Utilisation des technologies de l'information

Le représentant peut utiliser les technologies de l’information (TI) pour « rencontrer » un client et lui offrir des produits ou services financiers.

Toutefois, dans certaines situations, l’usage des TI pourrait rendre plus ardue l’exécution de ses obligations légales et déontologiques à l’égard du client. En effet, le niveau de connaissances et d’aisance en TI varie d’une personne à l’autre. Une utilisation inadéquate de ces technologies, par le représentant ou par son client, pourrait donc poser problème non seulement sur le plan de la protection des renseignements personnels et de la vérification de l'identité du client, mais également sur le plan de la qualité de la compréhension et du consentement du client.

Le représentant doit donc analyser chaque situation à la lumière des circonstances et caractéristiques particulières du client pour déterminer si les échanges au moyen des TI lui conviennent.

Lorsqu’un représentant « rencontre » un client en ayant recours à des TI, par exemple par une caméra Web, une conférence téléphonique ou une vidéoconférence, il doit veiller à respecter toutes ses obligations légales et déontologiques comme s’il le rencontrait en personne – avec les adaptations nécessaires décrites ci-dessous.

Conclure des actes juridiques sur support électronique, échanger avec un client à l’aide des TI, utiliser le courriel ou d’autres services de messagerie ainsi que des données infonuagiques, tout cela présente de nombreux défis sur le plan de la sécurité. En effet, la protection des renseignements personnels du client est l’enjeu le plus important lorsque le représentant utilise les TI.

Le représentant doit s’assurer de la confidentialité et de la sécurité des renseignements personnels recueillis auprès de son client, que ce soit lors de leur collecte, de leur utilisation, de leur communication, de leur conservation ou de leur destruction.

Quand le représentant stocke ces renseignements dans son ordinateur, sa tablette, son cellulaire ou encore son service infonuagique, aussi appelé le « cloud », il s’expose à des risques de fuite, vol ou perte de données ainsi que d’usurpation d’identité.

Le représentant doit en tenir compte et prendre les mesures qui s’imposent, car il demeure responsable de la protection des renseignements personnels de ses clients. Par exemple, il ne devrait jamais laisser son portable, sa tablette ou son téléphone cellulaire sans surveillance, dans une voiture ou dans un lieu public.

Communication de renseignements

Lorsque le représentant envoie de l’information sous forme de courriel ou d’infolettre à plusieurs clients, il doit notamment protéger leurs renseignements personnels…

  • en vérifiant bien l’adresse courriel de chaque client avant un envoi afin de ne pas transmettre par erreur des renseignements personnels à un autre destinataire;
  • en insérant les adresses courriel des différents clients en copie conforme invisible;
  • en utilisant le chiffrement pour préserver la confidentialité des données et garantir leur intégrité et leur authenticité lors de l’envoi.

Lorsqu’il est question de sécurité, le support utilisé devrait permettre d’identifier l’expéditeur et le destinataire et éviter toute possibilité de contestation quant à l’intégrité et la provenance des messages. De plus, il devrait permettre de sécuriser l’échange des données, de fiabiliser la conservation des données échangées et de bloquer l’accès aux données confidentielles.

Par exemple, l’utilisation d’un code d’accès, d’un logiciel antivirus et d’un pare-feu, la suppression des courriels louches et de leurs pièces jointes ainsi que l’activation de la mise en veille automatique constituent pour le représentant de bons moyens de protéger les renseignements personnels qu’il détient sur ses clients.

Le représentant doit voir à ce que son ordinateur de travail ne soit utilisé qu’à des fins professionnelles et que par des personnes autorisées.

Par ailleurs, il doit également éviter d’utiliser un ordinateur public ou celui d’un tiers. Et s’il doit le faire, il veillera à :

  • utiliser un réseau VPN (virtual private network) pour se connecter de façon sécuritaire à son ordinateur professionnel à distance;
  • effacer ses traces – documents téléchargés (incluant les documents imprimés, qui sont nécessairement téléchargés), fichiers Internet temporaires, éléments supprimés dans la corbeille, mots de passe, etc.

L’outil TI et protection des renseignements personnels indique des mesures technologiques que le représentant peut mettre en place pour réduire les risques de fuite de données ou d’accès indu aux données contenues dans les dossiers clients. Ces mesures comportent des éléments à considérer si le représentant utilise le chiffrement, des services infonuagiques, la numérisation ou des fournisseurs de services informatiques. L’outil propose également des moyens de protéger les renseignements personnels des clients lors des déplacements du représentant. De plus, il offre des suggestions pour aider le représentant à répondre adéquatement à une menace réelle de préjudice, comme divulguer la violation ou réagir rapidement et de manière à limiter les dommages qui pourraient être causés au client. Enfin, il recommande l’adoption d’un plan de continuité des affaires en cas de crise.

Un consentement libre et éclairé est exigé pour la conclusion de tout acte juridique. Le conseiller doit donc s’assurer que son client possède tous les renseignements nécessaires à sa compréhension afin de pouvoir manifester un consentement valide à la conclusion du contrat. 

Toute personne peut apposer une signature électronique sur un document pour manifester son consentement. 

Toutefois, les exigences en matière de signature varient d'une institution financière à l’autre (assureur, cabinet, courtier, agent général, etc.). Il faut donc vérifier auprès de celle-ci ou du responsable de la conformité, selon le cas.

Si le conseiller désire acheminer à son client un document par un moyen technologique afin d’obtenir sa signature électronique, il doit s’assurer de la protection des informations confidentielles qui se trouvent au document. Le support utilisé devrait donc permettre d’identifier l’expéditeur et le destinataire pour éviter toute possibilité de contestation quant à l’intégrité et la provenance des messages. De plus, il devrait permettre de sécuriser l’échange des données, de fiabiliser la conservation des données échangées et de bloquer l’accès aux données confidentielles. Par exemple, les documents pourraient être transmis par le biais d’une voûte sécurisée ou par courriel si une application de courriels cryptés (ou chiffrés) est utilisée et dont la connexion est sécurisée dans les deux sens.

La signature numérique est un type de signature électronique qui s’appuie entre autres sur la cryptographie. Grâce à cette technologie, une personne peut par exemple reproduire sa signature manuelle sur un support électronique. À cette étape, la signature n’est pas visible – elle correspond à une séquence de caractères. Quand la signature est ensuite apposée sur un document électronique, cela a pour effet de lier directement le signataire au document et d’avoir valeur d’identification. Cette technologie permet d’ailleurs au signataire de vérifier que les données du document sur lequel il appose sa signature n’ont pas été modifiées (et donc d’assurer l’intégrité des données ou du document). Elle a également pour effet d’empêcher le signataire de nier être le signataire du document (non-répudiation). 

Si le document à signer comprend des données confidentielles ou si la signature est susceptible d’être contestée, la signature numérique serait le choix approprié. 

En résumé, lorsqu’un lien fiable entre la signature électronique ou numérique, la personne et le document est établi et que l’intention de signer est également confirmée, cette signature sera considérée comme valide et opposable au signataire.
 

Le représentant peut choisir, par souci d’efficacité, d’économie d’espace ou même de protection de l’environnement, de créer un bureau virtuel. Il peut alors transférer des documents papier sur un support informatique tel qu’un ordinateur, un cédérom, une clé USB ou encore dans un nuage, sous réserve de respecter les conditions prévues par la loi.

Le représentant peut numériser tous les documents, même ceux portant des signatures, si cela est fait de façon adéquate. Pour plus de détails à cet égard, consultez l’outil TI et protection des renseignements personnels.

En conservant de façon sécuritaire les renseignements numérisés sur son client, le représentant réduit les risques qu’ils se retrouvent entre les mains de tiers qui ne devraient pas y avoir accès.

Le représentant doit, pour chaque document numérisé, conserver certains renseignements sur papier (ou sous forme de métadonnées ajoutées automatiquement au fichier lors de la numérisation, si le numériseur le permet) :

  • Identification de l’appareil ayant servi à la numérisation
  • Identification du logiciel ayant servi à la numérisation
  • Identification du serveur où ont été transférées les données
  • Garanties du fabricant quant à la préservation de l’intégrité des données lors du transfert entre le document source et le document numérique

Ces renseignements doivent être conservés aussi longtemps que le document numérisé auquel ils se rapportent. Pour de l’information et des conseils sur le bureau à distance et l’infonuagique, consultez les fiches suivantes publiées par la Commission d’accès à l’information :

Il est préférable que le représentant fasse appel aux services de salariés ou de contractuels pour la numérisation de ses dossiers clients, en leur faisant signer un engagement de confidentialité au préalable, plutôt que d’avoir recours à des amis ou à des membres de sa famille.

Faire affaire avec une firme spécialisée en numérisation documentaire et en gestion de la clientèle, et dont les serveurs sont idéalement situés au pays, constitue une bonne option puisque le travail est exécuté par des professionnels en toute sécurité, rapidement et pour un prix déterminé d’avance.