Une employée proteste contre l'utilisation par une compagnie des numéros d'assurance sociale sur des formulaires
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-69
[Principes 4.2.4, 4.5, 4.7 et 4.7.3, Annexe 1; et article 5(3)]
Plainte
Une employée d'une compagnie de messagerie a allégué que la compagnie utilisait son renseignement personnel, nommément son numéro d'assurance sociale, de manière inappropriée, à des fins auxquelles elle n'avait pas consenti et sans égards à la confidentialité.
Résumé de l'enquête
Les allégations de la plaignante se rapportent à l'utilisation faite par la compagnie du NAS de ses employés sur des formulaires d'engagement de United Way et sur deux types de documents internes - un rapport d'opérations et un registre des livraisons.
Dans le cas des formulaires United Way et du registre des livraisons, la plaignante a contesté l'utilisation non autorisée des NAS à des fins autres que les traitements et salaires. Concernant le rapport d'opérations, elle s'est dite inquiète de la méthode habituelle de distribution : un employé qui n'est pas un cadre imprime et distribue les formulaires avec les NAS exposés et les laisse bien en vue sur le bureau des employés même en l'absence de ceux-ci. Elle a aussi allégué que chaque employé du centre d'appels de la compagnie avait accès aux NAS des messagers au moyen du registre informatisé des livraisons; les représentants du service à la clientèle utilisaient aussi ce registre dans le but additionnel de retracer les colis.
La compagnie n'a pas contesté les allégations. Cependant, elle a défendu l'inclusion des NAS dans les rapports d'opérations sous prétexte que les rapports étaient utilisés à des fins légitimes de traitements et salaires. Au commencement, la compagnie a utilisé ce même argument concernant le registre des livraisons, mais elle a fini par acquiescer aux arguments du Commissariat. Le Commissariat a fait valoir que, malgré le lien avec les traitements et salaires, l'inclusion des NAS était rendue inappropriée en raison de l'utilisation faite du registre informatisé des livraisons dans le but additionnel de retracer les colis.
La compagnie a pris les actions rémédiatrices suivantes :
- omettre les NAS des formulaires d'engagement d'United Way;
- cesser de faire circuler les formulaires de rapports d'opérations dans ses bureaux (la compagnie continuera d'utiliser les NAS sur les formulaires aux fins des traitements et salaires, incluant les déductions d'impôt sur le revenu); et
- remplacer le registre informatisé des livraisons par un nouveau système intégré pour retracer les colis; dans ce système, les messagers sont identifiés par d'autres moyens et les représentants du service à la clientèle n'ont plus accès aux NAS des messagers.
Conclusions du commissaire
Rendues le 4 septembre 2002
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toute entreprise fédérale. Le commissaire avait compétence dans ce cas parce que les compagnies de messagerie interprovinciales telles que celle-ci sont des entreprises fédérales au sens de la Loi.
Application : Le principe 4.2.4 énonce qu'avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l'utilisation; également, à moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d'utiliser les renseignements. Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.3 énonce notamment que les méthodes de protection devraient comprendre des moyens matériels tels le verrouillage des classeurs et la restriction de l'accès aux bureaux et des mesures administratives telles un accès sélectif. L'article 5(3) énonce qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Le commissaire a commencé par réitérer la position de longue date du Commissariat concernant l'utilisation des NAS. Il s'agit de renseignements personnels confidentiels qui ne devraient normalement servir, dans le secteur privé, qu'à des fins de traitements et salaires, particulièrement à la déduction d'impôt sur le revenu, et qui ne devraient pas servir à des fins générales d'identification.
Dans ces conditions, le commissaire a d'abord établi que la compagnie avait utilisé les NAS de ses employés sur les formulaires d'engagement d'United Way uniquement à des fins d'identification, soit des fins secondaires non précisées antérieurement. Il a aussi établi que la compagnie n'avait pas rempli ses obligations en vertu du principe 4.2.4, soit de préciser les nouvelles fins et d'obtenir le consentement des employés avant l'utilisation. De plus, il n'a pas cru qu'une personne raisonnable aurait considéré que l'utilisation des NAS à des fins d'identification était appropriée dans les circonstances, tel que le requiert l'article 5(3).
En ce qui a trait au registre informatisé des livraisons et au principe 4.5, le commissaire a de même établi qu'en donnant à ses représentants du service à la clientèle accès aux NAS des messagers, la compagnie avait effectivement utilisé les renseignements personnels des employés sans leur consentement à des fins autres que celles auxquelles ils avaient été recueillis. Et encore une fois, il n'a pas cru qu'une personne raisonnable aurait considéré un tel usage à une telle fin approprié dans les circonstances.
Le commissaire a donc conclu que la compagnie avait contrevenu aux principes 4.2.4 et 4.5 et à l'article 5(3) de la Loi.
En ce qui a trait à la question de la confidentialité, le commissaire a établi que la compagnie n'avait pas institué des mesures de sécurité appropriées afin d'empêcher les employés qui n'avaient pas besoin de consulter les NAS des employés à des fins légitimes d'avoir accès à ces NAS.
Le commissaire a conclu que la compagnie contrevenait également aux principes 4.7 et 4.7.3. Néanmoins, il était satisfait des mesures de redressement que la compagnie avait instauré, et il était heureux de constater que la plaignante elle-même était satisfaite du dénouement de la cause.
Par conséquent, le commissaire a conclu que la plainte était fondée et résolue.
- Date de modification :