Des renseignements personnels sont communiqués sans consentement dans un message téléphonique laissé sur le lieu de travail d’une cliente
Rapport des conclusions en vertu de la LPRPDE no 2012-009
La plaignante, qui travaillait pour un salon de coiffure, songeait à quitter son emploi pour ouvrir son propre salon de coiffure à la maison. Lorsqu’elle a communiqué avec une compagnie d’assurance pour obtenir de l’information sur l’assurance commerciale, on lui a dit qu’une représentante du secteur commercial la rappellerait pour lui fournir un devis. La plaignante affirme qu’au cours de cet appel initial, elle a clairement indiqué à la compagnie d’assurance de ne pas communiquer avec elle à son lieu de travail.
Or, la représentante du secteur commercial a téléphoné au travail de la plaignante et laissé un message enregistré sur le système de messagerie vocale de son employeur lui demandant plus d’information sur le salon de coiffure qu’elle envisageait d’ouvrir à la maison. L’employeur de la plaignante a entendu le message et a congédié son employée sans préavis. La plaignante a déposé une plainte auprès du Commissariat, affirmant que la représentante du secteur commercial avait communiqué à des tiers des renseignements personnels la concernant sans avoir obtenu son consentement.
La commissaire adjointe a conclu que des renseignements personnels de la plaignante avaient été communiqués sans son consentement – explicite ou implicite. Par conséquent, elle a formulé des recommandations précises à l’intention de la compagnie d’assurance, qui a en fin de compte convenu de (1) mettre en œuvre une nouvelle procédure permettant de réduire au minimum l’information laissée par les employés sur les messageries vocales des clients; et de (2) modifier les procédures en place afin de s’assurer que les coordonnées et les préférences des clients en matière de messagerie soient mises à jour régulièrement pour en assurer l’exactitude. La compagnie d’assurance a également accepté de communiquer ces procédures mises à jour à ses employés.
La plainte était fondée et elle a été résolue.
Leçons apprises
- Les renseignements personnels peuvent désigner toute information sur une personne identifiée ou pouvant être identifiée.
- Il faut obtenir le consentement d’une personne avant de communiquer des renseignements personnels la concernant (à moins qu’une exemption ne s’applique en vertu de la LPRPDE).
- Les messages laissés à l’intention d’une personne en particulier – mais pouvant être entendus par d’autres personnes – peuvent donner lieu à une communication involontaire de renseignements personnels concernant cette personne.
- Les organisations doivent mettre en place des procédures adéquates pour protéger les renseignements personnels (par exemple, dans un milieu axé sur le service à la clientèle); elles doivent communiquer ces procédures à leur personnel; elles doivent fournir au personnel la formation qui lui permettra de s’assurer qu’il met en œuvre les procédures de façon appropriée.
- Les organisations doivent également faire preuve de vigilance lorsqu’il s’agit de protéger les renseignements personnels, en adoptant des mesures de sécurité adaptées au degré de sensibilité des renseignements.
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
1. La plaignante affirme qu’une compagnie d’assurance a divulgué des renseignements personnels la concernant sur le système de messagerie vocale de son employeur, et ce, sans obtenir son consentement
Résumé de l’enquête
2. La plaignante travaillait dans un salon de coiffure. En janvier 2011, elle a téléphoné à une compagnie d’assurance afin d’obtenir un devis d’assurance de responsabilité civile pour un salon de coiffure à la maison. On lui a alors répondu qu’un représentant la rappellerait pour lui fournir l’information demandée.
3. La plaignante affirme qu’elle a demandé à la compagnie d’assurance de ne pas lui téléphoner au travail, car son employeur n’était pas au courant de son intention d’ouvrir son propre salon de coiffure. La compagnie d’assurance nie avoir reçu une telle demande.
4. Quelques jours plus tard, l’employeur de la plaignante a reçu un message de la compagnie d’assurance sur le système de messagerie vocale du salon de coiffure. Le message était destiné à la plaignante. Cette dernière allègue que le message provenait d’une représentante de la compagnie d’assurance qui lui demandait de la rappeler et de lui fournir plus de renseignements sur l’entreprise qu’elle envisageait d’ouvrir à la maison.
5. La plaignante explique qu’elle a alors informé son employeur de son intention de démissionner dans environ cinq semaines, soit une période assez longue pour lui permettre de mettre sur pied sa propre entreprise et pour permettre au salon d’engager un remplaçant. Toutefois, elle a été congédiée sans préavis dans la semaine qui a suivi.
6. La plaignante a communiqué avec la compagnie d’assurance pour l’informer de son congédiement. Elle a également fait parvenir un courriel à l’agente responsable de la protection des renseignements personnels de la compagnie, dans lequel elle l’a informée qu’elle envisageait de communiquer avec un avocat. Elle a également demandé à la compagnie d’assurance ce qui constituerait selon elle une juste indemnisation. L’agente responsable de la protection des renseignements personnels lui a répondu immédiatement, affirmant que d’après ses vérifications, les employés de la compagnie n’avaient pas été avertis qu’il fallait lui téléphoner uniquement à la maison. Elle a également affirmé qu’elle voulait résoudre l’affaire avec la plaignante.
7. La plaignante est en désaccord avec l’affirmation de l’agente responsable selon laquelle les employés de la compagnie d’assurance n’étaient pas au courant de l’entente préalable, soit lui téléphoner uniquement à la maison. Elle a tenté sans succès de recommuniquer avec la compagnie pour discuter de la question. Elle a alors déposé une plainte auprès du Commissariat, qui l’a acceptée le 17 mars 2011.
8. Dans sa déclaration au Commissariat, la compagnie d’assurance a admis que l’un de ses employés avait laissé un message à l’intention de la plaignante sur la boîte vocale générale de son employeur. Elle prétend que ce message avait pour but de donner suite à la demande de devis d’assurance de responsabilité civile de la plaignante pour l’entreprise qu’elle envisageait d’ouvrir à la maison.
9. Au cours de notre enquête, la compagnie d’assurance nous a fourni certains documents internes. À partir de l’information recueillie, nous avons établi que la première personne avec laquelle la plaignante avait discuté avait renvoyé la demande à une collègue (une « représentante du secteur commercial »). La représentante a été informée par courriel qu’il serait plus facile pour elle de communiquer avec la plaignante le lundi. Le courriel n’indiquait pas que la plaignante ne travaillait pas ce jour-là. Il y avait un numéro de téléphone (celui du salon de coiffure), mais aucun autre numéro.
10. Nous avons pris connaissance des notes de la représentante du secteur commercial pour la journée du 10 janvier 2011. La représentante y a indiqué qu’elle avait laissé un message demandant à la plaignante de la rappeler pour lui fournir des détails « sur le salon de coiffure afin de pouvoir lui donner un devis ».
11. Le lendemain, la représentante a indiqué dans ses notes que la plaignante l’avait rappelée et qu’elle était fort mécontente. Au cours de l’appel, la plaignante a signalé à la représentante qu’elle avait laissé des instructions très claires de la rappeler uniquement à la maison.
12. Dans son journal de notes, la représentante a rédigé un résumé du premier appel, en établissant la distinction entre le numéro de téléphone de l’entreprise et le numéro de téléphone au travail. (« J’ai composé le numéro de téléphone de l’entreprise et j’ai laissé un message à l’intention de la plaignante… il s’agissait de son numéro au travail. ») Elle affirme qu’elle s’est excusée auprès de la plaignante et l’a invitée à communiquer avec elle plus tard de la maison pour obtenir le devis.
13. Au cours de notre enquête, nous avons également pris connaissance de l’entente de confidentialité signée par le personnel de la compagnie d’assurance, que les deux représentantes avec lesquelles la plaignante avait parlé avaient signée en décembre 2004. Dans cette entente, les deux employées s’engageaient à respecter les dispositions de la Loi. Toutefois, nous avons appris que la compagnie d’assurance n’avait aucune politique ou procédure précise ayant trait aux messages laissés sur les répondeurs téléphoniques. Quand nous avons recommandé à l’organisation de mettre en œuvre des politiques ou des pratiques additionnelles pour protéger les renseignements personnels auxquels elle avait accès, l’agente responsable de la protection des renseignements personnels ne partageait pas notre opinion.
14. Dans sa déclaration du 26 avril 2011, la compagnie d’assurance nous a indiqué qu’il avait encore l’intention de parvenir à une entente avec la plaignante.
15. Le 15 juin 2012, le Commissariat a présenté à la compagnie d’assurance un rapport d’enquête préliminaire portant sur les questions abordées dans la plainte et demandait à la compagnie d’assurance de donner suite à ses recommandations. On trouvera ci-après notre analyse des données probantes recueillies au cours de notre enquête.
Application de la Loi
16. Pour prendre notre décision, nous avons appliqué les principes 4.3, 4.1.4, 4.7 et 4.7.4 de l’annexe 1 de la Loi.
17. En vertu du principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
18. Le principe 4.1.4 indique notamment que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : (a) la mise en œuvre des procédures pour protéger les renseignements personnels; et (c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation.
19. Le principe 4.7 indique que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
20. Le principe 4.7.4 exige que les organisations sensibilisent leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.
Conclusions
Le 8 août 2012
Consentement
21. Nous sommes d’avis que les renseignements dont il est question – le fait que la plaignante voulait obtenir un devis d’assurance de responsabilité civile pour une entreprise à domicile qu’elle souhaitait démarrer – constituent les renseignements personnels concernant la plaignante.
22. Notre enquête n’a pas permis de recueillir des preuves à l’appui de l’allégation de la plaignante selon laquelle elle aurait demandé expressément à la compagnie d’assurance de la rappeler uniquement à la maison.
23. Néanmoins, les parties s’entendent pour dire que la compagnie d’assurance a tenté de communiquer avec la plaignante en utilisant son numéro de téléphone au travail. Des renseignements personnels sur la plaignante ont alors été communiqués sans son consentement dans un message enregistré auquel des membres du personnel du salon avaient accès. Il s’agissait là d’une infraction indéniable au principe 4.3, selon lequel toute personne doit être informée de toute communication de renseignements personnels qui la concernent et y consentir.
24. Compte tenu de la grande quantité de renseignements personnels sur la plaignante qui a été communiquée dans le message téléphonique et de la nature sensible de ces renseignements, et étant donné que d’autres employés avaient accès à ces renseignements, nous sommes d’avis que la représentante de la compagnie d’assurance n’aurait pas dû se fier au consentement implicite de la plaignante pour laisser le message comme elle l’a fait.
Mesures de sécurité
25. Nous sommes d’avis que la compagnie d’assurance a communiqué plus d’information que nécessaire alors que la plaignante devait simplement retourner l’appel de la représentante de la compagnie d’assurance.
26. Nous sommes d’avis que dans ce contexte particulier – où l’information sur le salon à domicile d’une personne est communiquée sur la boîte vocale générale d’un employeur –, l’information en cause constitue des renseignements personnels sensibles.
27. Le principe 4.7 indique que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.4 exige que les organisations sensibilisent leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels.
28. Aucune mesure de sécurité minimale n’a donc été prise dans ce cas pour protéger les renseignements personnels de la plaignante. En outre, selon les preuves indirectes, les renseignements personnels sur la plaignante communiqués à son travail étaient suffisamment sensibles pour entraîner son congédiement.
Responsabilité
29. Comme l’a montré le cas en question, la communication inconsidérée de renseignements personnels sensibles sur une personne à des tiers non autorisés peut avoir de graves conséquences. Une organisation peut éviter ces communications en prenant les précautions qui s’imposent au moment de rappeler ses clients et en établissant des politiques indiquant au personnel comment laisser des messages à l’intention des clients.
30. Étant donné que dans le domaine des assurances, une grande partie des communications avec les clients se fait par téléphone, le Commissariat s’inquiète du fait que la compagnie d’assurance n’a pas de politique indiquant à ses employés comment laisser des messages sur les systèmes de messagerie vocale afin de protéger les renseignements personnels des clients.
31. Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris le principe de protection des renseignements personnels. En vertu de ce même principe, les organisations doivent former leur personnel et lui transmettre l’information relative aux politiques et pratiques de l’organisation.
32. L’agente responsable de la protection des renseignements personnels à la compagnie d’assurance n’était pas d’accord avec la suggestion du Commissariat visant à modifier les politiques et les pratiques en place dans le but de protéger les renseignements personnels dont dispose la compagnie d’assurance et d’éviter que la situation ne se reproduise. En ne se conformant pas aux suggestions, l’organisation contrevient au principe 4.1.4.
33. Le document intitulé Guide à l’intention des entreprises et des organisations – Protection des renseignements personnels : vos responsabilités renferme des renseignements qui pourraient être utiles à la compagnie d’assurance. Élaboré par le Commissariat, il contient des lignes directrices afin d’aider les organisations à s’acquitter de leurs responsabilités et de leurs obligations en vertu de la Loi.
34. Dans notre rapport d’enquête préliminaire, nous avons demandé à la compagnie d’assurance de s’engager à mettre en œuvre les recommandations suivantes : i) élaborer des politiques visant à réduire le risque de communication de renseignements personnels sur des clients à des tiers non autorisés lorsque le personnel laisse des messages à l’intention de clients; ii) offrir aux agents responsables de la protection des renseignements personnels et aux employés une formation sur la protection des renseignements personnels en conformité avec la Loi.
35. La compagnie d’assurance a répondu à notre rapport d’enquête préliminaire le 11 juin 2012.
36. Dans sa réponse, la compagnie s’est engagée à harmoniser ses procédures avec les dispositions de la Loi en mettant en œuvre une nouvelle procédure réduisant au minimum l’information laissée par les employés dans les messages téléphoniques à l’intention des clients. La compagnie d’assurance nous a fourni les détails de sa nouvelle procédure de traitement des messages.
37. La compagnie d’assurance a également modifié les procédures internes en vertu desquelles les coordonnées et les préférences des clients en matière de messagerie doivent être mises à jour régulièrement afin d’en assurer l’exactitude. Ces procédures comprennent les modifications à l’information consignée dans son système automatisé de gestion des assurances et l’affichage de cette information à l’intention des utilisateurs du système.
38. Dans l’ensemble, nous sommes d’avis que ces procédures nouvelles et modifiées et leur communication aux employés chargés du service à la clientèle ont permis à la compagnie d’assurance de se conformer aux principes 4.1.4, 4.7 et 4.7.4 de la Loi.
39. Nous encourageons vivement la compagnie d’assurance et ses employés à suivre ces nouvelles procédures dans leurs activités courantes de communication avec les clients afin d’éviter que des situations similaires à celle dont il est question dans la présente plainte ne se reproduisent.
Conclusion
40. Par conséquent, le Commissariat conclut que la plainte est fondée et résolue.
Autre
41. Nous remarquons que la compagnie d’assurance et la plaignante ont discuté de ce qui constitue une juste indemnisation dans les circonstances. Nous encourageons les deux parties à négocier ensemble directement afin de résoudre la question de l’indemnisation.
- Date de modification :