Un couple prétend qu'une agence d'évaluation du crédit a communiqué des renseignements personnels sans son consentement
Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2003-182
[Principes 4.3 et 4.10.4 de l'annexe 1]
Plainte
Un couple s'est plaint qu'une agence d'évaluation du crédit
- a communiqué sans son consentement des renseignements sur son crédit personnel à une entreprise;
- n'a pas mené une enquête adéquate à la suite de sa plainte.
Résumé de l'enquête
Les plaignants avaient demandé à l'agence des copies de leurs rapports de solvabilité respectifs. Lorsqu'ils ont reçu les rapports, ils ont constaté que des renseignements de solvabilité avaient été divulgués sans autorisation à un distributeur de crédit avec qui ils n'avaient jamais traité directement. Le couple a porté plainte à l'agence car ils soupçonnaient le distributeur de crédit en cause d'avoir eu accès sans autorisation à leurs dossiers de crédit à la demande de la société mère, soit l'ancien employeur de l'épouse et avec qui celle-ci est présentement en conflit. Un représentant de l'agence a assuré les plaignants que leurs allégations feraient l'objet d'une enquête et qu'ils seraient tenus informés des résultats de cette enquête.
Trois semaines plus tard, lorsqu'ils ont téléphoné pour obtenir un compte rendu de la situation, un autre représentant de l'agence leur a expliqué qu'aucune enquête interne n'avait été entreprise. Le représentant a suggéré au couple d'effectuer ses propres recherches puisque la société mère en cause n'était pas un client et que, par conséquent, l'agence n'était pas autorisée à faire enquête. Par la suite, un troisième représentant leur a assuré que l'agence ferait enquête, mais cette fois-ci, les plaignants, incapables de faire confiance à l'agence, ont porté plainte au commissariat.
Le commissaire a d'abord confirmé que le troisième représentant de l'agence avait effectivement entrepris une enquête interne. Le propriétaire de la société mère a admis à l'agence qu'il avait obtenu les renseignements de solvabilité personnels des plaignants, sans leur autorisation, par l'intermédiaire du distributeur de crédit qui est une succursale de son entreprise. Il a reconnu avoir enfreint les règlements concernant le crédit et expliqué que les circonstances exceptionnelles entourant le litige qui oppose son entreprise à l'ancienne employée l'ont obligé à prendre de telles mesures.
L'entente contractuelle type qui existe entre le distributeur de crédit et l'agence stipule que le client doit demander les rapports de solvabilité d'un consommateur seulement à des fins admissibles, et qu'il doit d'abord obtenir tous les consentements obligatoires du consommateur aux termes de la législation provinciale sur les enquêtes de solvabilité. L'entente stipule également que l'agence peut mettre fin au service sur-le-champ si elle a une raison de croire que le client a dérogé à une condition.
L'agence n'a pas suspendu le service offert par le distributeur de crédit coupable de l'infraction, mais lui a plutôt imposé une année de sursis. L'agence a affirmé au commissariat que cette mesure dissuasive s'accompagnerait de vérifications et du contrôle des demandes de renseignements de solvabilité et qu'un autre manque à se conformer entraînerait la résiliation du contrat. Cependant, il semble que l'agence a imposé seulement cette mesure lorsque le commissariat en a exigé la preuve.
Une fois l'enquête a été terminée, l'agence a attendu huit semaines avant d'aviser les plaignants des résultats, et s'est exécutée seulement après que le commissariat lui a demandé de le faire. L'agence a informé les plaignants que les demandes de renseignements de solvabilité avaient été enlevées de leurs dossiers parce que le client n'avait pas pu prouver qu'il y avait soit fin légitime, soit consentement valide. L'agence a présenté des excuses aux plaignants pour tous les inconvénients subis.
Conclusions du commissaire
Rendues le 10 juillet 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique non seulement à toute installation, ouvrage, entreprise ou secteur d'activité fédéral, mais aussi aux communications de renseignements personnels à l'extérieur d'une province pour contrepartie. Le commissaire avait compétence dans cette cause parce que l'agence a effectivement procédé à de telles communications. Cependant, il n'avait pas d'autorité sur les deux autres entreprises impliquées dans la plainte.
Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.10.4 précise qu'une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l'organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques, au besoin.
En ce qui concerne le principe 4.3, le commissaire a formulé les considérations suivantes :
- On ne remet pas en cause le fait que le distributeur de crédit ait obtenu de l'agence, à la demande de la société mère, des rapports de solvabilité sur les plaignants sans avoir demandé leur consentement et que, par conséquent, cette transaction constitue un accès non autorisé à des renseignements personnels, ce qui va à l'encontre de la législation provinciale en vigueur et de l'entente contractuelle entre le distributeur de crédit et l'agence.
- En revanche, il ne fait aucun doute que l'agence a bel et bien révélé des renseignements personnels sur les plaignants à un tiers sans leur consentement. Toutefois, la question est de savoir si dans les circonstances l'agence peut raisonnablement être tenue responsable d'avoir enfreint la Loi.
- Il est évident que l'agence ne savait pas que la demande avait été faite à l'insu et sans le consentement des plaignants, mais en fait elle a présumé, en se fondant sur l'entente contractuelle, que le motif de l'entreprise était acceptable et que le consentement avait été obtenu en bonne et due forme.
- Compte tenu que les obligations étaient énoncées clairement dans le document contractuel type de l'agence, il était raisonnable pour l'agence de présumer que le signataire du document y avait satisfait.
Par conséquent, le commissaire conclut que l'agence a divulgué des renseignements personnels sur les plaignants de bonne foi et sur la présomption du consentement, et qu'elle n'a pas transgressé la Loi.
En ce qui concerne le principe 4.10.4, après avoir constaté que ce principe touche autant le suivi d'une organisation à une enquête que la conduite de l'enquête même, le commissaire a formulé les considérations suivantes :
- Bien qu'il soit persuadé que l'agence a effectivement mené une enquête, le commissaire a certaines inquiétudes en ce qui concerne l'à-propos du suivi.
- Conformément au principe 4.10.4, l'organisation doit prendre des mesures appropriées si l'enquête révèle que la plainte est fondée. L'agence a déterminé que la plainte était fondée et elle a finalement pris certaines mesures contre son client, mais celles-ci - notamment le fait d'accorder un « sursis » au client n'étaient pas appropriées.
- En premier lieu, un élément de preuve indiquait manifestement que les mesures avaient été prises seulement à la demande du commissariat.
- Deuxièmement, même si la Loi n'est pas explicite, il est raisonnable de penser qu'à la conclusion d'une enquête, l'organisation informe immédiatement le plaignant des résultats. Cependant, il semble que l'agence ait avisé le plaignant des résultats seulement après que le commissariat lui ait suggéré de le faire.
- Troisièmement, et surtout, les mesures prises par l'agence n'étaient pas appropriées étant donné la gravité de l'infraction. Bien que l'entente contractuelle type de l'agence conseille de « suspendre » ou d'« annuler » les services offerts aux clients lorsqu'il est légitime de croire qu'ils ont commis une violation, l'agence n'a imposé qu'une période de « sursis ». Le commissaire ne pense pas qu'une telle sanction soit suffisante pour que l'entreprise comprenne que sa conduite était inacceptable. Il indique que les mesures dissuasives concernant de telles violations de la vie privée devraient refléter le strict respect d'une organisation à l'égard de l'intégrité des renseignements personnels dont elle est responsable et, idéalement, la dissuader de commettre d'autres violations du même genre.
En somme, le commissaire a conclu que l'agence n'a pas pris les mesures appropriées après avoir constaté que la plainte était justifiée.
Il a conclu que la plainte était non fondée à l'égard du principe 4.3, mais qu'elle était fondée en ce qui concerne le principe 4.10.4..
Autres considérations
Le commissaire a formulé les recommandations suivantes :
- L'agence devrait songer à imposer et voir à ce que soient appliquées des sanctions plus sévères aux organisations clientes qui contreviennent aux dispositions contractuelles sur l'accès aux renseignements personnels des consommateurs. Les pénalités pourraient commencer par une suspension des services suivie d'une période de sursis, incluant des vérifications fréquentes et rigoureuses.
- L'agence devrait élaborer et suivre rigoureusement une politique qui stipulerait le moment et la façon d'aviser le plaignant des résultats d'une enquête interne sur une plainte.
- Date de modification :