Les renseignements personnels bancaires d’un client sont trouvés dans un bac de recyclage
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-356
[Principes 4.7 et 4.7.5]
Lorsqu’une personne a appris que ses renseignements personnels bancaires avaient été trouvés dans un bac de recyclage, il a porté l’affaire à l’attention du Commissariat à la protection de la vie privée du Canada. La commissaire adjointe à la protection de la vie privée a conclu que les mesures de protection en place étaient insuffisantes, et a recommandé que la banque les améliorent, ce qu’elle a fait. La plainte a été considérée fondée et réglée.
Voici un résumé du déroulement de l’enquête et les délibérations de la commissaire adjointe.
Résumé de l’enquête
Le plaignant a reçu une lettre d’une tierce partie, accompagnée d’un document de deux pages. La lettre précisait que le document, qui contenait les renseignements personnels du plaignant en rapport avec des investissements, avait été trouvé dans le bac de recyclage d’un stationnement souterrain non surveillé. Les renseignements figurant dans ce document comprenaient les noms, adresse, numéros d’assurance sociale et numéro de compte du plaignant et de sa femme, ainsi que leur historique de transactions.
La banque a reconnu qu’il y avait eu atteinte à la vie privée. Elle a retracé le cheminement des documents jusqu’à la source et a déterminé que deux membres du personnel à qui on avait confié la tâche de vider le bureau d’un ancien employé, avaient vraisemblablement jeté ces documents par inadvertance dans un bac de recyclage au lieu d’un bac de déchiquetage. La banque a examiné son processus d’élimination des ordures, des produits recyclables et des documents déchiquetés et a mené une inspection de ses bureaux. La banque a également interrogé plusieurs employés sur place. Elle a déclaré qu’elle prévoyait examiner son processus de déchiquetage et de recyclage et tenir compte, notamment, de la nécessité de communiquer plus efficacement ces procédures à un vaste ensemble d’employés. Elle a ajouté qu’elle envisageait de revoir ses politiques sur la conservation des documents.
Conclusions
Rendues le 23 octobre 2006
Application : Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.5 stipule qu’au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d'y avoir accès.
La commissaire adjointe a déterminé que les mesures mises en place par la banque n’étaient pas suffisamment efficaces pour faire en sorte que les renseignements personnels du plaignant soient dûment protégés contre toute divulgation non autorisée, à l’encontre des principes 4.7 et 4.7.5.
La commissaire adjointe s’est également dite inquiète que des documents de nature aussi délicate aient été abandonnés pendant si longtemps dans le bureau d’un employé qui avait quitté la banque une année auparavant. Elle a donc recommandé à la banque d’élaborer une politique pour s’assurer que lorsqu’un employé quitte la banque, une approche systématique est prévue pour protéger tous les renseignements personnels des clients que l’employé avait en sa possession.
La banque a avisé la commissaire adjointe qu’elle avait un processus en place pour la gestion des départs. Par ailleurs, certains secteurs d’activités pourraient avoir leur propre processus adapté à leurs besoins. La banque a également indiqué qu’un protocole amélioré et exhaustif sur les départs est actuellement en cours d’élaboration. Il devrait être terminé plus tard cette année.
À la lumière de ce qui précède, la commissaire adjointe a jugé que la banque avait donné suite à ses recommandations.
La commissaire adjointe a donc conclu que la plainte était fondée et résolue.
- Date de modification :