Sélection de la langue

Recherche

Consternation chez un couple qui reçoit une enveloppe non scellée de sa banque

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-154

[Principes 4.7 et 4.7.1, Annexe 1]

Plainte

Après avoir reçu de la documentation relative à leur hypothèque dans une enveloppe non scellée, un couple s'est plaint que leur banque avait manqué à son obligation de protéger adéquatement leurs renseignements personnels contre la consultation par des parties non autorisées.

Résumé de l'enquête

Lorsque les plaignants ont reçu la documentation relative au renouvellement de leur hypothèque par la poste, ils ont été alarmés de constater que l'enveloppe leur était parvenue non scellée. Ils s'inquiétaient de ce que des tierces parties, notamment certaines de leurs connaissances qui étaient employées au bureau de poste, aient pu profiter de l'occasion pour consulter leurs renseignements personnels financiers. Lorsque les plaignants ont cherché à obtenir réparation, ont d'abord indiqué qu'ils n'étaient disposés qu'à leur présenter des excuses officielles.

Selon toute apparence, l'enveloppe en question n'avait jamais été scellée. La banque n'avait rien à dire pour expliquer comment l'enveloppe est parvenue aux plaignants non-scellée se contentant de se rappeler qu'elle utilisait habituellement une machine pour timbrer et sceller ses enveloppes. Une vérification a montré que la machine fonctionnait bien, mais, dans le cas des plaignants, il se peut que deux enveloppes aient passé dans la machine en même temps et qu'une des deux n'ait pas été scellée.

Rien n'indiquait qu'il y ait eu communication des renseignements personnels des plaignants, et eux-mêmes n'ont reçu aucune indication qu'une telle chose se soit produite au cours du processus d'expédition de leur enveloppe.

À la suite de la plainte, le gestionnaire de la succursale concernée a réuni les membres de son personnel pour leur rappeler l'importance de vérifier systématiquement le scellé des enveloppes avant de les mettre à la poste. À la demande officielle des plaignants, et en reconnaissance du fait que ces derniers avaient perdu confiance en leur institution, les responsables de la banque ont accepté de transférer l'hypothèque des plaignants à une autre institution en renonçant à la pénalité normalement associée à ce type de transaction.

Conclusions du commissaire

Rendues le 15 avril 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toute installation, ouvrage, entreprise ou secteur d'activité fédéral. Le commissaire avait compétence dans cette cause parce qu'une banque est une installation, ouvrage, entreprise ou secteur d'activité fédéral selon la définition de la Loi.

Application : Le principe 4.7 stipule que les renseignements personnels doivent être protégés par des mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées et que les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Le commissaire a été convaincu qu'aucune consultation ou communication non autorisée des renseignements personnels des plaignants n'avait eu lieu et il a accepté l'explication selon laquelle l'incident était le résultat d'une erreur mécanique rare sur une machine qui, d'habitude, fonctionnait bien.

Il n'en demeurait pas moins qu'une erreur importante s'était produite. Bien que directement attribuable à un disfonctionnement mécanique et non à une erreur humaine, elle est passée inaperçue auprès des personnes qui avaient l'obligation d'assurer la protection des renseignements personnels. De plus, même si qu'aucune communication du type que craignaient les plaignants ne semblait s'être produite, il y avait eu un risque élevé en ce sens.

En somme, le commissaire a déterminé que, en dépit du fait que les conséquences se sont avérées moins graves que ce que les plaignants avaient imaginé, il s'agissait d'une erreur inexcusable qui reflétait un manque de mesures de protection appropriées pour protéger les renseignements personnels contre l'accès non autorisé. Il a donc conclu que la banque avait contrevenu aux principes 4.7 et 4.7.1.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Bien qu'il ait apprécié les mesures correctives adoptées à la succursale en question, le commissaire a jugé que celles-ci n'allaient pas assez loin. Il a fait observer que, dès lors que l'on fie à une machine pour traiter des renseignements personnels sensibles, il faut aussi prévoir une intervention humaine pour garantir la sécurité de cette information. Il a donc recommandé que la banque renforce ses procédures de vérification du scellé des enveloppes à poster à ses clients, et ce, dans toutes ses succursales à travers le Canada.

Date de modification :