NORMES DE CONDUITE ET D'ÉTHIQUE PROFESSIONNELLES POUR LES SOCIÉTÉS MUTUELLES D'ASSURANCE MULTIRISQUE, LEUR CONSEIL D'ADMINISTRATION, LEURS EMPLOYÉS ET AGENTS
Avant-propos
Les lignes directrices du présent document sont des recommandations relatives aux normes de conduite et d'éthique professionnelles minimales auxquelles devraient adhérer les sociétés mutuelles d'assurance, leur conseil d'administration, leurs employés et agents. Elles ont été établies conformément, entre autres, aux principes énoncés dans le document CAN/CSA-Q830-96, Code type sur la protection des renseignements personnels.
Reconnaissant que l'industrie des services financiers est, doit être et continuera probablement d'être très réglementée à l'avenir, les sociétés mutuelles d'assurance ainsi que leur conseil d'administration, leurs employés et agents sont engagés à respecter la lettre et l'esprit des lois et des règlements qui régissent l'industrie.
Ces lignes directrices ont pour objectif de gagner et de maintenir la confiance de nos clients et du public en offrant un service et en fonctionnant de la façon la plus appropriée. Elles comprennent la gestion des renseignements personnels (collecte, conservation, protection, utilisation, communication, vérification et correction) et la conduite des conseils d'administration des sociétés, de leurs employés et des agents.
Nota :
(1) Dans cette norme, l'utilisation du masculin n'exclut pas le féminin.
(2) Même si les termes utilisés dans les articles qui suivent sont de nature obligatoire (par exemple: le terme doit), ce document est une norme volontaire. Si un organisme choisit d'adopter les principes et les pratiques générales qu'on y trouve, les articles contenant les termes obligatoires deviennent impératifs.
I - DÉFINITIONS
Les définitions qui suivent s'appliquent aux lignes directrices :
Une "société" est une société mutuelle d'assurance membre de l'Association canadienne des compagnies d'assurance mutuelles.
Des "renseignements personnels" sont toute information concernant un individu identifiable enregistrée sous n'importe quelle forme, incluant, mais ne se limitant pas, au nom de la personne, son adresse, son numéro de téléphone, son âge, sa situation familiale, son travail, son dossier médical, son actif, ses obligations, ses revenus, sa situation de solvabilité et de paiements, ses rapports d'assurance antérieurs, ses dossiers de conduite et ses demandes d'indemnités antécédentes.
II - PORTÉE ET OBJECTIF DES LIGNES DIRECTRICES
Ces lignes directrices ont pour but d'aider les sociétés canadiennes d'assurance mutuelles à élaborer et à appliquer :
- les politiques concernant la conduite des conseils d'administration, des employés et des agents; et
- les normes de pratique minimales relatives à la gestion des renseignements personnels.
III - TRAITEMENT DE L'ACTIF D'UNE SOCIÉTÉ ET DES RENSEIGNEMENTS PERSONNELS, DES CONFLITS D'INTÉRÊTS ET DES DROITS DE LA PERSONNE
Une société mutuelle d'assurance détient des actifs comprenant des biens et des renseignements qu'elle a légalement le droit de détenir. Ces biens ne peuvent en aucun cas, sous quelque forme que ce soit, être utilisés à des fins de profit personnel. Ils comprennent des systèmes, des programmes et des méthodes créés à l'interne qui pourraient fournir un avantage concurrentiel.
Un administrateur, un employé ou un agent qui a accès au système informatique devra s'assurer qu'il n'utilise pas l'équipement et les programmes de la société pour son profit personnel.
Tout administrateur, employé ou agent devra s'abstenir de toute activité commerciale ou personnelle qui pourrait fausser son jugement relativement aux intérêts des titulaires de police ou diminuer son engagement envers les titulaires ou la société.
Les administrateurs, le personnel et les agents de la société classeront, utiliseront et détruiront tous les renseignements personnels en tenant compte de la teneur confidentielle de l'information. Seuls ceux qui doivent avoir accès à ces renseignements seront autorisés à en prendre connaissance.
La société se conformera aux principes des lois relatives aux droits de la personne. La discrimination ou le harcèlement au travail est strictement défendu, entre autres en ce qui a trait à la race, à la couleur, au sexe, à l'orientation sexuelle, à l'âge, à la citoyenneté, aux croyances, à un handicap. Pour assurer l'impartialité, une personne ne peut ordinairement pas relever directement d'un membre de sa famille immédiate.
IV - RAISONS PRÉCISES POUR LA COLLECTE DE RENSEIGNEMENTS PERSONNELS
La société ne recueillera les renseignements personnels des titulaires de police que pour les raisons suivantes :
- établir et maintenir la communication avec l'individu;
- souscrire des risques avec prudence;
- effectuer des enquêtes ou payer des indemnités;
- offrir et fournir des produits et des services;
- se conformer aux lois et règlements; et
- compiler des statistiques.
Les raisons pour lesquelles des renseignements personnels sont recueillis devront être mentionnées à l'individu avant la collecte, sauf lorsque l'information est recueillie pour des fins de détection ou de prévention d'une fraude ou de l'application de la loi.
V - QUALITÉ DES RENSEIGNEMENTS PERSONNELS RECUEILLIS
Les renseignements personnels devront être recueillis pour les raisons mentionnées.
Des efforts devront être fournis pour s'assurer que les renseignements personnels recueillis sont aussi exacts, complets et à jour que possible aux fins des objectifs de la collecte.
VI - LIMITATION DE LA COLLECTE DE RENSEIGNEMENTS PERSONNELS
La société ne recueillera les renseignements personnels que pour les raisons mentionnées dans la section IV.
Elle les obtiendra à l'aide de moyens licites. Autant que possible, l'information sera recueillie directement de l'individu. Dans le cas d'une demande d'une tierce partie, par exemple d'un courtier, du Service anti-crime des assureurs, du Groupement technique des assureurs et des réseaux d'information concernant les demandes d'indemnité et d'assurance, on devra préalablement obtenir l'autorisation de l'individu.
L'autorisation obtenue de la part d'un titulaire de police devra être simple et claire, et assez large pour éviter d'avoir besoin d'autorisations supplémentaires pour la même police d'assurance. Si l'information obtenue doit être utilisée pour d'autres raisons que celles précédemment transmises au titulaire de police, une nouvelle autorisation devra être obtenue de ce dernier.
VII - UTILISATION, COMMUNICATION ET CONSERVATION DE RENSEIGNEMENTS PERSONNELS
Comme il a été mentionné dans la section VI, la société devra obtenir une nouvelle autorisation du titulaire de police avant d'utiliser des renseignements personnels pour d'autres raisons que celles indiquées au moment de la première demande d'autorisation, sauf :
- lorsque l'exige la loi;
- à la réception d'une citation à comparaître, d'un mandat de perquisition et d'ordres de la cour ou du gouvernement provenant d'autres partis mandatés par la loi;
- dans l'exercice de droits publics;
- lorsque, au moment de l'écriture d'un contrat d'assurance, il y a transfert de renseignements personnels à d'autres sociétés d'assurance qui partagent le même risque.
Les renseignements personnels ne seront conservés que la durée nécessaire à la réalisation des finalités déterminées. La société devra élaborer des lignes directrices et appliquer des procédures régissant la conservation et la destruction des renseignements personnels en précisant les durées minimales et maximales de conservation. Les renseignements personnels devenus inutiles devront être détruits, effacés ou dépersonnalisés.
VIII - MESURES DE SÉCURITÉ RELATIVES AUX RENSEIGNEMENTS PERSONNELS
Les renseignements personnels devront être soumis à des mesures de sécurité. Ces mesures devront protéger les renseignements personnels contre la perte et le vol, la consultation, la communication, la copie, et l'utilisation ou la modification non autorisées, quelle que soit la forme sous laquelle les renseignements sont conservés.
La société devra sensibiliser son personnel à l'importance de protéger le caractère confidentiel des renseignements personnels. Les administrateurs, les employés et les agents devront s'engager par écrit à observer les lois sur le caractère confidentiel des renseignements personnels.
La société devra exiger de ses fournisseurs de biens et services, par exemple les courtiers, les personnes qui traitent les données, les gestionnaires responsables de la prévention, les ajusteurs, de tenir compte du caractère confidentiel des renseignements personnels, conformément aux présentes lignes directrices ou comme le dicte la loi.
IX - ACCÈS AUX RENSEIGNEMENTS PERSONNELS PAR LE TITULAIRE DE POLICE
Un titulaire de police devra avoir accès aux renseignements personnels qui le concernent. Il devra pouvoir contester l'exactitude et l'état complet des renseignements et y faire apporter les corrections appropriées, les faire effacer ou les compléter comme il se doit. La société devra fournir les renseignements :
- sous une forme compréhensible; et
- dans un délai et à un coût raisonnables si nécessaire.
La société devra établir un mécanisme pour recevoir les plaintes et les demandes de renseignements concernant ses politiques et pratiques de gestion des renseignements personnels. De plus, elle devra désigner une ou des personnes responsables de la protection des renseignements personnels.
Les exceptions aux exigences en matière d'accès aux renseignements personnels devront être restreintes et précises. Les raisons peuvent comprendre le coût prohibitif de l'information à fournir, le fait que les renseignements personnels contiennent des détails sur d'autres personnes, l'existence de raisons d'ordre juridique, d'ordre de sécurité ou d'ordre commercial et le fait que les renseignements sont protégés par le secret professionnel ou dans le cours d'une procédure de nature judiciaire.
Dans le cas où une plainte n'est pas résolue à la satisfaction de l'individu, elle devra être rapportée à la société. Un titulaire de police insatisfait devra recevoir les renseignements nécessaires pour pouvoir se plaindre aux autorités provinciales appropriées.
