Processus de l’ACCAP relatif aux declarations électroniques

Date de parution : 01/07/2020
Personne(s)-ressource(s) : Kate Walker

Introduction

Les pratiques liées au commerce électronique de l’assurance évoluent à mesure des avancées technologiques. Les sociétés canadiennes d’assurances vie et maladie (les « Assureurs ») et les autres entités s’occupant de l’administration des contrats d’assurances et des régimes collectifs d’avantages sociaux pour le compte des Assureurs, comme les tiers administrateurs, les employeurs, et les titulaires de contrats/promoteurs de régimes collectifs (les « Tiers »), doivent veiller à ce que leurs pratiques d’affaires soient conformes avec toutes les lois applicables et qu’elles répondent aux attentes des autorités de réglementation.

Objectif et portée

Le Processus de l’ACCAP relatif aux déclarations électroniques (le « Processus ») énonce les processus recommandés aux Assureurs et aux Tiers (désignés collectivement « Société » ou « Sociétés ») qui agissent pour le compte des Assureurs lorsqu’ils recueillent, stockent et utilisent des déclarations par voie électronique. Chaque Société doit décider si elle acceptera, conservera et utilisera de telles déclarations, et de quelle manière elle le fera.

Le processus appliqué par la Société pour recueillir, stocker ou utiliser une déclaration électronique doit comprendre des mesures raisonnables pour protéger l’intégrité de la déclaration.

Processus recommandés

Le processus devrait :

1. S’appuyer sur un système électronique conçu, adopté, ou approuvé par la Société, et capable d’accepter et de stocker les désignations effectuées par les titulaires de polices ou, dans le cas de l’assurance collective, par la personne dont la vie est assurée (désignés collectivement « Assuré »). Si la Société choisit d’accepter par voie électronique des déclarations plus complexes, faisant par exemple intervenir des signataires multiples ou des bénéficiaires en sous-ordre, le système devrait être suffisamment évolué pour prendre en charge les exigences additionnelles. Dans tous les cas, la sécurité de l’information doit être assurée en tout temps, conformément aux exigences de la Société en matière de stockage électronique des renseignements permettant d’identifier les personnes.

2. Capturer la déclaration et la signature électronique¹ de l’Assuré confirmant son intention de soumettre cette déclaration, conformément aux exigences prévues par la loi sur le commerce électronique applicable.

3. Utiliser une technologie de signature électronique capable de capturer la déclaration et la signature de l’Assuré sous forme électronique. Lorsqu’une telle signature est utilisée, elle, ou le processus utilisé pour l’obtenir, devrait :

i. être relié exclusivement à l’Assuré;
ii. permettre d’identifier l’Assuré;
iii. permettre à l’Assuré de garder le contrôle exclusif de tous identifiants ou facteurs d’authentification demandés; et
iv.être relié à la déclaration ou à tout autre document (comme une proposition ou un formulaire d’adhésion) en cause, de manière à ce que toute modification ultérieure des données soit repérable.

4. Certifier l’identité de l’Assuré au moyen d’un système de vérification permettant :

a) de confirmer l’identité de la personne et le lien qui la rattache au document, par un dispositif d’authentification sûr, par exemple :
i. la connexion avec un mot de passe;
ii. des questions d’identification personnelle, ou
iii. d’autres mesures de sécurité logiques et opérationnelles; et

b) d’identifier le document et, au besoin, d’en déterminer l’origine et la destination en tout temps.

5) Comporter un mécanisme faisant en sorte :

a. que la déclaration soit accessible à l’Assuré au moment où elle est produite, de sorte que ce dernier puisse prendre des mesures pour pouvoir s’y reporter ultérieurement;
b. que la déclaration soit stockée (électroniquement) de manière à empêcher tout accès non autorisé;
c. qu’un avis de réception soit émis par la Société, par voie électronique ou autre.

Les caractéristiques décrites ci-dessus clarifient les mesures de sécurité qui s’imposent lorsque l’Assuré choisit d’utiliser des moyens électroniques, et que la Société choisit d’accepter des
déclarations électroniques et qu’elle a en place des procédures fiables. Les Sociétés devraient soumettre leurs processus relatifs aux déclarations électroniques à l’examen
d’experts en sécurité de l’information, tant avant leur mise en œuvre qu’à intervalles réguliers par la suite, afin de s’assurer qu’il a été tenu compte des processus recommandés ci-dessus.

Autres considérations

À mesure qu’évoluent la technologie et les lois, les Sociétés sont responsables d’actualiser leurs propres processus électroniques et de s’assurer de leur conformité aux lois. Les Sociétés devraient inclure cet élément d’autoévaluation dans leur système de gestion de la conformité réglementaire, avec l’approbation voulue d’un haut dirigeant (p. ex., le responsable de la gestion de la conformité ou de la gestion des risques).

Une attention particulière devrait être portée aux désignations de bénéficiaires irrévocables, qui peuvent nécessiter d’autres processus.

Le présent document ne tient pas lieu d’avis juridique; les Sociétés devraient obtenir un avis juridique indépendant.

Advenant une quelconque divergence entre le Processus et une loi applicable, c’est la loi qui l’emporte.


24 décembre 2019
__________________________________
¹ Au Québec, une signature n’est pas expressément exigée relativement à une déclaration faite en vertu de la loi. Les déclarations électroniques doivent être conformes à l’article 2446 du Code civil du Québec, LQ 1991, c 64, et à la Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1.