Sélection de la langue

Recherche

Une compagnie d’assurance-vie met en place des pratiques exemplaires à la suite d’une erreur commise dans le cadre d’un envoi postal massif qui risquait d’exposer des renseignements personnels

Résumé d'incident no 5

Incident

Une compagnie d’assurance-vie a découvert que les renseignements personnels de 53 de ses participants au régime de retraite pourraient avoir été exposés à d’autres personnes par courrier. La compagnie utilisait un nouveau type d’enveloppe à fenêtre pour envoyer aux participants leur relevé d’options. La fenêtre des nouvelles enveloppes était plus grande que celle des enveloppes utilisées antérieurement pour envoyer ces documents.

Par la suite, 10 jours après l’envoi des relevés, la compagnie a constaté que certains renseignements personnels imprimés sous l’adresse des participants pourraient être visibles si le document bougeait dans l’enveloppe.

Les renseignements personnels concernés étaient les suivants : le numéro de certificat, le numéro d’assurance sociale (NAS), la date de naissance, le nom du conjoint et le nom du bénéficiaire.

Résultat

Après avoir pris connaissance de l’incident, la compagnie a entrepris d’aviser les personnes touchées en leur envoyant une lettre où elle présentait ses excuses et indiquait :

  1. comment et quand l’incident s’est produit;
  2. quels renseignements personnels pourraient avoir été compromis et à qui ils pourraient avoir été exposés;
  3. qu’une enquête interne était en cours;
  4. le nom et le numéro de téléphone d’une personne à contacter si le participant avait des questions;
  5. qu’un service de surveillance du crédit d’un an était offert par la compagnie d’assurance, sans frais;
  6. ce que la compagnie fait pour empêcher qu’un tel incident ne se reproduise pas, notamment cesser d’utiliser les enveloppes en question, ajouter une alerte de sécurité à tous les comptes touchés et inviter les participants à ajouter une question de sécurité pour renforcer l’authentification.

Puisque les NAS des participants pourraient avoir été visibles, la compagnie a également suggéré dans sa lettre que les personnes touchées appliquent les étapes de réduction des risques que recommande Service Canada sur son site Web.

La compagnie a cessé d’utiliser les enveloppes qui posaient problème et qui étaient à l’origine de l’incident en question, et elle a également indiqué qu’elle envisageait de reformater les relevés pour mieux dissimuler les renseignements personnels, ou d’éliminer entièrement ces derniers à moins que la loi l’oblige à les indiquer.

De plus, la compagnie a communiqué avec le Commissariat pour lui signaler l’incident et en décrire l’ampleur, tout en lui indiquant comment elle était intervenue.

Commentaire final

La compagnie d’assurance-vie a clairement démontré avoir mis en place des pratiques exemplaires afin de réagir à l’incident.

Date de modification :