Plaintes émanant de la commissaire contre les pharmacies sur Internet
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-310
(Principes 4.3 et 4.7)
Plainte
En 2004, le Commissariat à la protection de la vie privée du Canada a reçu des lettres et des demandes de renseignements provenant de résidents des États-Unis clients d’une pharmacie canadienne sur Internet qui prétendaient que des renseignements personnels les concernant avaient été communiqués sans leur consentement et que la pharmacie avait omis de mettre en place les mesures de sécurité correspondant à la sensibilité des renseignements. Tous les plaignants avaient été approchés par d’autres pharmacies sur Internet, dont certaines semblaient posséder des renseignements détaillés sur les médicaments qu’ils avaient achetés.
Dans leurs lettres ou demandes de renseignements au Commissariat, tous les plaignants ont exigé l’anonymat, conformément au paragraphe 27(1) de la Loi sur la protection des renseignements personnels et les documents électroniquesNote de bas de page 1, étant donné que l’achat de médicaments sur ordonnance de pharmacies canadiennes sur Internet va à l’encontre de la U.S. Food and Drug Act. La compagnie, qui avait déclaré au Commissariat qu’une infraction à la sécurité des renseignements personnels en sa possession avait été commise, a refusé de fournir d’autres renseignements sur l’incident à moins qu’une plainte officielle ne soit déposée. Or le paragraphe 11(2) de la LPRPDE prévoit le Commissariat peut lui‑même prendre l’initiative d’une plainte s’il a des motifs raisonnables de croire qu’une enquête devrait être menée sur une question relative à l’application de la partie I. Par conséquent, la commissaire adjointe a déposé six plaintes contre trois compagnies : communication de renseignements personnels et plaintes au sujet de la sécurité contre la compagnie où il y a eu infraction à la sécurité (compagnie A); et plaintes relatives à la collecte et à l’utilisation de renseignements personnels contre deux autres compagnies (compagnies B et C) qui avaient acheté les renseignements sur les clients de la première compagnie.
Résumé de l’enquête – compagnie A
La compagnie A a reconnu qu’une infraction à la sécurité de renseignements personnels en sa possession était survenue. En 2003, deux de ses employés ont comploté de voler sa liste de clients. La liste a été téléchargée sur une disquette et vendue à un Américain qui exploitait une pharmacie sur Internet aux États-Unis et avait aussi créé une entreprise canadienne. Cet Américain a, à son tour, vendu en 2003 la totalité ou une partie de la liste de clients à deux pharmacies sur Internet par l’entremise de sa compagnie canadienne. Sa compagnie canadienne et la société mère américaine de celle‑ci ont toutes deux cessé leurs activités; Le Commissariat ne pouvait donc pas déposer de plaintes contre elles.
La compagnie A croyait que la liste volée comprenait le prénom et le nom des clients, leur adresse, leur numéro de téléphone et leur âge. Elle croyait aussi, mais ne pouvait pas le confirmer, que la liste renfermait de l’information sur les médicaments prescrits à chacun des clients. Le Commissariat n’a pas pu confirmer que les renseignements sur les médicaments sur ordonnance avaient été volés ou vendus.
À la suite de l’incident, la compagnie A a examiné ses mesures de sécurité. Elle en a amélioré n certain nombre, dont plusieurs qui n’avaient pas été mentionnées lors du vol de la liste de clients. Elle est devenue une entreprise sans papier et utilise de meilleurs logiciels. Il n’est plus possible d’accéder à distance à son système informatique, ni de télécharger la liste des clients à partir d’un poste de travail. Le système informatique fait un suivi quotidien des activités. Les dossiers existants sur les clients sont conservés dans une pièce qui se verrouille automatiquement et qui se déverrouille au moyen d’un bloc numérique électronique et non à l’aide de clés.
Conclusions
Rendues le 20 mai 2005
Application : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
Étant donné que la communication de renseignements personnels et que le vol de la liste de clients en raison de l’absence de mesures de sécurité appropriées sont survenus en 2003, soit avant que la Loi n’entre entièrement en vigueur (le 1 er janvier 2004), la commissaire adjointe a conclu qu’elle n’avait pas le pouvoir de rendre des décisions sur la communication des renseignements et l’absence de mesures de sécurité. Néanmoins, elle a été convaincue que la compagnie A avait pris des mesures pour améliorer la sécurité des renseignements personnels de ses clients.
Résumé de l’enquête – compagnie B
En 2003, la compagnie B a acheté une liste comportant les noms d’environ 40 000 personnes, dont la majorité étaient présumées être des clients de pharmacies sur Internet liquidées qui avaient été exploitées aux États-Unis. Une des conditions de la vente était que la compagnie B pourrait communiquer avant la transaction avec un échantillon prélevé au hasard de personnes inscrites sur la liste, afin de confirmer l’identité de ces personnes et leur volonté éventuelle de devenir clients de la compagnie B. Celle‑ci a fait environ 300 appels, qui l’ont convaincue que la liste était authentique.
Selon la compagnie B, les seuls renseignements figurant sur la liste achetée étaient le nom, l’adresse et le numéro de téléphone des clients. Le Commissariat a examiné la base de données de la compagnie et a confirmé qu’elle renfermait seulement des coordonnées de base sur les personnes qui avaient fait part de leurs préoccupations au Commissariat.
Après l’achat officiel de la liste, la compagnie B a envoyé aux personnes qui y figuraient une lettre normalisée les invitant à communiquer avec elle. La lettre a été suivie d’un appel téléphonique. La compagnie a noté qu’un certain nombre des personnes avec qui elle avait communiqué avaient déclaré être des clients de la compagnie A. La compagnie B a garanti à ces personnes qu’elle ne détenait aucun renseignement personnel les concernant.
Conclusions
Rendues le 25 mai 2005
Application : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
En ce qui a trait à la collecte de renseignements personnels, la commissaire adjointe a conclu qu’elle n’avait pas le pouvoir de rendre des décisions à cet effet, étant donné que la collecte de renseignements s’était faite avant que la LPRPDE n’entre entièrement en vigueur (le 1 er janvier 2004). Elle a précisé que le seul cas où le Commissariat aurait eu le pouvoir de rendre une décision serait si la compagnie B avait communiqué les renseignements à l’étranger. Même si la compagnie B est située dans une province différente de celle qui lui a vendu les renseignements personnels, elle n’a pas communiqué ces renseignements.
Cependant, la commissaire adjointe a souligné que les renseignements personnels concernant les clients de la compagnie A avaient été utilisés en 2004 à l’insu de ceux‑ci et sans leur consentement. Elle a donc conclu que la compagnie B avait agi à l’encontre du principe 4.3.
Ainsi, bien que la commissaire adjointe n’ait pas le pouvoir de formuler des conclusions, elle a juridiction en ce qui concerne l’utilisation des renseignements personnels, et a conclu que la plainte était fondée.
Résumé de l’enquête – compagnie C
Avec l’aide d’un intermédiaire, la compagnie C a acheté une liste comprenant les noms d’environ 15 000 personnes toutes présumées être des clients d’une pharmacie canadienne sur Internet liquidée. Comme pour la compagnie B, une des conditions de la vente était que la compagnie C pourrait communiquer avant la transaction avec un échantillon prélevé au hasard de personnes inscrites sur la liste, afin de confirmer l’identité de ces personnes et leur volonté éventuelle de devenir clients de la compagnie C. avant la transaction avec un échantillon prélevé au hasard de personnes inscrites sur la liste, afin de confirmer l’identité de ces personnes et leur volonté éventuelle de devenir clients de la compagnie C. La compagnie a fait une centaine d’appels pour demander à ces personnes si elles avaient été des clients d’une pharmacie sur Internet qui avait maintenant cessé ses activités. La compagnie C a également demandé aux personnes si elles étaient intéressées à recevoir de l’information sur ses activités. Les réponses qu’elle a obtenues l’ont convaincue que la liste était authentique.
Le Commissariat a examiné la liste en question et constaté qu’elle renfermait le nom, l’adresse et le numéro des personnes, toutes présumées être d’anciens clients de la pharmacie canadienne sur Internet qui n’était plus en opération.
Conclusions
Rendues le 20 mai 2005
Application : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
Comme pour la compagnie B, la commissaire adjointe a conclu qu’elle n’avait pas le pouvoir de rendre des décisions à à l’égard de la collecte de renseignements personnels parce que la collecte de renseignements s’était faite avant que la LPRPDE n’entre entièrement en vigueur (le 1 er janvier 2004). Elle a précisé que le seul cas où le Commissariat aurait eu le pouvoir de rendre une décision aurait été si la compagnie C avait recueilli ces renseignements personnels à l’étranger. Mais la transaction a été entièrement effectuée dans la même province et ne comportait aucune communication de renseignements par la compagnie C.
Toutefois, pour ce qui est de l’utilisation des renseignements personnels concernant les clients de la compagnie A, la commissaire adjointe avait le pouvoir de prendre une décision, étant donné que les événements ont eu lieu en 2004. Elle n’a aucun doute que les renseignements personnels concernant les clients ont été utilisés, à leur insu et sans leur consentement, pour les joindre par téléphone en vue d’essayer d’établir une relation d’affaires. Elle a donc conclu que la compagnie C avait agi à l’encontre du principe 4.3.
Ainsi, bien que la commissaire adjointe n’ait pas le pouvoir de formuler des conclusions à l’égard de l’utilisation des renseignements personnels, elle a juridiction en ce qui concerne l’utilisation des renseignements personnels, et a conclu que la plainte était fondée.
Commentaire final
La commissaire adjointe a déclaré que les trois compagnies avaient été victimes de fraude. Les compagnies B et C ont agi de bonne foi lorsqu’elles ont acheté la liste de clients; elles ne savaient pas que cette liste avait été volée par un ancien employé de la compagnie A. Bien que les deux compagnies aient pris des mesures pour s’assurer que l’acquisition de la liste se faisait légalement, elles ont été dupées. Les trois compagnies font maintenant preuve de plus de vigilence afin de s’assurer de ne pas se trouver à nouveau dans une telle situation.
- Date de modification :