RECOMMANDÉ Montréal, le 9 mai 2017 Maître … CHOLETTE HOULE 200, rue des Commandeurs Lévis (Québec) G6V 6R2 Objet : Plainte à l’endroit de Desjardins Sécurité financière N/Réf. : 1009463-S _______________________________________________________________ La présente donne suite à une plainte adressée à la Commission d’accès à l’information (la Commission), le 4 juillet 2014, à l’encontre de Desjardins Sécurité financière (l’entreprise). OBJET DE LA PLAINTE La plainte porte sur la communication de renseignements personnels à un tiers, et ce, sans le consentement de la personne concernée. Plus particulièrement, le plaignant soutient que l’entreprise a communiqué à l’ambassade du Canada au Cameroun (le tiers) des renseignements personnels de nature médicale le concernant à la suite d’une demande de remboursement pour frais médicaux qu’il a soumise après un séjour dans ce pays. Il soutient que cette communication s’est faite sans son consentement. ENQUÊTE À la suite de cette plainte, la Direction de la surveillance de la Commission procède à une enquête, conformément à l’article 81 de la Loi sur la protection des renseignements personnels dans le secteur privé 1 . Le 13 août 2015, la Direction de la surveillance de la Commission écrit à l’entreprise pour obtenir sa version des faits ainsi que des précisions quant à la communication au tiers de documents contenant des renseignements personnels concernant le plaignant. 1 RLRQ, c. P-39.1, ci-après « Loi sur le privé ».
N/Réf. : 1009463-S 2 Le 14 septembre 2015, M e (l’avocate), répond pour l’entreprise. Tout d’abord, elle précise que le plaignant était, au moment des faits, un employé d’une division de l’entreprise et, qu’à ce titre, il avait adhéré au contrat d’assurance collective comportant notamment une protection d’assurance voyage. Elle soutient que lors de l’analyse des réclamations faites par le plaignant « de nombreuses discordances ont été identifiées, justifiant la poursuite d’une enquête » par l’entreprise. Elle mentionne que ni l’Officier du règlement des différends ni l’Ombudsman de l’entreprise n’ont relevé de manquement quant au traitement de la demande de remboursement par l’entreprise, et ce, à la suite des plaintes déposées par le plaignant auprès de ces instances. Elle précise également qu’une demande d’examen de mésentente a été rejetée par la Commission à la suite du refus de l’entreprise de donner accès aux renseignements demandés, car la divulgation de ceux-ci « risquerait vraisemblablement d’avoir un effet sur une procédure judiciaire » 2 . Elle indique également qu’une procédure est pendante devant la Cour du Québec, Division des petites créances 3 . Ensuite, à la question de savoir dans quel but des renseignements personnels concernant le plaignant ont été communiqués au tiers et si cela constitue une pratique courante de l’entreprise, l’avocate soutient que comme « les informations reçues [du plaignant] n’étaient pas suffisantes pour continuer l’étude de son dossier, des informations médicales additionnelles auprès des établissements et une demande d’enquête [auprès du tiers] étaient nécessaires afin de déterminer la recevabilité des frais réclamés ». Elle soutient, par ailleurs, que cette demande adressée au tiers a été « ponctuelle et non récurrente ». Elle précise alors dans quel contexte les renseignements personnels contenus dans le dossier du plaignant ont été transmis au tiers. « À cette époque, et faisant suite à certaines contestations émanant de divers assureurs de personnes et organismes gouvernementaux, [l’entreprise] avait dû constater certains problèmes reliés à des réclamations émanant du Cameroun, tels que fausses réclamations découlant de l’absence de soins 2 E. T. c. Desjardins Sécurité financière, 2015 QCCAI 219. 3 Depuis la réponse de l’avocate de l’entreprise, la Cour du Québec, Division des petites créances, a rendu sa décision : … c. Desjardins Sécurité financière, 2016 QCCQ 15211.
N/Réf. : 1009463-S 3 ou traitements, frais excessifs chargés par les établissements, etc. Afin d’éviter de donner suite à des réclamations pouvant être jugées frauduleuses, [l’entreprise] avait mis en place des mesures visant à effectuer des vérifications quant à la véracité et l’authenticité des réclamations produites. Les demandes de réclamations étaient acheminées à une agente spécialisée [qui] devait donc s’assurer de vérifier si les établissements visés existaient, si les médecins étaient dûment inscrits, si les traitements indiqués semblaient correspondre aux traitements requis en semblables circonstances, afin d’établir la véracité des faits. […] Étant dans l’impossibilité d’effectuer elle-même une enquête concernant l’authenticité des documents transmis par le plaignant, [l’agente spécialisée transmet au tiers] une demande d’enquête concernant des factures reçues […] et demande que [le tiers] vérifie : l’authenticité des documents; l’authenticité des médecins et des établissements; finalement, si les frais chargés étaient excessifs. [Le tiers] a, par ailleurs, confirmé la nature fausse de certaines factures produites. » À la question de savoir quelle disposition législative, réglementaire ou contractuelle autorisait une telle communication, elle soutient que cela s’est fait dans le cadre de la Loi sur le privé, plus particulièrement en vertu de l’article 20 de cette loi. Elle précise, alors, que : « les renseignements fournis [au tiers] étaient nécessaires au mandat confié par [l’entreprise] qui était de valider l’authenticité des documents, des médecins et des établissements et d’indiquer si les frais chargés étaient excessifs. Ainsi, [le tiers] était en droit d’accéder, sans le consentement [du plaignant], aux renseignements personnels qui étaient nécessaires à l’exécution du mandat que l’assureur lui avait confié. » Elle soutient également, contrairement à ce qu’affirme le plaignant, que « [i]l est d’ailleurs pertinent de mentionner que l’enquête réalisée par [le tiers], et la réponse fournie à [l’entreprise], a été transmise plusieurs mois après la réception par l’assureur du consentement du [plaignant] à la transmission d’informations à un tiers pour les fins d’analyse de sa demande de prestations.
N/Réf. : 1009463-S 4 Finalement, il est important de préciser qu’habituellement, [l’entreprise] a en mains, au moment de traiter la demande de prestations ou de remboursement, l’autorisation dûment signée par l’adhérent consentant à la transmission des informations personnelles ». AVIS D’INTENTION AU TERME DE L’ENQUÊTE Le 2 février 2017, la Commission transmet à l’entreprise un avis d’intention l’informant qu’à la lumière des éléments dont elle dispose, elle pourrait lui : ordonner de cesser de communiquer les renseignements personnels concernant les bénéficiaires du contrat d’assurance collective à des tiers lorsque ces renseignements ne sont pas nécessaires à l’exécution d’un mandat ou d’un contrat ou lorsqu’ils ne reposent pas sur un consentement valide; recommander de prendre les mesures nécessaires pour rappeler régulièrement à l’ensemble de son personnel des précautions à prendre en matière de protection des renseignements personnels. De plus, la Commission précise à l’entreprise qu’elle s’interroge sur les éléments suivants : L’article 2 « Communication des renseignements personnels » du tableau D.1.3.1 contenu à la section D1 – Dispositions particulières du volet Santé – Régime des employés du contrat d’assurance collective Concernant cet article mis de l’avant par l’avocate de l’entreprise dans une réponse complémentaire transmise à la Direction de la surveillance de la Commission le 7 octobre 2015 quant au fait que le plaignant aurait consenti à la communication de ses renseignements personnels, la Commission demande à l’entreprise de préciser l’application de cet article en l’espèce. Le courriel envoyé au tiers Concernant le courriel envoyé au tiers, la Commission mentionne qu’à la lumière des réponses et des documents dont elle a pris connaissance, elle comprend que la séquence des évènements est la suivante : - le plaignant était, au moment des faits, bénéficiaire de l’assurance collective de l’entreprise;
N/Réf. : 1009463-S 5 - le plaignant a transmis à l’entreprise, entre mai et juillet 2012, des documents médicaux signés par différents médecins qu’il a consultés pendant son séjour à l’étranger. Ces documents ont été transmis par le plaignant dans le cadre d’une demande de remboursement pour frais médicaux (assurance-voyage) faite en vertu du contrat d’assurance collective dont il bénéficiait; - l’entreprise a demandé par courriel au tiers, le 29 août 2012, de vérifier l’authenticité de ces documents, et ce, « compte tenu des discordances au dossier » comme soutenu par l’avocate de l’entreprise dans sa réponse du 14 septembre 2015; - l’entreprise a communiqué au tiers, le 29 août 2012, les documents médicaux transmis par le plaignant; - la division « prestation voyage » de l’entreprise a reçu, le 18 septembre 2012, le formulaire intitulé « Autorisation à la collecte et à la communication de renseignements personnels » signé par le plaignant le 11 septembre 2012. Elle comprend également qu’outre le consentement allégué en vertu du contrat d’assurance collective, l’entreprise justifie la communication faite au tiers au regard de l’article 20 de la Loi sur le privé qui prévoit certaines règles applicables à l’accessibilité des renseignements personnels dans le cadre de l’exploitation d’une entreprise. Toutefois, la Commission s’interroge sur la nature de la demande faite au tiers. A-t-elle été faite dans le cadre d’un mandat ou d’un contrat de service ou d’entreprise ? Le cas échéant, il revient à l’entreprise de démontrer que le courriel envoyé le 29 août 2012 répond aux critères du mandat ou d’un tel contrat. Par ailleurs, que la communication s’appuie sur le consentement ou sur l’article 20 de la Loi sur le privé, la Commission indique, dans son avis d’intention, qu’elle s’interroge sur la nécessité de communiquer au tiers l’intégralité des documents contenant les renseignements personnels du plaignant pour en vérifier l’authenticité. OBSERVATIONS DE L’ENTREPRISE Le 3 mars 2017, l’avocate répond pour l’entreprise. Elle soutient « qu’en tout temps pertinent et à la demande de l’assureur, le plaignant a donné son consentement à la cueillette et à la divulgation de renseignements personnels ».
N/Réf. : 1009463-S 6 En ce qui concerne l’application de l’article 2 « Communication des renseignements personnels » du tableau D.1.3.1. du contrat d’assurance collective, l’avocate précise que cette section doit se lire avec le tableau D.3.2.1 dudit contrat, plus particulièrement avec la section G3 qui prévoit que « l’assurance des soins complémentaires de santé est assujettie à la section D.1. Disposition particulière du volet Santé – Régime des employés du contrat d’assurance collective ». Ces articles se lisent comme suit : Parte D – Volet Santé – Régime des employés Section D1 – Dispositions particulières du volet Santé – Régime des employés […] D. 1.3 – Coordination des prestations et partage des remboursements (Dispositions particulières du volet Santé – Régime des employés) Tableau D. 1.3.1 – Coordination des prestations et partage des remboursements […] 2. Communication des renseignements nécessaires L’assureur peut, sous réserve du consentement de la personne assurée si la loi le prescrit, obtenir de toute personne ou communiquer à ladite personne tout renseignement qui pourrait être nécessaire à l’application des dispositions de coordination des prestations et de partage des remboursements ou qui pourrait faciliter le paiement des prestations du volet SANTÉ. […] Section D3 – Assurance des soins complémentaires de santé – Régime des employés […] D. 3.2. Conditions générales d’admissibilité des frais (Assurance des soins complémentaires de santé – Régime des employés) Tableau D. 3.2.1 – Conditions générales d’admissibilité des frais (Assurance des soins complémentaires de santé – Régime des employés) […]
N/Réf. : 1009463-S 7 G3. L’assurance de soins complémentaires de santé est assujettie à la section D1. DISPOSITIONS PARTICULIÈRES DU VOLET SANTÉ – RÉGIME DES EMPLOYÉS […] 4 Par conséquent, elle allègue que « l’article 2 [du Tableau D. 1.3.1.] vise expressément la communication de renseignements qui pourrait faciliter le paiement des prestations du volet Santé, […] ». En ce qui concerne le courriel envoyé au tiers, l’avocate soutient que « ce courriel a été transmis dans un contexte de détection de la fraude et vérification de l’exactitude des données transmises. À cette époque, les divers intervenants en assurance voyage avaient été mis en garde par la Régie de l’assurance maladie du Québec et l’Association canadienne des compagnies d’assurances de personne d’une augmentation de réclamation frauduleuse émanant du Cameroun. C’est dans ce contexte que les assureurs demandaient l’implication et l’intervention de l’Ambassade canadienne afin de détecter et réprimer la fraude ». Elle soutient également qu’ « au moment où [le tiers] transmet la réponse, soit le 29 janvier 2013, il appert clairement que l’entreprise détenait le consentement du plaignant quant à la transmission et la réception desdits renseignements par [le tiers] ». De plus, l’avocate allègue « que le présent dossier met en cause une situation survenue en 2012 et qu’elle constitue un cas isolé » et que « depuis ce temps, et afin d’éviter toute situation potentiellement litigieuse, et puisque la protection des renseignements personnels est au cœur même des activités [de l’entreprise], le gestionnaire responsable de l’Équipe de prestations d’assurance voyage requiert et rappelle fréquemment aux chargés de dossiers d’obtenir, en tout temps, le consentement de l’assuré ou de l’adhérent avant d’effectuer toute démarche de cueillette ou la vérification d’informations auprès de mandataires, tiers ou autres organismes ». Elle joint à sa réponse des documents expliquant la politique de l’entreprise et les informations accessibles à tous les employés en ce qui a trait à la protection 4 Nos soulignements.
N/Réf. : 1009463-S 8 des renseignements personnels et aux mesures à prendre lors de la communication d’informations par courriel. ANALYSE La Loi sur le privé établit certaines règles relatives à la protection des renseignements personnels qu’une entreprise doit respecter. Ces règles visent à établir un équilibre entre le droit d’un individu au respect de sa vie privée et les besoins d’une entreprise en matière de collecte, d’utilisation et de communication de renseignements personnels dans le cadre de l’exercice de ses activités 5 . La Loi sur le privé prévoit qu’une personne qui exploite une entreprise ne doit recueillir que les renseignements personnels nécessaires à l’objet du dossier qu’elle constitue sur autrui et qu’elle doit le faire par des moyens licites 6 . En principe, ces renseignements doivent être recueillis auprès de la personne concernée, mais la Loi sur le privé prévoit qu’une entreprise peut les recueillir auprès de tiers avec le consentement de la personne concernée ou encore sans son consentement si la loi l’autorise ou qu’elle a un intérêt sérieux et légitime pour le faire 7 . La Loi sur le privé prévoit aussi que nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu’il détient sur autrui, à moins que la personne concernée n’y consente ou que la loi l’autorise 8 . La Loi sur le privé prévoit également des règles applicables au consentement 9 et à l’accessibilité des renseignements personnels dans le cadre de l’exploitation d’une entreprise 10 . Après avoir pris connaissance des réponses fournies par l’avocate de l’entreprise au cours de l’enquête et des observations formulées à la suite de son avis d’intention, la Commission constate que le plaignant, au moment des faits, était à l’emploi de l’entreprise et qu’à ce titre il avait adhéré au contrat d’assurance collective souscrit par celle-ci. Elle constate également que le plaignant a soumis à l’entreprise, début août 2012, une demande de remboursement pour frais médicaux encourus, de mai à juillet 2012, lors d’un voyage à l’étranger. 5 Loi sur le privé, art. 1, Code civil du Québec, RLRQ, c. C-1991, art. 1525. 6 Loi sur le privé, art. 5. 7 Loi sur le privé, art. 6. 8 Loi sur le privé, art. 13. 9 Loi sur le privé, art. 14. 10 Loi sur le privé, art. 20.
N/Réf. : 1009463-S 9 La Commission constate aussi que l’agente spécialisée, en charge d’analyser la demande de remboursement du plaignant pour l’entreprise, a demandé au tiers, le 29 août 2012, de procéder à certaines vérifications. Pour ce faire, l’agente spécialisée a communiqué au tiers un certain nombre de documents contenant des renseignements personnels concernant le plaignant. Elle constate enfin que, même si le courriel a été envoyé en août 2012 au tiers, ce dernier n’a procédé aux démarches demandées qu’à partir de la réception par l’entreprise, soit en septembre 2012, du formulaire « Autorisation à la collecte et à la communication de renseignements personnels » signé par le plaignant, comme mentionné par l’avocate de l’entreprise dans sa réponse du 14 septembre 2015. Ce formulaire prévoit notamment que le plaignant autorise l’entreprise : « a) À ne recueillir auprès de toute personne physique ou morale ou de tout organisme public ou parapublic que les seuls renseignements personnels détenus à mon sujet qui sont nécessaires au traitement de mon dossier. Sans que cette liste soit exhaustive, cette collecte pourra se réaliser auprès de […]; b) À ne communiquer auxdites personnes ou organismes que les seuls renseignements personnels qu’elle détient à mon sujet et qui sont nécessaires à l’objet du dossier; c) […]. » Partant, même si le plaignant avait adhéré au contrat d’assurance collective de l’entreprise et que, par conséquent, l’entreprise pouvait se fonder sur ce contrat pour analyser la demande de remboursement, la Commission est d’avis que l’entreprise ne pouvait communiquer au tiers des documents contenant des renseignements personnels concernant le plaignant avant de recevoir le formulaire « Autorisation à la collecte et à la communication de renseignements personnels » signé par le plaignant. En effet, en vertu de l’article 2 du Tableau D. 1.3.1 reproduit dans la rubrique « Observations de l’entreprise » de la présente décision, la collecte et la communication de renseignements personnels par l’entreprise ne peuvent se faire que « sous réserve du consentement de la personne assurée si la loi le prescrit », ce qui est le cas de plusieurs dispositions de la Loi sur le privé. Toutefois, la Commission constate que l’entreprise a, depuis les faits à l’origine de la plainte, modifié sa Politique sur la protection des renseignements personnels et rappelle régulièrement à ses employés les précautions à prendre en matière de protection des renseignements personnels, notamment quant à la
N/Réf. : 1009463-S 10 nécessité d’obtenir le consentement de la personne concernée avant ou au moment de collecter, d’utiliser ou de communiquer à des tiers de tels renseignements. La Commission a pris connaissance de ce document et s’en déclare satisfaite. CONCLUSION En conséquence, la Commission estime que la plainte est fondée. Cependant, compte tenu des circonstances particulières du dossier et des modifications apportées par l’entreprise à la suite de la plainte, la Commission conclut qu’aucune ordonnance n’est requise en l’espèce. La Commission ferme donc le présent dossier. « Original signé » Cynthia Chassigneux Juge administratif c. c. Monsieur …
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.