Le défaut de suivre les procédures de validation d’identité a permis à un imposteur de modifier un contrat de téléphonie cellulaire à l’insu et sans le consentement du client
Rapport des conclusions en vertu de la LPRPDE no 2012-006
Le beau-fils du titulaire d’un compte auprès d’une entreprise de télécommunications s’est adressé à l’employé du kiosque de l’entreprise dans un centre commercial. Il était un utilisateur autorisé du compte de téléphone cellulaire de son beau-père, sans toutefois jouir d’un accès administratif lui permettant de modifier les paramètres du compte. Se faisant passer pour son beau-père, il a amené l’employé du kiosque à modifier les modalités du service de téléphone et renouveler le contrat. Le beau-père a porté plainte auprès de l’entreprise de télécommunications quand il a pris connaissance des changements non autorisés. Il affirme qu’une agence de recouvrement l’a appelé à plusieurs reprises à propos de factures impayées par suite des changements non autorisés à son compte.
La commissaire adjointe a conclu que l’entreprise de télécommunications avait utilisé les renseignements personnels du titulaire du compte à son insu et sans son consentement pour modifier et renouveler son compte. De plus, elle n’avait pas pris les mesures de sécurité nécessaires pour protéger les renseignements personnels du client quand l’employé du kiosque a omis de suivre les procédures habituelles de validation de l’identité du client adoptées par l’entreprise et a permis au beau-fils de modifier et renouveler le contrat en se faisant passer pour son beau-père. La commissaire adjointe a déterminé que l’entreprise de communications a réglé les questions en cause durant l’enquête en fournissant une formation de rattrapage à l’employé du kiosque et en rappelant à tous les représentants du service à la clientèle l’exigence de valider l’identité des détenteurs de compte avant d’utiliser ou de divulguer des renseignements personnels.
La plainte était fondée et a été résolue.
Leçon apprise
- Les organismes doivent veiller à protéger les renseignements personnels des consommateurs en adoptant des mesures de sécurité adaptées au degré de sensibilité des renseignements. Par exemple, avant d’utiliser des renseignements personnels relatifs à un compte ou de les communiquer à un demandeur, ils doivent au préalable valider l’identité du demandeur.
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
1. Le plaignant allègue qu’une entreprise de téléphonie mobile (la « mise en cause ») a utilisé abusivement ses renseignements personnels quand elle a permis à une partie non autorisée de modifier son contrat de téléphone cellulaire.
Résumé de l’enquête
2. Le plaignant avait un compte de téléphone cellulaire avec l’entreprise. Son beau-fils était autorisé à utiliser l’un des téléphones enregistrés sur ce compte.
3. Le plaignant a appris que son beau-fils avait renouvelé le compte pour trois ans en modifiant les modalités, alors qu’il n’était pas autorisé à apporter des modifications de nature administrative.
4. Lorsqu’elle a établi la nouvelle entente de service signée par le beau-fils, l’entreprise de télécommunications a utilisé les renseignements personnels du plaignant, en particulier son nom, son adresse domiciliaire, ses numéros de téléphone à la maison et au travail, son adresse électronique et le mot de passe de son compte.
5. Le plaignant a immédiatement porté la question à l’attention de l’entreprise de télécommunications en envoyant des lettres aux échelons supérieurs de la direction de l’organisation. L’entreprise a répondu au plaignant et proposé de réduire les montants en souffrance. Le plaignant, qui n’était pas satisfait de la proposition et qui craignait son incidence négative éventuelle sur sa cote de solvabilité, a déposé la plainte visée par le présent rapport auprès du Commissariat, qui l’a acceptée le 12 avril 2011.
6. Le commissaire aux plaintes relatives aux services de télécommunications a dirigé une enquête portant sur les faits en question. Dans son rapport préliminaire, il a indiqué que l’entreprise de télécommunications avait violé les modalités du contrat de téléphone cellulaire du plaignant en autorisant son beau-fils à le modifier.
7. Pendant ce temps, au moins une agence de recouvrement avait communiqué avec le plaignant à propos des soldes en souffrance sur son compte de téléphone cellulaire (notamment des paiements en retard et d’autres frais).
8. L’entreprise de télécommunications a ensuite informé le Commissariat que sa propre enquête sur la question était terminée.
9. Son enquête lui avait permis d’établir que le beau-fils s’était fait passer pour le client quand il s’était présenté et avait affirmé à l’employé du kiosque être le titulaire du compte. Toutefois, l’entreprise reconnaît que l’employé du kiosque n’avait pas suivi la procédure adéquate de validation de l’identité du client et n’avait pas demandé une pièce d’identité pour bien confirmer qu’il s’agissait du titulaire du compte. Selon l’entreprise, tous les marchands autorisés suivent la même procédure et doivent demander deux pièces d’identité au client qui souhaite avoir accès à un compte ou y apporter des modifications.
10. Par conséquent, l’entreprise de télécommunications a renoncé aux frais en souffrance du compte du plaignant et nous a reconfirmé qu’elle avait communiqué avec l’agence d’évaluation du crédit pour s’assurer qu’aucune mention de cet incident ne figurait dans son rapport de solvabilité.
11. L’entreprise de télécommunications a informé le Commissariat que l’employé du kiosque avait reçu une formation de rattrapage par suite de l’incident. Par ailleurs, elle a transmis un rappel à tous les représentants du service à la clientèle pour leur indiquer qu’une identification est nécessaire pour confirmer que la personne est le titulaire du compte.
Application de la Loi
12. Pour rendre nos décisions, nous avons appliqué le principe 4.3 de la partie 1 de la Loi. D’après ce principe, il faut informer la personne de l’utilisation de ses renseignements personnels et obtenir son consentement à cet égard, à moins qu’il ne soit pas approprié de le faire.
13. Nous avons également appliqué le principe 4.7, selon lequel les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
14. Le principe 4.7.1 est également pertinent. Il stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
Constatations
Le 25 juillet 2012
15. Il faut déterminer si l’entreprise de télécommunications a utilisé les renseignements personnels du plaignant à son insu et sans son consentement quand elle a établi un nouveau contrat de téléphone cellulaire.
16. L’enquête a révélé que le beau-fils du plaignant s’était fait passer pour lui auprès de l’employé du kiosque et avait conclu un nouveau contrat de téléphone cellulaire avec l’entreprise de télécommunications. N’ayant pas validé l’identité de la personne, l’employé a ensuite utilisé les renseignements personnels du plaignant pour renouveler le contrat. Cette utilisation non autorisée contrevient au principe 4.3.
17. De plus, en omettant de prendre les mesures de sécurité établies et en ne demandant pas au beau-fils de fournir deux pièces d’identité adéquates, l’entreprise de télécommunications ne s’est pas conformée aux principes 4.7 et 4.7.1.
18. Selon nous, la mise en cause a réglé les problèmes en question pendant l’enquête du Commissariat. Plus précisément, elle s’est assurée d’offrir une formation de rattrapage à l’employé fautif.
19. De plus, pour éviter que cette situation ne se reproduise, l’entreprise a envoyé un rappel à l’ensemble de ses représentants du service à la clientèle pour les informer qu’ils doivent toujours confirmer l’identité des titulaires de compte avant d’effectuer des opérations entraînant l’utilisation ou la communication des renseignements personnels liés au compte de la personne.
Conclusion
20. Nous concluons donc que la plainte est fondée et résolue.
- Date de modification :