Un couple prétend qu'il y a eu communication inappropriée de leur dossier téléphonique à un tiers
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-54
[Principes 4.3, 4.5, 4.7.4 et 4.9 de l'annexe 1, et paragraphes 7(1)d), 8(3) et 8(5)]
Plainte
Des époux se sont plaints qu'une entreprise de télécommunications :
(1) ait communiqué de façon inappropriée des renseignements personnels de leur dossier téléphonique à une tierce personne à leur insu et sans leur consentement; et
(2) leur ait refusé l'accès à leurs renseignements personnels relativement à leur compte de téléphone.
Résumé de l'enquête
Les plaignants avaient des motifs de croire qu'une certaine personne avait, d'une façon ou d'une autre, obtenu des renseignements de leur dossier de téléphone. Ils se sont d'abord plaints au CRTC, qui a ordonné à la compagnie de téléphone en question de mener une enquête interne sur le sujet. La compagnie a conclu qu'une employée avait bel et bien communiqué des renseignements sur les plaignants à un tiers. L'employée a elle-même admis que, à la demande d'un ami, elle avait accédé au dossier de service téléphonique des plaignants et avait donné à son ami assez de renseignements pour lui permettre de déterminer comment communiquer avec la plaignante. L'employée était incapable de se rappeler quels renseignements exacts elle avait communiqués. La compagnie a pris des mesures disciplinaires à son égard pour non-respect de la politique de la compagnie et du code de déontologie, dommages à la réputation de la compagnie et violation du droit des clients au respect de la vie privée.
Toutefois, en réponse à la plainte relative à la communication déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, la compagnie a prétendu que les renseignements communiqués étaient disponibles publiquement et qu'ils pouvaient donc être communiqués à l'insu et sans le consentement des clients. En particulier, le paragraphe 7(1)d) de la Loi, avec le paragraphe 1a) du Règlement précisant les renseignements auxquels le public a accès, exclut les noms, adresses et numéros de téléphone publiés dans les pages blanches.
Bien qu'il ait été impossible de déterminer la nature et l'envergure exacte de la communication, l'enquête du commissaire a établi qu'au moins un renseignement autre que le nom, l'adresse et le numéro de téléphone a été communiqué. Cet élément était le nom utilisé dans le dossier pour indiquer la conjointe du plaignant. Il ne s'agissait pas du vrai nom de la conjointe, mais plutôt d'un « code » utilisé par les plaignants comme aide-mémoire pour leur numéro d'identification personnel. La compagnie a fait valoir que, puisque le nom était incorrect, il ne devrait pas faire partie des renseignements personnels des clients aux fins de la Loi.
Les plaignants ont écrit trois lettres à la compagnie pour demander leur dossier de compte personnel. La compagnie nie avoir reçu la première lettre. L'objet de la deuxième lettre, adressée à un autre agent, n'était pas tout à fait évident, mais la lettre faisait clairement état de ce que les plaignants n'avaient pas encore reçu le dossier déjà demandé. Le récipiendaire à la compagnie, ne sachant pas trop à quelle fin la lettre avait été envoyée et n'y voyant pas une demande d'accès aux renseignements, n'y a pas donné suite. Ce n'est qu'après l'intervention du Commissariat que la compagnie a envoyé aux plaignants, 45 jours ou plus après avoir reçu la lettre, un certain nombre de documents en réponse à leur demande initiale.
Insatisfaits des renseignements reçus, les plaignants ont écrit une troisième lettre, précisant les documents qu'ils désiraient voir et offrant un plus long délai pour la recherche. La compagnie a informé les plaignants que cette lettre serait traitée comme une nouvelle demande d'accès puisque les renseignements demandés ne faisaient pas partie de la demande initiale. La compagnie a envoyé aux plaignants de nouveaux documents qui les ont satisfaits, dans les 30 jours suivant la réception de la troisième lettre.
Conclusions du commissaire
Rendues le 28 juin 2002
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les sociétés de télécommunications sont des entreprises fédérales selon la définition de la Loi.
Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. Le paragraphe 7(1)d) prévoit une exception à l'obligation d'informer la personne et d'obtenir son consentement lorsque le public a accès aux renseignements conformément au Règlement précisant les renseignements auxquels le public a accès. Le principe 4.7.4 énonce que les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels. Le principe 4.9 énonce qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Le paragraphe 8(3) énonce que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception. Le paragraphe 8(5) énonce que, faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande.
Au sujet de la plainte relative à la communication : Selon le commissaire, la compagnie n'aurait pu invoquer l'exception énoncée au paragraphe 7(1)d) que si, sans aucun doute, on n'avait communiqué que le nom, l'adresse et le numéro de téléphone des clients. Au contraire, il a établi que :
- les dossiers de service téléphonique de la compagnie donnaient des possibilités importantes de communication de renseignements personnels auxquels le public n'avait pas accès, tel que précisé dans le Règlement;
- une employée de la compagnie avait communiqué au moins un renseignement du dossier des plaignants auquel le public n'avait pas accès; et
- en dépit de l'argument de la compagnie à ce sujet, le renseignement en question, même techniquement incorrect, faisait tout de même clairement partie des renseignements personnels des plaignants, du simple fait qu'il se trouvait dans leur dossier et qu'il pouvait être rattaché à eux en tant qu'individus identifiables.
Le commissaire a donc conclu que l'exception à l'exigence d'information et de consentement selon le paragraphe 7(1)d) de la Loi ne s'appliquait pas et que la compagnie en question avait donc contrevenu aux principes 4.3 et 4.5 de l'annexe 1. De plus, puisque l'employée en question n'avait de toute évidence pas été sensibilisée à l'importance de protéger le caractère confidentiel des renseignements personnels, il a aussi conclu que la compagnie ne s'était pas conformée à l'obligation énoncée au principe 4.7.4.
Le commissaire a donc conclu que la plainte de communication était fondée.
Au sujet de la plainte relative au délai : Le commissaire n'a contesté ni l'affirmation de la compagnie selon laquelle elle n'avait pas reçu la première lettre des plaignants ni son traitement de la troisième lettre comme une nouvelle demande. Au sujet de la deuxième lettre, il a examiné la question de savoir s'il s'agissait d'une demande en bonne et due forme d'accès aux renseignements personnels.
Le commissaire a établi que, même si l'objet de la lettre n'était pas clairement et directement exprimé, on y trouvait les préoccupations fondamentales des clients face à la non-réponse de la compagnie à leur demande d'accès précédente. Il est d'avis que, plutôt que de ne rien faire, la compagnie aurait dû tenter de faire préciser les attentes des expéditeurs ou, tout au moins, faire suivre la lettre à son agent de protection des renseignements personnels, qui s'occupe des questions d'accès aux renseignements. Le commissaire a établi que la deuxième lettre était bel et bien une demande d'accès aux renseignements, à laquelle la compagnie n'a pas donné suite dans le délai de 30 jours énoncé au paragraphe 8(3). Il a donc conclu que la compagnie était réputée avoir refusé d'acquiescer à la demande selon le paragraphe 8(5) et ne s'était donc pas conformée au principe 4.9.
Le commissaire a conclu que la plainte relative au délai était aussi fondée.
- Date de modification :