Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Communication présumée de renseignements personnels sans consentement, à des fins commerciales secondaires, par la société de télécommunications « B »

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-243

[Principes 4.3, 4.2.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1]

Plainte

Une personne se plaint qu'une société de télécommunications recueille, utilise et communique des renseignements personnels sans le consentement des clients visés, à des fins commerciales secondaires.

Selon le plaignant, la société en question n'avertit pas suffisamment ses clients qu'elle échange des renseignements à des fins commerciales avec des entreprises affiliées. Elle n'informe pas clairement ses clients comment les renseignements qu'elle échange à propos d'eux peuvent être utilisés par d'autres entreprises et elle ne permet pas à ses clients de refuser toute communication des renseignements qui les concernent.

La position du plaignant se résume comme suit :

  • Il convient toujours d'informer les clients et d'obtenir leur consentement avant de communiquer des renseignements à des fins commerciales secondaires.
  • Les entreprises et les clients potentiels ne partagent pas les mêmes vues au sujet du consentement qu'il convient d'obtenir.
  • Les entreprises devraient non seulement indiquer par écrit, dans leurs politiques, les motifs des échanges de renseignements personnels, mais également porter cette pratique à l'attention de chaque client et lui donner la possibilité de refuser toute communication des renseignements qui le concernent.
  • Les entreprises ne respectent pas cette obligation à plusieurs égards :
    1. Elles se fondent sur un document qui n'est pas fourni au client et l'obligent ainsi à trouver lui-même ce document.
    2. Elles enfouissent l'information portant sur la communication des renseignements personnels sous des passages en petits caractères dans de longs documents.
    3. Elles n'ont pas recours à un style simple et clair compréhensibles pour une personne ordinaire.
    4. Elles n'indiquent pas au client de façon suffisamment détaillée dans quelle mesure et à quelles fins les renseignements personnels échangés pourraient être utilisés par d'autres entreprises.
    5. Elles n'offrent pas au client de marche à suivre simple pour refuser toute communication des renseignements personnels qui le concernent.

Résumé de l'enquête

L'enquête, qui a porté sur les documents et les mécanismes auxquels la société de télécommunications a recours pour porter à l'attention de ses clients sa politique et ses pratiques concernant les renseignements personnels, a permis de constater que :

  • La société de télécommunications a, relativement à la confidentialité, un code de conduite et une politique facilement accessibles dans son site Web ou par l'intermédiaire d'une ligne téléphonique sans frais.
  • Ce code et cette politique exposent de façon détaillée les motifs pour lesquels les renseignements personnels peuvent être recueillis, utilisés et communiqués, motifs qui comprennent notamment la commercialisation d'autres produits et services. Le code et la politique indiquent que le client a le droit de refuser, dès le début ou par la suite, que les renseignements personnels qui le concernent soient utilisés ou communiqués à ces fins.
  • En outre, le personnel de la société de télécommunications qui active le service téléphonique attire l'attention des clients sur les conditions rattachées aux services fournis, conditions qui comprennent une section sur la confidentialité de même qu'une clause que le client peut accepter ou refuser sur l'utilisation des renseignements personnels à des fins commerciales.
  • La société est soumise à une clause restrictive imposée par le CRTC, qui l'empêche de communiquer les renseignements personnels concernant ses clients (à part leur nom et leur adresse), sans leur consentement explicite.

La société de télécommunications estime pour sa part que sa politique et son code de conduite relativement à la confidentialité, de même que l'information donnée par son personnel aux clients lors de l'activation des services téléphoniques, suffisent pour que le client consente ou non en toute connaissance de cause à ce que des renseignements personnels le concernant soient utilisés aux fins commerciales décrites. En outre, conformément aux exigences du CRTC, la société indique qu'elle ne communique jamais de renseignements sur ses clients, sauf leur nom et leur adresse, sans leur consentement explicite.

Conclusions

Rendues le 7 novembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. La commissaire adjointe à la protection de la vie privée a compétence dans ce cas parce que les sociétés de télécommunications sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.2.3 stipule qu'on devrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. De plus, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.4 stipule que la forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Le principe 4.3.5 stipule que, dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.

La commissaire adjointe est d'avis que les attentes du client décrites dans sa plainte sont raisonnables et conformes à la Loi.

La commissaire adjointe constate par ailleurs que la société de télécommunications respecte les restrictions imposées par le CRTC et ne communique à des entreprises qui lui sont affiliées aucun renseignement personnel sur ses clients, sauf leur nom et leur adresse, dans le but secondaire de commercialiser les produits et les services de ces entreprises. La société utilise une partie des renseignements recueillis sur ses clients afin de préparer des produits et de les commercialiser parmi eux, y compris des produits d'entreprises qui lui sont affiliées. Dans les campagnes de commercialisation auxquelles la société participe, elle n'emploie pas des renseignements de nature délicate, comme les numéros d'assurance sociale, de permis de conduire ou de passeport de ses clients ou leur dossier de plaignant.

La commissaire adjointe estime que les documents de la société de télécommunications sur la confidentialité ainsi que les règles suivies par son personnel au moment de l'activation des services constituent un effort raisonnable pour informer de façon adéquate les clients des utilisations secondaires des renseignements personnels à leur sujet. Elle estime aussi que les clients sont clairement informés qu'ils ont la possibilité de refuser ces utilisations, dès le début ou par la suite. En somme, elle considère que les documents fournis et les modes de fonctionnement établis sont suffisants pour que le client puisse consentir ou non à ces utilisations en toute connaissance de cause.

En fin de compte, la commissaire adjointe est d'avis que la société de télécommunications se conforme à la Loi.

Par conséquent, la commissaire adjointe conclut que la plainte était non fondée.

Date de modification :