Mesures de sécurité d'une société Internet et traitement d'une demande d'accès à l'information et d'une plainte relative à la protection des renseignements personnels mis en doute

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2005-315

(Principes 4.1.4b), 4.7, 4.9 et 4.10; paragraphe 8(7))

Plainte

Une personne s'est plainte que la société Internet avec laquelle elle avait un compte de courriel :

• n'ait pas protégé adéquatement ses renseignements personnels — la plaignante ayant prétendu qu'on avait accédé sans autorisation à son compte de courriel;
• ne lui ait pas fourni d'explication satisfaisante lorsqu'elle a tenté de corriger le problème;
• ne lui ait pas donné accès aux renseignements personnels qu'elle avait demandés.

Résumé de l’enquête

Lorsque la plaignante a tenté d'ouvrir son compte de courriel, son mot de passe n'a pas été accepté et elle a dû créer un nouveau mot de passe. Il s'agissait de la deuxième fois en moins d'un mois qu'une telle situation se produisait; elle soupçonnait son ancien conjoint d'avoir changé son mot de passe afin d'avoir accès à son compte. Son mot de passe a été changé de nouveau quelques jours plus tard.

Elle a envoyé un courriel à la société pour l'informer du problème et lui demander de l'aide. Dans sa réponse, la société lui a expliqué qu'elle n'avait pas accès aux mots de passe et qu'elle ne pouvait donc pas vérifier son mot de passe courant, le rétablir ou savoir pourquoi l'ancien mot de passe n'était plus valide. La société lui a fourni plusieurs raisons pouvant expliquer pourquoi son mot de passe ne fonctionnait pas, de même que des instructions pour le changer. Lorsque la plaignante a constaté que son plus récent mot de passe ne fonctionnait pas, elle a communiqué de nouveau avec la société pour lui demander de régler le problème et lui signifier qu'elle voulait engager une poursuite. Elle a demandé à la société de l'aider ou, si celle-ci ne pouvait pas lui être utile, de lui dire à qui elle pouvait s'adresser afin de porter le problème devant une plus haute instance. Elle a également demandé le numéro de téléphone lui permettant de joindre cette personne.

La société lui a de nouveau répondu par courriel et suggéré de changer sa question de sécurité et sa réponse secrète, puisqu'il s'agit d'un renseignement dont se servent le plus souvent les personnes non autorisées pour avoir accès à un compte. La société lui a conseillé de choisir une question dont elle seule connaîtrait la réponse et de consulter les renseignements sur la sécurité des comptes affichés sur son site Web.

La plaignante a demandé un rapport contenant tout renseignement susceptible de l'aider à déterminer qui avait accès à son compte, quand et à partir d'où cette personne y avait accès, de même que le nombre de fois que le mot de passe avait été changé. Le jour même, la société lui transmettait des instructions sur la manière de changer un mot de passe. Une semaine plus tard, la plaignante écrivait de nouveau pour demander qu'une enquête soit menée sur son compte de courriel. Deux semaines plus tard, elle réitérait sa demande. La société répondait le jour même en précisant que la plaignante devait présenter une assignation ou l'ordonnance d'une cour si elle voulait obtenir des renseignements concernant les changements du mot de passe.

Par suite de l'intervention du Commissariat, la société a envoyé à la plaignante l'historique des changements du mot de passe de son compte de courriel, soit la date, l'heure, l'adresse IP de l'ordinateur utilisé pour effectuer les changements. La plaignante a voulu connaître le nom de la personne qui changeait le mot de passe, mais la société lui a fait savoir qu'elle ne possédait pas ce renseignement. La plaignante a également voulu savoir quels étaient ces mots de passe dans l'espoir de reconnaître son ancien conjoint à partir de ces renseignements. La société l'a informée ne pas avoir accès aux mots de passe parce qu'ils sont chiffrés à mesure que l'utilisateur les tape.

La société recommande aux utilisateurs de changer leur mot de passe s'ils ont de la difficulté à avoir accès à leur compte. Pour ce faire, l'utilisateur doit d'abord entrer les renseignements suivants, qui sont appariés à ceux fournis lors de l'inscription :

• date de naissance
• code postal
• pays
• identification (la partie de l'adresse de courriel qui précède le symbole @)

L'utilisateur doit ensuite répondre à la question secrète choisie lors de l'ouverture du compte. La plaignante avait choisi la question suivante : « Quel est le nom de fille de votre mère? » Lorsque le mot de passe produit par la société est utilisé, l'utilisateur est invité à choisir immédiatement un nouveau mot de passe. La société envoie un courriel au compte pour indiquer que le mot de passe a été changé. La question secrète peut être changée à n'importe quel moment dans le cadre du processus de changement du mot de passe.

La plaignante a admis que son ancien mari connaissait tous les renseignements qu'elle avait fournis lors de l'inscription, y compris la question secrète. Bien que l'historique des changements du mot de passe ait fait état de trois changements et qu'à l'exception d'une date, il correspondait à la version des faits présentée par la plaignante, le Commissariat n'a pu trouver de preuve documentaire à l'appui de l'allégation selon laquelle l'ex-mari avait changé le mot de passe.

En ce qui a trait à l'allégation relative au manque d'assistance, la société a affirmé que le service à la clientèle de la société mère, sise aux États-Unis, traitait les plaintes et les demandes de renseignements formulées par les clients. La société canadienne fournit au bas de presque toutes ses pages un lien vers sa politique en matière de protection des renseignements, laquelle politique fournit un lien vers le formulaire de commentaires portant sur la protection des renseignements personnels. Les utilisateurs peuvent se servir de ce formulaire pour poser des questions sur la protection des renseignements personnels, faire des suggestions ou déposer des plaintes en matière de protection des renseignements personnels.

Le service à la clientèle répond à tous les formulaires remplis qui lui sont envoyés par courriel. Le personnel de ce service qui répond aux questions sur la protection des renseignements personnels a suivi une formation sur des volets précis de la protection des renseignements personnels et travaille de concert avec l'agent de la société qui est chargé de la protection des renseignements personnels et l'équipe de protection des renseignements personnels. La société affirme que très peu de questions sont acheminées vers l'agent chargé de la protection des renseignements personnels parce que la plupart d'entre elles sont des questions standard à l'égard desquelles la société a déjà prévu des réponses, telles que : « Quels renseignements recueillez-vous lorsque je m'inscris à votre service de messagerie électronique ? »

La société a indiqué que son équipe de protection des renseignements personnels avait reçu une formation sur les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) et participe à tous les volets de l'entreprise, ce qui comprend la mise au point de produits. La société exerce ses activités à l'échelle de la planète et est donc assujettie aux lois sur la protection des renseignements personnels dans plusieurs de ses territoires de compétence. La société canadienne a nommé un agent de protection des renseignements personnels qui travaille au Canada.

La société a également souligné que la nature de ses activités et sa structure même sont des éléments essentiels pour comprendre le traitement des demandes de renseignements et des plaintes en matière de protection des renseignements personnels. Il s'agit d'une société « virtuelle » qui offre un service de messagerie électronique gratuit. Au lieu de centres d'appels, la société compte sur son service de réponses par courriel ainsi que sur la vaste section de référence en direct de son site Web pour répondre aux demandes de renseignements. Selon la société, il s'agit de la manière la plus efficace de répondre aux questions, dont la plupart portent sur les mêmes sujets. Tous les utilisateurs du courriel peuvent avoir accès à la majorité de leurs renseignements personnels quand ils le veulent. Ces renseignements regroupent des renseignements personnels qui ont été fournis lors de l'inscription ainsi que le contenu du compte de courriel. Les comptes étant gratuits, on ne retrouve, parmi ces renseignements, aucun renseignement aux fins de la facturation, comme cela pourrait être le cas pour d'autres types d'entreprises.

Conclusions

Rendues le 9 août 2005

Application  : Le principe 4.1.4b) stipule que les organisations doivent assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité; et le principe 4.9 énonce qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Aux termes du paragraphe 8(7), l'organisation qui refuse, dans le délai prévu, d'acquiescer à la demande notifie par écrit au demandeur son refus motivé et l'informe des recours que lui accorde la Loi. Le principe 4.10 stipule que toute personne doit être en mesure de se plaindre du non-respect des principes énoncés ci-dessus en communiquant avec la ou les personnes responsables de les faire respecter au sein de l'organisation concernée.

Pour tirer ses conclusions, la commissaire adjointe à la protection de la vie privée a délibéré comme suit :

Plainte relative à l'accès

• La société a refusé la demande écrite de la plaignante, conformément au paragraphe 8(7), et indiqué que cette dernière devait présenter une assignation de la cour pour obtenir les renseignements demandés. Pour justifier sa réticence à communiquer les adresses IP, la société a invoqué le fait que, la plupart du temps, ce sont des agents d'application de la loi ou des avocats qui demandent ces renseignements et non des clients. La société craignait également que ces renseignements ne permettent à la personne désirant les obtenir de tirer des conclusions inexactes (autrement dit, cette personne pourrait croire qu'un certain nombre de personnes changent son mot de passe, par exemple, alors que, de fait, l'adresse IP peut être uniquement liée à l'ordinateur du titulaire du compte).
• La commissaire adjointe est d'avis que l'adresse IP fait effectivement partie des renseignements se rapportant au compte et devrait être communiquée au titulaire du compte (sur demande). Le titulaire du compte est ensuite libre de poursuivre ses efforts pour identifier la personne en se servant de moyens juridiques. Quant à savoir si l'adresse IP fait partie des renseignements personnels d'un tiers, en présumant qu'il existe de fait un tiers, il s'agit de renseignements personnels à la fois sur le titulaire du compte et sur le tiers.
• Quoi qu'il en soit, la société ne possédait pas de renseignements permettant l'identification de l'adresse IP (seul le fournisseur des services Internet serait en possession de ce renseignement); on ne pouvait donc pas lui reprocher de ne pas avoir communiqué ce renseignement. Après l'intervention du Commissariat, la société a communiqué les dates de changements du mot de passe et les adresses IP des ordinateurs utilisés. La commissaire adjointe est convaincue que la plaignante a eu accès à ses renseignements personnels conformément au principe 4.9.

Par conséquent, la commissaire adjointe a conclu que la plainte relative à l'accès était résolue.

Plainte relative aux mesures de sécurité

• La commissaire adjointe a examiné les mesures de la société permettant de changer le mot de passe. Elle a constaté que les renseignements demandés, qui sont appariés aux renseignements fournis lors de l'inscription, peuvent être des renseignements connus d'un proche du titulaire du compte. C'est pourquoi une question secrète, choisie par le titulaire du compte à l'ouverture de celui-ci, est ensuite posée.
• Lorsque la plaignante a commencé à éprouver des problèmes relatifs à son mot de passe, on lui a conseillé de consulter la section d'aide en direct de la société qui traite des mesures qu'une personne doit prendre pour protéger son compte de courriel, notamment choisir un mot de passe et une question secrète que personne ne saurait deviner.
• La plaignante a dit qu'elle connaissait peu les questions d'ordre technologique et qu'elle n'avait donc pas bien compris les réponses données par la société à ses questions. Toutefois, après avoir examiné les renseignements qui lui ont été fournis par la société, la commissaire adjointe n'était pas d'avis qu'ils étaient difficiles à comprendre et elle estimait qu'il était raisonnable de s'attendre à ce qu'il incombe à la plaignante de les lire et d'y donner suite.
• La commissaire adjointe a signalé que, même s'il incombe aux organisations de protéger les renseignements personnels en leur possession, la personne doit veiller à protéger ses propres renseignements personnels. La société recommande fortement aux utilisateurs de choisir une question secrète que personne ne saurait deviner. De fait, dans l'un des courriels qu'elle a envoyés à la plaignante, elle lui rappelle de s'assurer d'être la seule personne à pouvoir répondre à la question secrète. Le nom de fille de sa mère n'était vraisemblablement pas le genre de renseignement qu'elle seule pouvait connaître.
• La commissaire adjointe pouvait donc difficilement tenir la société responsable puisque la plaignante n'a pas suivi les conseils de la société afin de protéger ses propres renseignements personnels. Elle a estimé que les mesures de la société étaient raisonnables et que la société n'avait pas enfreint le principe 4.7.

Elle a conclu que la plainte relative à l'accès était non fondée.

Plainte relative au non-respect de la loi

• Quant à l'allégation selon laquelle la société n'avait pas respecté la Loi, la commissaire adjointe a pris en compte la nature de la structure de la société.
• En sa qualité de société Internet fournissant un service de messagerie gratuit à ses clients, cette société compte sur les documents de référence en direct et les réponses par courriel du service à la clientèle pour traiter les plaintes et les demandes de renseignements. De façon générale, une telle approche semble acceptable et conforme au principe 4.1.4b).
• Toutefois, la commissaire adjointe a constaté qu'en vertu du principe 4.10, toute personne doit être en mesure de se plaindre en communiquant avec la personne responsable de faire respecter les principes de la Loi au sein de l'organisation concernée.
• La commissaire adjointe a fait savoir que l'agent de protection des renseignements personnels était en bout de ligne responsable, que la plaignante ait ou non suivi les instructions que lui avaient fournies les membres de l'effectif. En l'espèce, la plaignante avait expressément demandé le nom et le numéro de téléphone de la personne avec laquelle communiquer pour porter la question devant une instance supérieure. C'est à ce moment que les employés qui avaient transigé avec elle auraient dû porter la question à l'attention de l'agent de protection des renseignements personnels de la société.
• Elle a donc conclu que la société n'avait pas respecté le principe 4.10.

La commissaire adjointe a conclu que la plainte était fondée.

Autres considérations

La commissaire adjointe était d'avis que les représentants du service à la clientèle qui ont traité les demandes de la plaignante auraient dû comprendre par ses courriels qu'ils ne répondaient pas de façon satisfaisante à ses questions et auraient dû transmettre le dossier aux agents compétents, comme l'avait demandé la plaignante. La commissaire adjointe a souligné l'importance de rappeler aux employés que les questions de sécurité ont souvent des incidences sur la protection des renseignements personnels, incidences dont ils doivent tenir compte lorsqu'ils répondent aux préoccupations des clients. Elle a donc recommandé à la société de mettre en place une procédure en vertu de laquelle les questions relatives à la protection des renseignements personnels demeurées en suspens sont portées à l'attention de l'agent de la protection des renseignements personnels de la société.