Protection des renseignements personnels

Renseignements personnels

En vertu de la Loi sur la protection des renseignements personnels dans le secteur privé, tous les représentants membres de la CSF ont l’obligation de préserver la confidentialité des renseignements personnels qu’ils recueillent à titre de représentant autonome ou pour le compte de leur cabinet, courtier ou société autonome et détiennent dans le cadre de leur pratique. Un renseignement personnel est tout renseignement qui concerne une personne physique et permet de l’identifier.

Pour plus d’information en lien avec les renseignements personnels, consultez le site internet de la Commission d’accès à l’information du Québec.

  • Adresse
  • Adresse électronique personnelle
  • Origine nationale ou ethnique
  • Religion
  • Âge
  • Situation familiale
  • Niveau de scolarité
  • Dossier médical
  • Casier judiciaire
  • Antécédents professionnels
  • Opérations financières auxquelles une personne a participé
  • Ordres ou opérations dans le compte d’une personne
  • Numéro ou symbole ou tout autre identifiant propre à une personne
  • Nom, lorsque celui-ci est mentionné avec d’autres renseignements personnels concernant la personne ou lorsque la seule divulgation du nom révélerait des renseignements à son sujet

La protection des renseignements personnels est un élément intrinsèque du droit au respect de la vie privée. En voici les principes fondamentaux :

  • Toute personne a droit à la protection de sa vie privée.
  • Lorsqu’une personne constitue un dossier sur une autre personne, elle doit avoir un intérêt légitime et sérieux pour ce faire.
  • Il n’est permis de recueillir pour un dossier que les renseignements personnels pertinents à l’objet du dossier.
  • Il est interdit de communiquer des renseignements personnels à des tiers sans le consentement de la personne concernée, à moins d’y être autorisé par la loi.

Les cabinets, courtiers, sociétés autonomes et représentants autonomes doivent, dans l’exercice de leurs activités, collecter une multitude de renseignements personnels sur leurs clients et parfois les transmettre à des tiers, par exemple des assureurs. Ces renseignements personnels doivent être protégés; les établissements doivent donc mettre en place des mesures pour concrétiser cette protection. De plus, étant donné qu’une grande partie des renseignements sur les clients est recueillie en premier lieu par le représentant qui est en relation directe avec eux, ce représentant doit également veiller à les protéger.

La protection des renseignements personnels sur les clients repose sur des principes de base simples que les représentants doivent appliquer dans leur pratique, notamment :

  1. Établir un objet clair pour toute collecte, utilisation ou communication de renseignements personnels sur un client.
  2. Limiter la collecte, l’utilisation ou la communication de renseignements personnels sur un client à ce qui est nécessaire à la réalisation de l’objet.
  3. Sauf exception, obtenir le consentement du client pour recueillir ou traiter des renseignements qui le concernent.

    Concrètement, le représentant doit faire en sorte que le consentement du client à la collecte, la communication ou l’utilisation de renseignements personnels soit éclairé, manifeste et donné à des fins précises. 
  4. Voir à ce que les renseignements sur un client soient exacts et à jour. Cela est particulièrement important lorsqu’ils sont utilisés pour prendre une décision relative à ce client.
  5. Assurer la sécurité des renseignements personnels détenus sur un client. Concrètement, le représentant doit prendre les mesures nécessaires pour protéger la confidentialité de ces renseignements, que ce soit lors de leur collecte, de leur utilisation, de leur communication, de leur conservation ou de leur destruction.
  6. Permettre au client de consulter et de rectifier son dossier au besoin.
  7. Se doter de politiques précises afin de mettre en œuvre ces principes.

Les cabinets, les courtiers, les sociétés autonomes et les représentants autonomes sont soumis aux obligations de la Loi sur la protection des renseignements personnels dans le secteur privé en tant qu'entreprises. Ces exigences demeurent importantes, quel que soit le mode d'exercice du conseiller, car il doit se conformer aux règles établies par le cabinet, le courtier ou la société autonome à laquelle il est affilié.

 

Désignation d'un responsable de la protection des renseignements personnels

L'entreprise doit désigner un responsable de la protection des renseignements personnels.

Par défaut, c'est la personne ayant la plus haute autorité au sein de l'entreprise, généralement son président-directeur général (PDG), qui est responsable de veiller au respect et à la mise en œuvre des obligations prévues par la loi. Cependant, la fonction de responsable de la protection des renseignements personnels peut être déléguée à toute personne, même à l'externe.

Le titre et les coordonnées du responsable doivent être publiés sur le site Web du cabinet, du courtier, de la société autonome ou du représentant autonome ou, en l'absence de site Web, rendus accessibles par d'autres moyens appropriés, tels que l'Avis de constitution de dossier remis au client ou dans une brochure de l'entreprise portant sur ses politiques et pratiques en matière de protection des renseignements personnels.

 

Incidents de confidentialité

Toute situation impliquant des renseignements personnels présente un risque d'incident de confidentialité, notamment en cas d'accès, d'utilisation ou de communication non autorisés d'un renseignement personnel, de perte de ce dernier ou de toute autre atteinte à sa protection.

L'entreprise doit évaluer le risque de préjudice sérieux d'un incident de confidentialité en tenant compte de la sensibilité des renseignements, des conséquences potentielles de leur utilisation et de la probabilité d'une utilisation préjudiciable.

 

Registre des incidents de confidentialité

L'entreprise doit tenir un registre des incidents de confidentialité, qu'ils présentent un risque de préjudice sérieux ou non. Ce registre doit être transmis à la Commission d'accès à l'information (CAI) sur demande. Les incidents de confidentialité doivent être inscrits au registre, qu'il s'agisse de la perte d'un appareil contenant des renseignements personnels, du vol d'un ordinateur portable ou d'une fuite de données importante.

Certains contrats de distribution imposent au conseiller de divulguer les incidents de confidentialité à l'agent général et à l'assureur concernés. Le conseiller doit consulter ses contrats pour connaître ses obligations contractuelles et contacter les responsables de la protection des renseignements personnels au besoin.

En cas d'incident présentant un risque de préjudice sérieux pour les renseignements personnels des clients, le conseiller doit informer les clients concernés, en assurant disponibilité et diligence pour les rassurer.

 

Politiques et pratiques

Les entreprises doivent établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l'égard des renseignements personnels. Ces politiques et pratiques doivent inclure des règles applicables à la conservation et à la destruction des renseignements personnels, définir les rôles et responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels, et prévoir un processus de traitement des plaintes relatives à la protection des renseignements personnels. Les détails de ces politiques et pratiques doivent être publiés sur le site Web de l'entreprise.

 

Évaluation des facteurs relatifs à la vie privée (EFVP)

Les entreprises doivent procéder à une évaluation des facteurs relatifs à la vie privée (EFVP) pour tout projet impliquant la collecte, l'utilisation, la communication, la conservation ou la destruction de renseignements personnels. L'EFVP doit être proportionnée à la sensibilité des renseignements, à la finalité de leur utilisation, à leur quantité, à leur répartition et à leur support.

 

Traitement automatisé de renseignements personnels

Les entreprises doivent informer les personnes concernées lorsqu'elles prennent des décisions basées uniquement sur un traitement automatisé de leurs renseignements personnels. Les personnes concernées ont le droit de connaître les renseignements utilisés pour la décision, les raisons, les principaux facteurs et paramètres ayant conduit à la décision, ainsi que leur droit de faire rectifier ces renseignements.

 

Transferts à l'extérieur du Québec

Avant de communiquer des renseignements personnels à l'extérieur du Québec, les entreprises doivent effectuer une EFVP pour déterminer si les renseignements bénéficieront d'une protection adéquate conformément aux principes de protection des renseignements personnels généralement reconnus. La communication doit faire l'objet d'une entente écrite tenant compte des résultats de l'EFVP et des modalités visant à atténuer les risques identifiés.

 

Impartition

Les entreprises transférant des renseignements personnels à un fournisseur de services doivent conclure une entente écrite. Cette entente doit décrire les mesures prises par le fournisseur pour assurer la confidentialité des renseignements, l'obligation de n'utiliser les renseignements que pour les services convenus et d'informer immédiatement en cas de violation de la confidentialité.

 

Transparence

Les entreprises doivent fournir aux personnes concernées des informations claires sur la collecte de leurs renseignements personnels, y compris les fins de la collecte, les moyens de collecte, les droits d'accès, de rectification et le droit de retirer le consentement. Si applicable, les entreprises doivent indiquer le nom du tiers pour qui la collecte est faite, les catégories de tiers auxquels les renseignements peuvent être communiqués et la possibilité de communication des renseignements à l'extérieur du Québec. Les entreprises doivent publier une politique de confidentialité simple et claire sur leur site Web si elles recueillent des renseignements personnels par un moyen technologique.

 

Technologies de profilage, de localisation et d'identification

Les entreprises utilisant des technologies permettant d'identifier, de localiser ou de profiler les personnes concernées doivent les informer de l'utilisation de ces technologies et des moyens de les désactiver.

 

Consentement

Le consentement pour l'utilisation des renseignements personnels doit être explicite, libre, éclairé et spécifique à chaque fin. Un consentement explicite est requis pour l'utilisation de renseignements personnels sensibles. Le consentement d'un mineur de moins de 14 ans doit être donné par le titulaire de l'autorité parentale ou par son tuteur.

 

Protection de la vie privée par défaut

Les entreprises offrant des produits ou services technologiques au public doivent garantir que les paramètres de confidentialité assurent le plus haut niveau de confidentialité par défaut, à l'exception des témoins de connexion (cookies).

 

Conservation et destruction

Les entreprises doivent détruire les renseignements personnels lorsque leur finalité est atteinte. Les renseignements peuvent également être anonymisés selon les meilleures pratiques pour des utilisations légitimes.

 

Droit à la désindexation

Les personnes concernées ont le droit de demander la cessation de la diffusion de leurs renseignements personnels et la désindexation des hyperliens y donnant accès en cas de violation de la loi ou d'une ordonnance judiciaire.

 

Droit à la portabilité

Le droit à la portabilité des renseignements personnels permet aux personnes physiques (employés ou clients par exemple) qui ont fourni leurs renseignements personnels dans une forme informatisée (formulaire en ligne, site Web, portail, application, etc.) de faire une demande pour obtenir ces renseignements ou les transférer à une personne ou un organisme.

Le droit à la portabilité des renseignements personnels doit être respecté par les entreprises privées et organismes publics.

C’est la personne désignée responsable de la protection des renseignements personnels auprès de la firme, qui devrait recevoir la demande d’une personne physique. Dans le cas d’un client, il y a une forte probabilité que ce soit le représentant, qui est l’intermédiaire entre le client et la firme, qui la reçoive. Dans ce cas, le conseiller devra s’adresser à la personne désignée responsable et suivre les instructions afin de répondre à la demande.

Les renseignements personnels recueillis en format papier sont exclus de ce droit, de même que les renseignements inférés par l'organisation à partir des données fournies par la personne concernée par les renseignements personnels.

La communication de ces renseignements devra se faire dans un format technologique structuré et couramment utilisé.

Possibilité de se soustraire à ce droit

Seules des difficultés pratiques sérieuses pourront être soulevées pour se soustraire à ce droit. L’organisation devra donc se munir de procédures et de systèmes informatiques permettant le transfert des données de manière sécurisée et dans un format technologique structuré et couramment utilisé.

Pour plus de détails, consultez l’aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques, conçu par la Commission d’accès à l’information.

 

Sanctions introduites par la loi sur le secteur privé

La Loi sur le secteur privé comptera désormais trois mécanismes visant à assurer la conformité des organisations :

  1. Des sanctions administratives pécuniaires (SAP) imposées directement par la Commission d’accès à l’information (CAI).
  2. De nouvelles infractions pénales associées d’amendes salées.
  3. Un droit privé d’action permettant aux individus de poursuivre une organisation en dommages-intérêts.

Voici un tableau présentant les principales infractions susceptibles d’être sanctionnées dans le cadre de ce nouveau régime d’application de la loi qui entrera en vigueur dans deux ans :

Infraction(i) Infraction pénale(ii) SAP(iii) Droit privé d’action
Collecte, utilisation, communication ou destruction de renseignements personnels en contravention à la loi
Conservation de renseignements personnels en contravention à la loi 
Défaut de fournir aux personnes concernées les informations requises pour procéder à la collecte des renseignements personnels 
Défaut d’aviser la CAI ou les personnes concernées d’un incident de confidentialité qui présente un risque de préjudice sérieux
Défaut d’informer la personne visée par une décision automatisée ou ne pas lui donner l’occasion de présenter ses observations 
Refuser ou négliger de se conformer, dans le délai fixé, à une demande de production de documents émise par la CAI  
Contrevenir à une ordonnance de la CAI  

L’obligation du représentant d’assurer la protection des renseignements personnels de ses clients s’applique lors de leur collecte, leur utilisation et leur communication.

Cette obligation s’impose à tout représentant, peu importe son mode d’exercice, et comprend notamment :

  • le respect du secret relativement à tous les renseignements personnels recueillis sur un client;
  • l’utilisation de ces renseignements exclusivement aux fins pour lesquelles ils ont été recueillis;
  • la non-communication à un tiers de renseignements personnels sur un client.

Dans ces deux derniers cas, le consentement du client, une loi applicable ou un tribunal pourrait toutefois permettre l’utilisation ou la communication de ces renseignements.

La section sur l’accès au dossier client contient des précisions sur les personnes autorisées et les exceptions au droit d’accès.

Représentant rattaché

Le représentant qui exerce ses activités pour le compte d’un cabinet, d’une société autonome ou d’un courtier doit transmettre à l’établissement auquel il est rattaché tous les renseignements qu’il recueille sur les clients.

Représentant qui exploite une entreprise

Le représentant qui exploite une entreprise peut, sans le consentement du client et sous certaines conditions, communiquer un renseignement personnel contenu dans son dossier client, notamment :

  • à son avocat;
  • au directeur des poursuites criminelles et pénales;
  • à un organisme chargé de prévenir, détecter ou réprimer le crime ou les infractions aux lois;
  • à une personne chargée d’appliquer une loi ou une convention collective;
  • à un organisme public au sens de la Loi sur l’accès pour l’exercice de ses fonctions ou la mise en œuvre d’un programme;
  • à une personne ou à un organisme ayant pouvoir de contraindre à leur communication;
  • à une personne qui doit être informée en raison d’une situation d’urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée;
  • à une personne autorisée par la Commission d’accès à l’information à recevoir communication de renseignements personnels à des fins d’étude, de recherche ou de statistique;
  • à une personne qui peut recouvrer une créance en vertu de la loi;
  • à une personne dans le but de constituer une liste nominative
  • à une personne ou un organisme en vue de prévenir un acte de violence, dont un suicide, lorsqu’il existe un motif raisonnable de croire qu’un risque sérieux de mort ou de blessures graves menace une personne ou un groupe.

Utilisation des technologies de l’information

En raison de l’utilisation de plus en plus fréquente des technologies de l’information (TI) dans le cadre des activités du représentant, la protection des renseignements personnels est devenue un enjeu de conformité particulièrement important.

Lorsque le représentant utilise les TI pour transmettre ou conserver des renseignements sur un client, il doit être vigilant et prendre les mesures de protection nécessaires.
La section Utilisation des technologies de l’information donne plus de précisions à ce sujet.

Assurance et planification financière

En savoir plus

Épargne collective et plans de bourses d'études

En savoir plus