Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Un vendeur de billets d’avion a commis une erreur en recueillant des renseignements sur l’âge exact

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-006

[Principes 4.1.4 et 4.4.1]

Leçons apprises

  • Les renseignements personnels dont une organisation n’a pas besoin pour offrir un service ne devraient pas être exigés du client ou recueillis.
  • Des renseignements personnels de nature plus générale peuvent parfois être suffisants pour offrir le service, même lorsque l’organisation fournissant le service doit recueillir des renseignements en raison d’une disposition de loi. Par exemple, pour ce qui est des soumissions d’assurance, il est possible de connaître seulement la plage d’âge des clients, plutôt que la date de naissance et l’âge exact.
  • Les organisations doivent avoir mis en place une politique sur la protection des renseignements personnels conforme à la Loi sur la protection des renseignements personnels et les documents électroniques. Les clients doivent pouvoir accéder facilement à cette politique.

Lorsque la plaignante a voulu acheter un billet d’avion en ligne auprès d’un vendeur à prix réduit, elle a dû fournir le mois et l’année de sa naissance pour l’établissement d’une soumission d’assurance voyage. L’entreprise de vente de billets en ligne a affirmé qu’en vertu du droit provincial, elle devait recueillir le mois et l’année de la naissance de tous les clients pour leur fournir une soumission d’assurance, même si ceux‑ci choisissent de refuser l’offre. La commissaire adjointe a déterminé qu’en fait, la loi provinciale n’exige pas l’âge exact du client, ni le mois ou l’année de sa naissance, pour l’obtention d’une soumission d’assurance — la catégorie d’âge (c.‑à‑d. la plage d’âge) du client suffit.

L’organisation a donc changé ses pratiques et procédures d’achat de billets d’avion en ligne afin de ne pas demander de renseignements aussi précis sur l’âge des clients.

La section qui suit est un aperçu de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

Une cliente d’un service en ligne de vente de billets d’avion à prix réduit a acheté un billet sur le site Web de l’organisation.

Durant la transaction, elle a constaté les faits suivants :

  • Elle devait fournir le mois et l’année de sa naissance pour obtenir une soumission d’assurance voyage.
  • Elle ne pouvait effectuer l’achat sans saisir le mois et l’année de sa naissance.
  • Après avoir saisi le mois et l’année de sa naissance, elle a pu refuser l’option d’achat d’une assurance voyage.
  • Le mois et l’année de sa naissance figuraient dans le courriel confirmant l’achat de son billet, même si elle n’avait pas fait l’acquisition d’une assurance voyage.

La cliente a communiqué avec l’organisation, et on lui a répondu ce qui suit :

  • Le mois et l’année de la naissance des clients sont requis aux fins de l’établissement d’une soumission d’assurance voyage.
  • L’organisation avait récemment retenu les services d’un avocat pour rédiger une politique d’entreprise sur la protection des renseignements personnels.

La cliente n’était pas satisfaite de la réponse. Elle croyait qu’il ne devrait pas être obligatoire de fournir des renseignements personnels de ce type, puisque les clients peuvent prendre leurs propres arrangements en matière d’assurance voyage.

L’organisation a affirmé qu’en vertu du paragraphe 34(5) du Règlement de l’Ontario 26/05 de la Loi de 2002 sur le secteur du voyage de l’Ontario, elle était tenue de préciser la disponibilité et le coût de toute assurance d’annulation de voyage applicable. La loi régit les activités des grossistes et des vendeurs au détail du secteur du voyage enregistrés. Selon l’organisation, pour se conformer à la loi, elle devait obtenir le mois et l’année de la naissance de chaque client durant le processus d’enregistrement du billet.

Le Commissariat a examiné le paragraphe 33(4) du Règlement de l’Ontario 26/05 et a seulement confirmé en partie les allégations de l’organisation. En fait, on détermine le coût de l’assurance voyage au moyen d’une formule en cinq parties, dont l’une des composantes est l’âge du voyageur, et non le mois et l’année de sa naissance.

Puisque l’organisation est membre du Conseil de l’Industrie du tourisme de l’Ontario (CITO), nous avons également examiné la version la plus récente du Code of Practice for Electronic Commerce (Code de pratique en matière de commerce électronique). (Le CITO est mandaté par le gouvernement de l’Ontario pour gérer la Loi sur le secteur du voyage.)

L’Annexe C du Code of Practice, TICO Guidelines for Disclosure (Lignes directrices du CITO en matière de communication) était conforme à l’article 36 du Règlement de l’Ontario 26/05, indiquant que les membres doivent informer leurs clients de la disponibilité d’une assurance‑annulation de voyage et d’une assurance-maladie hors province, s’il y a lieu. Toutefois, nous avons également déterminé que des renseignements moins détaillés sur l’âge, comme la plage d’âge (p. ex. 18 à 59 ans), suffiraient pour s’acquitter des obligations juridiques en vertu de la Loi sur le secteur du voyage de l’Ontario.

La commissaire adjointe a donc recommandé à l’organisation de modifier son processus d’enregistrement en ligne afin que les clients puissent indiquer seulement leur âge ou la plage d’âge qui s’applique. Elle recommande également de supprimer ces renseignements des documents de confirmation des billets électroniques.

L’organisation doit également élaborer une politique sur la protection des renseignements personnels, rendre cette politique accessible aux clients et l’afficher sur son site Web.

L’organisation a accepté d’appliquer les recommandations. La seule exception est que la date complète de la naissance est requise pour les billets des enfants de moins de 24 mois, puisque la compagnie aérienne doit confirmer l’âge exact de l’enfant afin que celui-ci soit admissible à des tarifs réduits.

Conclusions

Rendues le 24 mars 2009

Application : Le principe 4.1.4 précise que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes de l’annexe 1 de la Loi. Le principe 4.4.1 établit, en partie, que les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • L’organisation ne possédait pas de politique sur la protection des renseignements personnels, ce qui contrevenait au principe 4.1.4 de la Loi. L’organisation a convenu d’appliquer la recommandation de la commissaire adjointe en affichant une politique sur la protection des renseignements personnels sur son site Web.
  • La collecte par l’organisation du mois et de l’année de naissance de chaque client n’était pas justifiée et contrevenait au principe 4.4.1. L’organisation a accepté d’appliquer la recommandation de la commissaire adjointe en utilisant des plages d’âge, sauf pour ce qui est des enfants de moins de 24 mois, dont les compagnies aériennes exigent la date de naissance exacte.

Conclusion

La commissaire adjointe conclut que la plainte était résolue.

Date de modification :