Accueil » PRISE DE POSITION NATIONALE SUR L’AUTHENTIFICATION DES DONNÉES ÉCHANGÉES ENTRE COURTIERS ET ASSUREURS

Advert

Accueil » PRISE DE POSITION NATIONALE SUR L’AUTHENTIFICATION DES DONNÉES ÉCHANGÉES ENTRE COURTIERS ET ASSUREURS

PRISE DE POSITION NATIONALE SUR L’AUTHENTIFICATION DES DONNÉES ÉCHANGÉES ENTRE COURTIERS ET ASSUREURS

janvier 10, 2025

Il est beaucoup plus efficient pour les courtiers et les assureurs d’échanger des informations par voie électronique qu’en ayant recours aux méthodes traditionnelles.
L’objet commercial de ces échanges et les rôles des parties à la correspondance n’ont toutefois jamais changé; les rôles distincts et les responsabilités respectives du courtier et de l’assureur demeurent les mêmes.
Il est donc essentiel que les règles et les protocoles de sécurité visant les échanges de données par voie électronique reflètent le modèle économique sous-jacent.

Les dirigeants de cabinets de courtage gèrent leurs propres activités et sont responsables en dernier ressort des actions de leurs employés.
Un assureur confère à chaque cabinet de courtage le pouvoir d’engager sa responsabilité, et les contrats entre courtiers et assureurs précisent clairement que les cabinets de courtage sont responsables des erreurs ou des omissions de leurs employés, ou de leurs manquements en ce qui concerne les obligations relatives au pouvoir d’engager la responsabilité de l’assureur.  

Les courtiers communiquent avec les assureurs par divers moyens, par exemple les notes écrites et le téléphone ou, plus récemment, les courriels et les échanges de données par voie électronique.
Les assureurs n’attribuent pas à un employé particulier le pouvoir de correspondre avec les souscripteurs ou de transmettre les instructions du client; depuis toujours, c’est aux dirigeants du cabinet de courtage qu’incombe la responsabilité de désigner cet employé.

Le fait que les données soient transmises aux assureurs par voie électronique par l’intermédiaire d’un site Web ne modifie en rien cette responsabilité. Un cabinet de courtage continue de superviser la formation et les actions de ses employés et est responsable des décisions qui sont prises en son nom.
Cette supervision s’étend à la sécurité des réseaux internes et des systèmes de gestion du cabinet de courtage qui repose sur des identifiants utilisateurs et des mots de passe individuels contrôlés de façon centralisée.
Lorsque l’identifiant d’un utilisateur est supprimé ou désactivé, cet utilisateur perd tous ses accès, y compris aux applications liées auxquelles le système central de la société de courtage donne accès.

Il existe toutefois des risques importants lorsqu’une personne peut accéder directement aux systèmes d’un assureur sans passer par le système de gestion du cabinet de courtage dûment identifié.
S’il suffit d’avoir une connexion Internet pour accéder au système d’un assureur, quiconque disposant d’un identifiant et d’un mot de passe peut donc ouvrir une session sans peine dans ce système, peu importe où il se trouve.
Lorsqu’un employé quitte ses fonctions, les dirigeants du cabinet de courtage doivent s’assurer d’annuler sans délai les mots de passe de cet employé pour chacun des assureurs, mais ces annulations demandent souvent l’intervention des administrateurs de système surchargés.

Outre l’exposition potentielle à ce risque important, la complexité de la tâche de programmation et les activités de maintenance continues requises pour la gestion des mots de passe individuels des nombreux employés du cabinet de courtage pour les divers assureurs entraînent des coûts non négligeables à la fois pour les courtiers et (particulièrement) pour les assureurs.

L’adoption d’une méthode d’authentification fondée sur un mot de passe unique attribué au cabinet de courtage permettrait de réduire le risque d’une utilisation à mauvais escient par des parties externes, et éliminerait plusieurs couches de complexité et de coûts inutiles. Le système de l’assureur pourrait vérifier que le message entrant provient bel et bien d’un cabinet de courtage autorisé et que l’information reçue est bel et bien approuvée par le cabinet.

Il va sans dire que l’expéditeur d’une communication, qu’il s’agisse d’un employé du cabinet de courtage ou de l’assureur, devra demeurer identifiable aux fins de l’audit.
De plus, le cabinet de courtage devra prendre les mesures nécessaires pour assurer la sécurité et la confidentialité de tous les mots de passe des utilisateurs, et veiller à ce que l’accès aux systèmes internes soit supprimé sans délai lorsqu’un employé quitte ses fonctions.

L’ACAC souligne de nouveau le pouvoir dont disposent les cabinets de courtage pour gérer leurs propres activités et leur personnel.
Pour servir l’intérêt de tous les acteurs du secteur de l’assurance, l’ACAC est déterminée à promouvoir une utilisation efficace de la technologie pour mieux servir les clients, et l’abandon des modèles de communication qui privilégient l’utilisation d’un portail.
L’ACAC invite les assureurs à prendre en considération les facteurs suivants lorsqu’ils conçoivent et établissent des interfaces électroniques avec les courtiers partenaires.

Principes du modèle de sécurité de l’ACAC

  • Les contrats avec les assureurs doivent être conclus au nom des cabinets de courtage et non de leurs employés.
  • Les cabinets de courtage assument la responsabilité de la formation et des actions de leurs employés, du pouvoir qui leur est conféré et de leur accès aux réseaux et ressources de communication.
  • Les modes de communication électroniques ne modifient en rien le modèle d’affaires traditionnel entre courtiers et assureurs.
  • L’authentification des données transmises par voie électronique aux assureurs peut être contrôlée de façon plus sécuritaire par les cabinets de courtage lorsqu’elle s’effectue à partir du système (c.-à-d. du système de gestion du cabinet de courtage au système de l’assureur).
  • L’authentification au niveau du système de gestion réduit les coûts, la complexité et l’inefficience inhérents aux mesures de sécurité fondées sur des identifiants utilisateurs et des mots de passe.
  • Les parties à la correspondance doivent être identifiables, mais ne devraient pas faire l’objet d’une authentification supplémentaire.

 

Télécharger la version PDF

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Faites partie de la communauté.

Abonnez-vous dès aujourd’hui!
Obtenez les nouvelles d’intérêt, les mises à jour et les contenus exclusifs directement dans votre boîte de courriels.

By submitting this form, you are consenting to receive marketing emails from: My WordPress. You can revoke your consent to receive emails at any time by using the SafeUnsubscribe® link, found at the bottom of every email. Emails are serviced by Constant Contact

© 2025, Insurance Brokers Association of Canada

Veiller à l’harmonisation avec les cadres réglementaires et les normes

Les principes s’harmoniseront avec les lignes directrices internationales en matière d’IA (p. ex., ISO 42001, cadres de l’OCDE) et les règlements propres à certains secteurs (p. ex., RIBO, BSIF, AMF) suivies par les parties prenantes. Le respect des normes juridiques aidera les organisations à composer avec les exigences des différents territoires, à promouvoir des pratiques durables et à prévenir l’utilisation abusive des données d’IA.

Encourager l’innovation responsable en IA

Les principes encourageront la communauté des courtiers à innover de manière responsable en développant des systèmes d’IA qui donnent la priorité au bien-être des consommateurs, à l’inclusion et à l’équité, tout en évaluant les répercussions sociales, environnementales et économiques de leurs solutions d’IA.

Promouvoir la responsabilisation dans la surveillance de l’IA

Les principes d’IA renforceront la responsabilisation à tous les niveaux des organisations et des tiers collaborateurs. La détermination des rôles et la surveillance humaine dans les processus d’IA améliorent la traçabilité, permettent la prise de décisions éclairées et intègrent des mécanismes de recours éthique lorsque des erreurs ou des résultats défavorables se produisent.

Assurer la confiance des consommateurs et l’équité

Les principes de gouvernance de l’IA appuient l’engagement envers la transparence, l’équité et la responsabilisation. Des résultats explicables et une communication proactive avec les consommateurs favorisent la confiance parmi la
communauté des courtiers en général, leurs clients et les parties prenantes externes.

Soutenir les normes de déontologie et la collaboration des parties prenantes

En intégrant les principes de gouvernance de l’IA, les courtiers membres peuvent s’aligner sur leur mission de favoriser une culture éthique parmi leurs parties prenantes. Lutter contre les préjugés, veiller à la protection des consommateurs et promouvoir l’inclusion, ce qui renforcera l’engagement envers des pratiques éthiques en matière d’IA en collaboration avec les intervenants du secteur, les organismes de réglementation et les fournisseurs de solutions tiers.

Cas d’utilisation no 2 de la preuve de concept pour l’IA : recherche de couverture et analyse des lacunes assistées par l’IA

Exigences techniques

Modèles d’IA avec contexte sur les données comparatives sectorielles et les structures des polices

Interprétation des modalités, avenants et clauses des polices existantes

Intégration au SGC pour récupérer le profil du client, les informations sur l’exposition et les données sur les polices passées

Fonctionnalités de sécurité et de conformité des données pour protéger les informations des clients

Périmètre fonctionnel

Analyser les données soumises par les clients, y compris les expositions, le contexte commercial, etc.

Extraire et interpréter les modalités des polices existantes (p. ex., avenants, exclusions, clauses)

Comparer avec les modèles de couverture habituels et les indications sectorielles pour identifier les lacunes de couverture

Établir l’ordre de priorité des lacunes de couverture identifiées et fournir une justification fondée sur des considérations (p. ex., normes sectorielles, risque)

Recommander des produits et des options de couverture adaptés au profil du client et générer des résumés pour les discussions avec le client

Cas d’utilisation de la preuve de concept pour l’IA no 1 : intégration des clients et prise de données alimentées par l’IA

Exigences techniques

Intégration au SGC : Intégration au SGC pour la saisie et le stockage sécurisés des données

Intégration au ARS appliqué : Intégration au ARS appliqué pour activer la génération automatique de soumissions

Analystes spécialisés pour le renouvellement : Capacité d’analyse de documents pour 5 à 6 assureurs avec une grande précision

Cadre d’extensibilité : Architecture modulaire pour prendre en charge les améliorations futures et l’automatisation accrue

Périmètre fonctionnel

Robot conversationnel pour l’intégration des clients : Recueillir les renseignements des clients, répondre aux questions d’intégration et guider les utilisateurs dans le processus d’intégration

Collecte et stockage des données : Saisir et stocker les données recueillies directement dans le SGC du courtier

Traitement des documents : Permettre aux clients de téléverser des documents de renouvellement et extraire des données clés pour accélérer le processus d’intégration

Génération des soumissions : Générer des soumissions en fonction des informations recueillies