De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-377
[Principes 4.1.3, 4.1.4a) et b), 4.5, 4.5.3, 4.7.1, 4.9, 4.9.4 et paragraphe 8(3)]
Leçons apprises
- Il faut avoir des pratiques de traitement des renseignements personnels convenables (politiques, procédures, échéanciers de conservation) pour protéger les renseignements personnels et permettre aux personnes d’avoir accès à leurs renseignements.
- Les renseignements personnels traités par un fournisseur de services de tierce partie sont considérés comme étant sous la responsabilité de la partie qui a donné le service en sous-traitance.
- Les entreprises doivent s’assurer que les tierces parties qui traitent des renseignements personnels ont en place un degré de protection des renseignements comparable au leur.
L’enquête sur une plainte formulée à la suite d’un refus d’accès à l’information a révélé de mauvaises pratiques de traitement des renseignements personnels. Le plaignant, qui était un client du cabinet d’avocats défendeur, a demandé l’accès à tous ses renseignements personnels détenus par ce dernier. Ne recevant pas de réponse, il a porté plainte au Commissariat.
Il est apparu que le cabinet avait perdu son dossier. Bien que le plaignant ait finalement reçu certains des documents financiers qu’il désirait, son dossier lui-même demeurait introuvable. La commissaire adjointe à la protection de la vie privée a déploré l’absence de politique et de procédure de protection des renseignements personnels et de calendrier de conservation, et a jugé la perte du dossier du plaignant inadmissible. Elle a recommandé au cabinet d’appliquer une politique et des procédures de protection des renseignements personnels afin de respecter les principes énoncés. Elle a déclaré que l’on devait faire en sorte de s’assurer que les tierces parties qui effectuent des travaux au nom du cabinet disposent de mesures comparables de protection, que des calendriers de conservation et de destruction des documents convenables soient établis et que des procédures qui permettent de traiter les demandes d’accès aux renseignements personnels dans les délais soient élaborées. Le cabinet a accepté de donner suite à une seule de ces recommandations. Par conséquent, la commissaire adjointe a conclu que la plainte était fondée et a prévenu l’organisation que le Commissariat poursuivrait l’affaire en vertu des pouvoirs que lui confère la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).
Suit un résumé du déroulement de l’enquête et des délibérations de la commissaire adjointe.
Résumé de l’enquête
Le plaignant était un client du cabinet en question. À titre de représentant juridique, ce dernier produit des documents tels que des déclarations sous serment à l’intention des clients. C’est ce qu’il a fait dans la présente affaire et il a ensuite renvoyé le plaignant (et ses documents) à un autre avocat auquel l’organisation fait appel, par voie contractuelle, pour le représenter juridiquement. Il s’agit d’une pratique habituelle du cabinet lorsqu’il renvoie un client à un avocat pour le représenter.
Le plaignant voulait tous les documents détenus par le cabinet, comme les chèques annulés, les déclarations sous serment et la copie des éléments de preuve utilisés dans le cadre de la procédure judiciaire. Lorsqu’il a été informé qu’il pouvait consulter ces renseignements au palais de justice (les renseignements sont conservés pendant dix ans), le plaignant a déclaré y être allé mais n’avoir rien reçu. Il nous a également précisé que l’avocat auquel il avait été renvoyé ne lui avait jamais rendu ses documents.
Le cabinet a fourni au plaignant quelques documents avant de recevoir sa demande d’accès. Parmi ces documents figuraient des lettres du cabinet et des éléments qui auraient vraisemblablement accompagné une déclaration sous serment.
Afin de déterminer quels documents, le cas échéant, le cabinet détenait toujours, des représentants du Commissariat se sont rendus sur les lieux pour examiner ses politiques, procédures et mesures de protection des renseignements personnels et son calendrier de conservation.
L’enquête a démontré que le cabinet ne disposait pas de politique ni de procédure écrite de protection des renseignements personnels. Selon le cas, les renseignements des clients sont conservés, détruits ou retournés. Après qu’un client est renvoyé à un autre avocat, son dossier est transféré à ce dernier. Les dossiers peuvent ou non être retournés au cabinet, car ils sont parfois remis au client à la fin de la procédure. Il n’existe pas de procédure concernant le traitement du dossier ou la durée de sa conservation une fois l’affaire close. Néanmoins, nous avons appris que l’organisation respectait la confidentialité de ses clients.
Avec les représentants du cabinet, nous avons examiné les étapes du traitement des dossiers. Lorsqu’un client sollicite ses services, un dossier est ouvert où l’on range tous les éléments d’information reçus ou produits dans le cadre d’une affaire. Le conseiller juridique chargé de l’affaire, par voie contractuelle, récupère le dossier qu’il emporte au tribunal pour l’audience. À la fin de l’audience ou de la comparution, le conseiller ou le client retourne le dossier au cabinet qui le conserve dans ses bureaux, à moins que le client ne veuille le garder.
Nous avons aussi examiné la façon dont le cabinet documente les réunions avec ses clients, se prépare pour les audiences ou les procès, et facture les clients. Nous avons constaté qu’il avait envoyé au plaignant une facture produite par ordinateur qui contenait ses renseignements personnels. Le cabinet a indiqué qu’il disposait peut-être d’autres documents électroniques contenant des renseignements personnels, documents qui n’avaient pas été fournis au plaignant.
Le cabinet a expliqué qu’il conservait un registre des paiements effectués. Il a admis n’avoir pas pensé aux documents financiers lorsqu’il avait reçu la demande d’accès aux renseignements personnels du plaignant et avoir peut-être interprété trop étroitement la demande. À la suite de notre réunion avec le cabinet, celui-ci a confirmé qu’il y avait d’autres documents contenant des renseignements personnels du plaignant, notamment les relevés des opérations financières, lesquels lui ont été envoyés presque 23 mois après qu’il en a fait la demande.
Cependant, la question de savoir où se trouvait le dossier juridique du plaignant n’était pas résolue. Un représentant du cabinet ne se souvenait pas exactement de la quantité d’information contenue dans le dossier, mais pensait qu’il était « volumineux ». Le cabinet a fini par admettre qu’il ne parvenait pas à expliquer ce qu’il était advenu du dossier et qu’il était perdu. Les employés ont cherché dans les bureaux, ils ont consulté l’avocat qui s’était occupé de l’affaire (ainsi que l’autre avocat auquel le cabinet a fait appel), mais en vain. L’avocat qui a représenté le plaignant nous a confirmé qu’il n’avait aucun renseignement à son sujet. Il a déclaré avoir pour habitude de remettre le dossier au client ou de le retourner au cabinet défendeur, selon les circonstances.
D’après le cabinet, la base de données électronique est nettoyée périodiquement, mais les copies papier des dossiers ne sont pas conservées indéfiniment. Il a déclaré ne conserver que les dossiers courants. Il a ensuite précisé que dans le cas des dossiers immobiliers, il conservait les documents « quelque deux ans ». Dans le cas des affaires pénales, l’information est gardée pendant la période de l’appel, tandis que dans les affaires relatives au droit du travail et aux ressources humaines, si le client veut le dossier à la fin du service, il est encouragé à le récupérer. Le cabinet a déclaré qu’il demandait toujours au client de lui fournir des photocopies des documents ou à en garder pour lui-même. Le cabinet conserve pendant un maximum de sept ans les dossiers relatifs au travail et aux ressources humaines que le client ne veut pas récupérer.
Conclusions
Rendues le 5 avril 2007
Application : Conformément au principe 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements en cours de traitement par une tierce partie. Le principe 4.1.4 stipule que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; et b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements, et y donner suite.
Le principe 4.5 recommande que les organisations élaborent des lignes directrices et appliquent des procédures pour la conservation des renseignements personnels. Ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Le principe 4.5.3 énonce qu’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on a besoin aux fins précisées. Les organisations doivent élaborer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels. En vertu du principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
Le principe 4.9 établit que, sur demande, une personne doit être informée de l’existence, de l’utilisation et de la communication de renseignements personnels la concernant et doit obtenir accès à ces renseignements. Aux termes du principe 4.9.4, une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et à un coût minime sinon nul pour la personne. Conformément au paragraphe 8(3), l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception.
Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :
- Au début, la commissaire adjointe a constaté l’aspect troublant de l’affaire, où de mauvaises pratiques de traitement des renseignements personnels d’une personne l’empêchent d’accéder à ses dossiers.
- Le plaignant a formulé une demande simple. Près de deux ans plus tard, et après l’intervention du Commissariat, il a eu accès à une partie de ses documents personnels, à savoir les relevés des opérations financières. Le reste des documents qu’il cherchait ne lui a pas été fourni et ne lui sera pas fourni, car le cabinet n’a pas pu expliquer ce qu’il en était advenu.
- La commissaire adjointe a observé qu’afin de donner accès aux personnes aux renseignements personnels les concernant en vertu du principe 4.9 de la Loi, les organisations être dotées de politiques, de procédures et des calendriers de conservation adéquats – ces éléments étant tous exigés par la loi.
- D’après l’enquête, il semble que le cabinet en question ait manqué à chacune de ces obligations.
- Contrairement aux principes 4.1.4 a) et b), le cabinet n’avait pas de politique ni de procédure régissant la protection des renseignements personnels ou la réponse à une demande d’accès à ces renseignements.
- En fait, le cabinet, qui recueille les renseignements du client, abandonne la responsabilité des renseignements, contrairement aux obligations que lui impose le principe 4.1.3, en ce sens qu’il ne semble pas savoir exactement ce que deviennent les dossiers une fois qu’il ne les a plus en sa possession. Il ne s’est absolument pas inquiété de savoir si l’avocat auquel il avait fait appel, par voie contractuelle, avait des pratiques de traitement des renseignements personnels adéquates. Par conséquent, il n’a pas veillé à ce que les renseignements personnels dont il avait la charge (ces renseignements sont la responsabilité du cabinet, qu’ils soient physiquement dans les bureaux du cabinet ou chez l’avocat qui travaille pour le cabinet à titre contractuel) aient été bien protégés, comme l’exige le principe 4.7.1.
- Le cabinet n’avait pas non plus établi de calendriers fixes de conservation et de destruction des renseignements personnels.
- Par conséquent, la commissaire adjointe n’a pas été étonnée d’apprendre que le cabinet avait perdu le dossier du plaignant. Ce n’en était pas moins totalement inadmissible.
- La commissaire adjointe était d’avis que le cabinet devait corriger ces déficiences afin de respecter les obligations de la Loi, en général, et l’obligation de fournir l’accès aux renseignements personnels dans les délais, en particulier.
- Elle a recommandé au cabinet d’élaborer une politique et des procédures de protection des renseignements personnels qui tiennent compte des principes énoncés dans la Loi. Elle a noté qu’il devait notamment :
-
- s’assurer que les tierces parties effectuant des travaux en son nom disposent de mesures comparables de protection pendant le traitement des renseignements;
- établir des calendriers de conservation et de destruction des renseignements personnels en sa possession;
- instaurer des procédures de traitement des demandes d’accès aux renseignements personnels.
- Le cabinet a seulement donné suite à la dernière recommandation. Il a résolu le problème de traitement des demandes d’accès aux renseignements personnels et envisage d’établir une liste des documents remis à des tiers.
- La commissaire adjointe a constaté que, bien que ces mesures aient réglé, en partie, les problèmes soulevés durant l’enquête (et qu’elles aient aidé le cabinet à respecter les principes 4.1.4a) et b), 4.9 et 4.9.4), le cabinet n’avait pas rempli totalement ses obligations aux termes de la Loi, tel qu’on le lui avait recommandé. Elle a donc jugé que le cabinet contrevenait toujours aux principes 4.1.3, 4.5, 4.5.3 et 4.7.1.
De ce fait, la commissaire adjointe a conclu que la plainte était fondée. Elle a prévenu l’organisation que le Commissariat poursuivrait l’affaire en vertu des pouvoirs que lui confère la Loi sur la protection des renseignements personnels et les documents électroniques.
Voir aussi
Exemples de plaintes réglées en cours d’enquête :
Post-scriptum
La commissaire avait indiqué son intention de déposer une demande d’audience à la Cour fédérale en vertu de l’article 15. L’affaire a été réglée avant le dépôt de sa demande.
- Date de modification :