Sa fille accumule des frais d'interurbain; la mère blâme la compagnie de téléphone
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-254
[Principes 4.7 et 4.7.2 de l'annexe 1]
Plainte
Une personne a fait les deux allégations suivantes à l'égard d'une société de télécommunications :
- qu'elle a communiqué à sa fille le numéro d'identification personnel (NIP) de sa carte d'appel pour les communications interurbaines au moyen de l'afficheur de son téléphone et
- qu'un représentant de la compagnie a communiqué son nouveau NIP à sa fille par téléphone.
Résumé de l'enquête
Après avoir appris que sa fille, qui habitait avec elle, avait fait de nombreux appels interurbains à partir de sa maison, la plaignante a communiqué avec la compagnie pour obtenir qu'elle l'aide à empêcher sa fille de faire grimper les factures. (La plaignante a déclaré que bien qu'elle ait dit à sa fille de cesser de faire des appels, cette dernière était malade et ne pouvait pas s'en empêcher). Quoique au départ, on lui ait dit que la compagnie ne pouvait rien y faire, sauf supprimer son service interurbain, elle a appris par la suite que l'accès à une carte d'appel protégée par un NIP pourrait l'aider à résoudre ses problèmes.
Lorsque la plaignante a reçu une autre facture importante pour ses appels interurbains, elle a constaté que sa fille avait obtenu son NIP à partir de l'afficheur du téléphone, en appuyant sur la touche « dernier numéro composé ». La plaignante a communiqué avec la compagnie, mais n'a pas été satisfaite de la réponse qu'on lui a donnée.
La compagnie a déclaré qu'en ce qui a trait à cette fonction particulière, le numéro est recueilli, conservé, puis affiché sur l'appareil sans qu'elle puisse intervenir. Le type de téléphone utilisé par l'abonné, ainsi que ses fonctions, sont choisis et employés par l'utilisateur et, par conséquent, la compagnie ne peut rien y faire. Elle ne vend pas de téléphones.
Après cet incident, la plaignante a fait en sorte qu'on ne puisse pas obtenir son NIP à partir de l'afficheur du téléphone. Elle a également changé son NIP à plusieurs reprises. Malgré tout, sa fille a trouvé la carte d'appel dans la cuisine, l'a utilisée et a encore réussi à obtenir le NIP — cette fois, de l'un des représentants du service à la clientèle de la compagnie. La fille a indiqué qu'elle avait composé le numéro de la carte d'appel et qu'une aide vocale lui avait demandé de composer le NIP. Comme elle ne le connaissait pas, un téléphoniste lui a répondu et lui a demandé si elle essayait de changer son NIP ou si elle l'avait oublié. La fille lui a dit qu'elle l'avait oublié. Le téléphoniste lui a alors demandé le nom de la détentrice de la carte, son numéro de téléphone et sa date de naissance pour vérifier qu'elle était bien la titulaire de la carte. Comme elle était en mesure de lui fournir cette information et qu'elle appelait de la résidence de la détentrice de la carte, le représentant lui a donné le NIP de la plaignante. La fille a alors pu faire des appels interurbains avec la carte d'appel de la plaignante.
La compagnie a mis en place une procédure qui permet de redonner aux clients le NIP oublié. Quand l'appel vient du numéro de téléphone de facturation, avant de conclure que l'appelant est le détenteur de la carte, le représentant du service à la clientèle doit lui poser des questions relatives à l'information contenue dans la fiche du client. Les questions varient selon les circonstances, mais en règle générale, elles sont liées aux renseignements personnels que seul le client devrait en principe connaître. Le NIP n'est fourni que lorsque le représentant est raisonnablement convaincu de l'identité de l'appelant.
Si l'appel ne provient pas du numéro de téléphone de facturation, on pose le même type de questions, mais on ne donne pas le NIP à l'appelant à ce moment-là. On le laisse plutôt sur le courrier vocal du numéro de facturation ou on demande au client de rappeler plus tard du numéro de téléphone de facturation.
Selon les modalités du contrat de la compagnie, les clients sont tenus de payer tous les appels provenant de leurs téléphones ou y ayant été acceptés, peu importe la personne qui les a faits ou qui les a acceptés. La compagnie estime que c'est au client de se prémunir contre l'accès non autorisé au service téléphonique de sa résidence et de protéger ses renseignements personnels ainsi que ceux ayant trait à son compte. La compagnie considère également qu'il est irréaliste qu'elle accepte la responsabilité de prévenir l'usurpation d'identité étant donné qu'elle a si peu de contrôle en la matière.
La compagnie a ajouté qu'une carte d'appel n'est pas différente de toute autre carte de débit, et que les clients doivent être vigilants lorsqu'ils s'en servent. Quand le client en connaît l'auteur, la compagnie estime que la fraude a été commise contre le client. Ce dernier ne serait pas tenu de payer les frais si des accusations étaient portées contre l'auteur. Dans ce cas, même si la mère était prête à porter des accusations, le policier qui s'est occupé du rapport n'était pas, quant à lui, disposé à le faire.
La compagnie a déclaré que dans les cas où il y a des préoccupations accrues en matière de vie privée ou de sécurité, il est possible d'avoir recours à une protection par mot de passe pour le compte. Bien qu'elle ait considéré comme peu probable l'accès au NIP d'une carte d'appel à moins que l'appelant n'ait une connaissance approfondie du client ainsi qu'un libre accès à la carte d'appel de son service téléphonique et à ses renseignements personnels, l'utilisation d'un mot de passe est susceptible d'offrir une protection additionnelle. Par conséquent, après le dépôt de la plainte, la compagnie a ajouté un mot de passe aux dossiers de la plaignante. Depuis, cette dernière a décidé d'utiliser des cartes téléphoniques prépayées pour ses appels interurbains, ce qui a réglé son problème et lui a donné satisfaction.
Conclusions
Rendues le 23 décembre 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. La commissaire adjointe à la protection de la vie privée a compétence dans cette cause parce qu'une société de télécommunications est une entreprise fédérale selon la définition de la Loi.
Application : Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.2. stipule que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation.
La commissaire adjointe a délibéré comme suit :
- En ce qui concerne la première allégation, elle a été convaincue que la compagnie n'était pas responsable du problème. Premièrement, la compagnie ne vend pas de téléphones. L'abonné choisit l'appareil qu'il veut et son fonctionnement relève de sa responsabilité. La compagnie ne pouvait donc rien y faire. Deuxièmement, la commissaire adjointe a été convaincue que les données recueillies, conservées et ultérieurement affichées sur l'appareil n'engageaient pas la compagnie. Par conséquent, elle a conclu que la première allégation ne relevait pas de la compétence de la Loi.
- Pour ce qui est de la deuxième allégation, on n'a pas contesté que le représentant du service à la clientèle avait communiqué le NIP à la fille de l'abonnée, qui s'était fait passer pour la plaignante. La question était de savoir si cette divulgation non autorisée aurait pu être évitée.
- La commissaire adjointe a souligné que la mère avait une part de responsabilité en ce qui concernait cet incident. Bien qu'elle ait fait des démarches pour changer son NIP et pour l'effacer de son afficheur, sa fille avait néanmoins un libre accès à la carte d'appel, qu'elle a trouvée dans la cuisine.
- La commissaire adjointe a été persuadée que la compagnie avait mis en place des mesures de sécurité qui semblaient raisonnables et adaptées à la sensibilité des renseignements en question. Les mesures semblaient offrir une protection valable, conciliant le désir des utilisateurs de retrouver les NIP oubliés, sans avoir à recourir à une procédure de vérification additionnelle portant atteinte à la vie privée ou sans qu'il y ait des retards ou des inconvénients déraisonnables.
- Toutefois, la commissaire adjointe a considéré que, dans ce cas, les questions que le représentant avait posées étaient inadéquates. Bien que la compagnie ait indiqué qu'elle ne posait aux abonnés que des questions auxquelles seul l'usager autorisé était vraisemblablement en mesure de répondre, le représentant a plutôt posé des questions auxquelles les autres membres de la famille, sans compter les amis et les parents plus éloignés, auraient pu répondre. Selon la commissaire adjointe, demander le nom d'une personne, son numéro de téléphone et sa date de naissance ne répond pas aux propres normes de protection de la compagnie ou, en fait, à toute autre norme raisonnable.
- Elle a également été d'avis que, compte tenu des difficultés que la plaignante avait déjà éprouvées — des difficultés que la compagnie aurait dû connaître puisque la plaignante avait déjà attiré son attention sur celles-ci, la compagnie aurait dû veiller à protéger son NIP, en posant des questions plus difficiles ou en demandant un mot de passe (une mesure qu'elle a prise par la suite).
- Par conséquent, bien que la commissaire adjointe ait été convaincue que la compagnie avait une procédure appropriée visant à protéger le NIP d'une personne, elle n'a manifestement pas été bien suivie dans ce cas. Elle a donc conclu que la compagnie avait enfreint les principes 4.7 et 4.7.2.
La commissaire adjointe a conclu que la plainte était fondée.
Autres considérations
Pour améliorer la procédure, la commissaire adjointe a proposé que la compagnie fasse participer le client pour déterminer les questions qui devraient être posées lorsqu'il est nécessaire de confirmer son identité avant la divulgation d'un NIP. Selon elle, une telle démarche pourrait contribuer à renforcer la protection des renseignements personnels des clients.
- Date de modification :