Une entreprise de télécommunications améliore ses pratiques de collecte et de communication

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2002-72

[Principes 4.3 et 4.7 de l'annexe 1]

Plainte

Un ancien représentant du service à la clientèle s'est plaint de ce qu'une entreprise de télécommunications avait communiqué indûment les renseignements personnels d'autres employés et de clients, n'avait pas convenablement protégé les renseignements personnels des clients, et n'avait pas obtenu de consentements à sa pratique d'écouter des appels à des fins d'assurance de la qualité.

Résumé de l'enquête

Le plaignant a demandé l'accès à ses renseignements personnels après avoir quitté l'entreprise. Un gestionnaire lui a par la suite communiqué presque tout le contenu de ses dossiers de personnel, mais n'a pas pris soin de veiller à ce que les noms de tiers soient supprimés du matériel communiqué. Le plaignant a donc reçu une copie d'un message de courrier électronique envoyé à un employé des ressources humaines et contenant des renseignements sur un collègue. De plus, en communiquant d'autres documents, le gestionnaire a omis de camoufler les noms et les renseignements permettant d'établir l'identité de tiers.

En ce qui concerne ces allégations, l'entreprise a indiqué que la communication des renseignements sur des tiers s'est faite par inadvertance, en raison de l'inexpérience du gestionnaire relativement à l'application pratique des dispositions de la Loi. L'entreprise a montré qu'elle offrait maintenant un programme de formation exhaustif sur le sujet à tous les gestionnaires.

Le plaignant a aussi allégué que l'entreprise n'a pas convenablement protégé les renseignements personnels des clients de deux façons. Premièrement, des imprimés d'écrans d'ordinateur de demandes de changements venant de clients servaient de papier brouillon dans les bureaux. Deuxièmement, les employés de l'entreprise accédaient périodiquement à des enregistrements d'appels de service à la clientèle. Ils n'avaient qu'à composer un numéro de téléphone et entrer leur numéro d'employé valide pour obtenir cet accès.

En ce qui concerne les deux questions de protection, l'entreprise a pris les mesures qui suivent. Elle a déterminé que l'un de ses bureaux se servait bien d'imprimés d'écrans de commande de clients, dans le cadre de son programme de « réutilisation/recyclage ». La direction de l'entreprise a mis fin à cette pratique dès qu'elle en a été mise au courant par les allégations de la plainte. En ce qui concerne la deuxième question, l'entreprise a prétendu ne pas être au courant que certains employés pourraient actuellement accéder aux appels enregistrés de service à la clientèle et a noté que si l'allégation se révélait exacte, il s'agirait d'une violation grave du code d'éthique de l'entreprise, qui donnerait lieu à des sanctions disciplinaires contre les employés. L'entreprise s'est engagée à élaborer des mesures plus vigoureuses de restriction de l'accès aux appels enregistrés.

Le plaignant a aussi allégué que l'entreprise avait omis d'obtenir le consentement des clients à l'enregistrement de leurs appels à des fins d'assurance de la qualité. De plus, il a indiqué que l'entreprise se servait périodiquement de vrais appels à des fins de formation. Sur l'avis du Commissariat à la protection de la vie privée, l'entreprise s'est engagée à cesser sa pratique d'écouter sans consentement des appels téléphoniques.

Conclusions du commissaire

Rendues le 7 octobre 2002

Compétence : Depuis le 1^er janvier 2001, la Loi s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les sociétés de télécommunications sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Le commissaire a établi que l'entreprise avait, dans sa réponse à la demande d'accès du plaignant, communiqué les renseignements personnels de tiers. Il a accepté l'explication de l'entreprise selon laquelle cette violation de la Loi était le fait de l'inexpérience du gestionnaire, et a été rassuré par les mesures que l'entreprise a prises afin d'empêcher toute communication inappropriée à l'avenir. Il a aussi conclu que l'entreprise n'avait pas obtenu le consentement de ses clients avant d'écouter les appels de service à la clientèle à des fins d'assurance de la qualité.

Le commissaire a conclu que la plainte était fondée à l'égard des allégations de pratiques de collecte et de communication non autorisées, en contravention des dispositions du principe 4.3 de l'annexe 1.

Le commissaire a établi que la pratique de l'entreprise de se servir des commandes de service de clients comme papier brouillon n'était pas appropriée. Il a aussi établi qu'il est possible de faire un usage abusif des renseignements personnels de clients lorsque des employés peuvent avoir accès à des appels enregistrés sans raison valable, simplement en composant un numéro de téléphone de l'entreprise et en entrant un numéro d'employé valide.

Le commissaire a conclu que la plainte était fondée à l'égard des allégations de mesures de sécurité non appropriées, en contravention des dispositions du principe 4.7 de l'annexe 1.

Le commissaire a fait trois recommandations :

• que l'entreprise restreigne l'accès aux appels enregistrés à des fins d'assurance de la qualité;
• qu'elle veille à ce que les renseignements sur des tiers soient supprimés des réponses aux demandes d'accès à des renseignements personnels;
• qu'elle adopte les pratiques décrites dans le document intitulé « Lignes directrices sur l'enregistrement des appels téléphoniques des clients » qu'il a ajouté à sa lettre de conclusion.