Protection des données et des renseignements personnels

Les assureurs sont tenus de suivre des pratiques de gestion saines et prudentes et de saines pratiques commerciales. À ces fins, la protection des renseignements personnels obtenus des consommateurs est un enjeu prédominant.

L’Autorité s’attend à ce que ses assujettis, au-delà de se conformer aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé Ce lien s'ouvrira dans une nouvelle fenêtre, déterminent et évaluent adéquatement les risques reliés à la protection des renseignements personnels.

À cet effet, la Ligne directrice sur les saines pratiques commerciales (pdf - 503 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreJuin 2013 de l’Autorité  énonce les attentes à l’égard de la protection des renseignements personnels. Il y est prévu que la politique de protection de la confidentialité des renseignements personnels, adoptée par l’institution, permette d’assurer la conformité de celle-ci aux dispositions de la Loi sur la protection des renseignements personnels dans le secteur privéCe lien s'ouvrira dans une nouvelle fenêtre en plus de refléter les meilleures pratiques dans ce domaine.

Cybersécurité

De plus, considérant le contexte où l’adoption des innovations technologiques a contribué à accentuer les risques de perte, de vol, de corruption et d’accès non autorisé aux données, les assureurs doivent mettre en place des mesures afin de bien gérer les risques liés aux technologies de l’information et des communications. La Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications (pdf - 632 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreFévrier 2020, effective depuis le 27 février 2020 pour une mise en œuvre d’ici le 27 février 2021, vient préciser les attentes spécifiques à cet égard.

Relation avec des tiers et impartition

La Ligne directrice sur la gestion des risques liés à l’impartition (pdf - 317 Ko)Ce lien s'ouvrira dans une nouvelle fenêtrePublication initiale avril 2009 - Mise à jour décembre 2010 pourrait également s’appliquer aux ententes d’impartition touchant à certaines des obligations relatives à la protection des données ou à la cybersécurité. L’assureur devrait ainsi disposer d’une politique et de procédures de gestion des risques liés aux activités d’impartition. La politique et les procédures devraient notamment permettre de déterminer, de mesurer, d’atténuer et de contrôler ces risques.

Divulgation des incidents

La Ligne directrice sur la gestion des risques liés aux technologies de l’information et des communications (pdf - 632 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreFévrier 2020 prévoit notamment les attentes de l’Autorité quant à l’importance de mettre en place les mécanismes nécessaires pour notifier promptement les parties intéressées internes et externes, incluant l’Autorité, lors d’un incident opérationnel. La Ligne directrice sur la gestion du risque opérationnel (pdf - 708 Ko)Ce lien s'ouvrira dans une nouvelle fenêtreDécembre 2016 énonce des attentes de l’Autorité à l’égard de la gestion des incidents opérationnels.