partie à laquelle les renseignements ont été transmis.
Dossiers de la compagnie
La compagnie a indiqué au Commissariat qu’elle avait conservé les renseignements personnels de l’individu dans le but de tenir à jour les informations relatives à ses antécédents afin d’aider d’autres assureurs à évaluer les demandes le concernant.
À la suite de l’intervention du Commissariat et de la réinterprétation de la demande du plaignant (retrait du consentement), la compagnie a indiqué qu’elle n’était pas tenue par la loi de conserver les renseignements personnels de ce dernier et qu’elle pouvait les supprimer, à l’exception des dossiers qu’elle devait conserver dans le cadre de l’enquête du Commissariat. Par ailleurs, le plaignant a été avisé que si la compagnie n’était pas en mesure de fournir des précisions sur ses antécédents pour aider d’autres assureurs à évaluer ses demandes, cela pourrait entraîner une augmentation de la prime ou le refus de la demande. Le plaignant a accepté ces mises en garde et ses renseignements ont été supprimés des dossiers de l’assureur. Par conséquent, le Commissariat a conclu que cette partie de la plainte était fondée et résolue.
Dossiers des organisations tierces
La compagnie a recensé les organisations/bases de données auxquelles elle avait communiqué les renseignements personnels du plaignant, conformément à la législation en matière d’assurance de sa province de résidence. Par ailleurs, elle a fait valoir qu’elle ne pouvait exiger la suppression de ces renseignements personnels des bases de données d’organisations tierces.
En vertu de la LPRPDE, une organisation n’est pas tenue de s’assurer que les renseignements personnels d’une personne sont supprimés des dossiers d’un tiers si les renseignements ont été divulgués légalement. Par conséquent, le Commissariat a conclu que cette partie de la plainte était non fondée.
Responsabilité
Durant l’enquête du Commissariat, la compagnie n’était de toute évidence pas en mesure d’expliquer facilement — pas plus qu’elle ne semblait comprendre clairement — pourquoi elle avait communiqué les renseignements personnels d’une personne assurée à une organisation tierce, ce qui contrevient au principe 4.1.4(d) de la LPRPDE, selon lequel les organisations doivent rédiger des documents explicatifs concernant leurs politiques et procédures. La compagnie s’est engagée à produire un document permettant de savoir à quelles organisations tierces les renseignements sont communiqués et de quelle façon, et à rendre cette information facilement accessible sur demande. La compagnie a convenu de fournir ce document au Commissariat dans les trois mois suivant la publication des conclusions de l’enquête. Par conséquent, le Commissariat a conclu que cette partie de la plainte était fondée et conditionnellement résolue.
Mise à jour : Après la publication de nos conclusions, la compagnie a remis au Commissariat une copie de sa politique révisée en matière de protection des renseignements personnels, de sorte que toute personne peut facilement savoir à quelles organisations tierces ses renseignements personnels sont communiqués et par quels moyens. Étant donné que la compagnie s’est entièrement conformée à notre recommandation, aucun autre suivi n’est nécessaire.
- Date de modification :