Dans le secteur financier, la multiplication des intermédiaires rend bien réel le risque associé à la sécurité liée à l’entreposage et à la manipulation des données. [Photo: 123RF]
Si l’assureur est ultimement responsable de préserver la confidentialité des renseignements personnels qui lui sont confiés, les défis se multiplient à mesure que des intermédiaires rejoignent l’écosystème composé du milieu de travail, de l’assureur et de l’employé, signale Jean-François de Rico, associé chez Langlois avocats.
Dans la séquence entre le pharmacien et l’assureur par exemple, il y a presque systématiquement une ou des tierces parties administratrices ou des tiers payeurs impliqués dans le traitement et l’adjudication de la demande et qui se trouvent dans le flux des données. « Ces tiers sont habituellement des sous-traitants de l’assureur. Celui-ci doit donc s’assurer contractuellement que les renseignements personnels ne seront utilisés qu’aux fins de rendre ledit service et plus du tout une fois qu’il sera rendu ».
Ces garanties contractuelles se matérialisent avec des clauses de responsabilité et d’assurance risques, « parce que personne n’est à l’abri d’une faille », indique Jean-François de Rico. D’autant que la nature et la quantité des intermédiaires se multiplient.
Encadrer les intermédiaires
Dans le secteur financier, cette multiplication des intermédiaires rend bien réel le risque associé à la sécurité liée à l’entreposage et à la manipulation des données, confirme Lionel Pimpin, premier vice-président, Stratégies particuliers et entreprises à la Banque Nationale.
La Banque Nationale travaille avec de multiples fintechs et la première étape de cette collaboration consiste à s’assurer que « la gestion des données respecte nos normes de conformité et de sécurité », explique-t-il.
« Que les données proviennent de l’interne ou de l’externe, les entités comme la Banque Nationale portent une grande attention aux protocoles de sécurité mis en place, car l’écosystème est aussi fort ou fragile que son maillon le plus faible, dit Lionel Pimpin. C’est pourquoi les réflexions qui ont cours aujourd’hui visent à voir comment faire pour maintenir un niveau de maillage très fort, et que ce niveau de sécurité ne soit pas porté uniquement par les banques, mais également par leurs partenaires, qu’il s’agisse de fintechs, de fournisseurs ou d’autres institutions financières ».
Le Commissariat à la protection de la vie privée du Canada est pour sa part engagé dans un resserrement des règles préservant le droit à la vie privée. À cet égard, les entreprises sont tenues à de nouvelles obligations en matière de déclaration des atteintes aux mesures de sécurité depuis le 1er novembre 2018. Une modification justifiée par le nombre d’incidents de cybersécurité touchant les entreprises.
« Le nombre et la fréquence d’atteintes importantes aux données au cours des dernières années ont montré qu’il est bel et bien nécessaire de mettre en place des obligations de déclaration », a déclaré par communiqué le commissaire Daniel Therrien, qui estime que ces nouvelles obligations « inciteront les organisations à prendre la sécurité plus au sérieux et augmenteront la transparence et la responsabilité dans la façon dont [elles] gèrent les renseignements personnels. »
En vertu de ces modifications, les entreprises doivent dorénavant déclarer au Commissariat toute atteinte aux mesures de sécurité lorsqu’elle crée un « risque réel de préjudice grave »; aviser les individus touchés; et conserver un registre de toutes les atteintes pendant deux ans.
L’importance du consentement
« À mesure que s’intègrent la technologie de l’information, la technologie de la géolocalisation et le corps humain par les appareils intelligents et l’Internet des objets (et des personnes), l’information personnelle n’aura jamais été aussi intime, et les atteintes possibles à la vie privée s’en trouvent amplifiées », estime le Commissariat à la protection de la vie privée du Canada.
L’organisme fédéral a d’ailleurs fait de la promotion du respect de la vie privée et de l’intégrité du corps humain comme véhicule de renseignements personnels, l’une de ses priorités stratégiques, estimant que « l’exploitation de cette information à des fins lucratives dans le commerce ou aux fins des mesures de surveillance du gouvernement risque de nuire non seulement à notre droit à la protection de nos renseignements personnels, mais aussi à l’intégrité de notre corps et à notre dignité même d’êtres humains ».
Par exemple, Manuvie offre depuis octobre 2017 aux Canadiens ayant souscrit une assurance vie liée au programme de récompenses Activité Vitalité, la possibilité d’obtenir une montre Apple Watch, lorsqu’ils respectent les cibles d’activité physique établies dans leur contrat d’assurance. Ce programme permet aussi aux participants d’obtenir des économies sur leurs primes.
Aux États-Unis, la division américaine de Manuvie, John Hancock, a annoncé en septembre dernier le remplacement de ses programmes traditionnels d’assurance par des contrats strictement basés sur des données de santé collectées par l’entremise d’objets connectés.
Charles-Antoine Villeneuve, vice-président, pratique d’assurance collective chez Morneau Shepell, évoque pour sa part l’existence de projets pilotes lancés par différents assureurs au Canada portant sur la pharmacogénétique, dans le but de développer des programmes de prestations d’assurance maladie.
La pharmacogénétique consiste en l’évaluation de l’ADN pour mieux cibler le type de soin requis, résume Charles-Antoine Villeneuve. « Ça peut être extrêmement puissant comme personnalisation de soins, mais cela soulève l’enjeu de la confidentialité. Les assureurs ont-ils le droit d’avoir le code génétique des gens ? C’est encore un débat ».
D’autres questions découlant de ces tendances, soulevées par les organismes de protection des consommateurs, concernent plutôt l’usage qui sera fait de ces données par les assureurs, à savoir s’ils ne vont pas les utiliser pour un tri sélectif qui pénaliserait des clients moins rentables.
De nouvelles lignes directrices pour l’obtention d’un consentement valable seront appliquées à partir du 1er janvier 2019. Pour Jean-François de Rico, bien que ces lignes directrices seront « plus exigeantes que l’interprétation qu’on avait de la loi présente », la question du consentement doit être au cœur de notre réflexion comme société.
Selon lui, la question qu’il faut se poser, « ce n’est pas tant si l’entreprise qui nous demande de lui confier des informations personnelles représente un risque de malhonnêteté, mais bien : quelle est la conséquence si l’entreprise à qui je confie mes données personnelles les perd ou se les fait voler à la suite d’une intrusion ».
Jean-François de Rico est d’avis qu’il va falloir commencer « à s’éduquer collectivement sur notre hygiène informationnelle et la protection de nos données personnelles ».
