Une agence de rencontres en ligne a utilisé sans son consentement les renseignements personnels d’un ancien client et a refusé de lui donner accès à cette information
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2013-014
Le 18 décembre 2013
Plainte
Après avoir mis fin à son abonnement à une agence de rencontres en ligne, un individu a demandé à la propriétaire de retirer son nom de sa liste d’envoi et de supprimer l’information le concernant. En dépit de cette requête, on a continué de lui envoyer des courriels de marketing.
Le plaignant a également demandé à avoir accès à ses renseignements personnels que détenait l’agence. La propriétaire lui a répondu que cette information appartenait à l’agence et que les renseignements demandés associés à son profil personnel ne se trouvaient dans aucune base de données.
Notre enquête
Lorsque le Commissariat s’est penché sur le dossier, la propriétaire de l’agence nous a informés qu’elle avait retiré de ses systèmes informatiques tous les renseignements personnels du plaignant et qu’elle avait détruit et déchiqueté tout document le concernant. Elle alléguait également – sans toutefois fournir de preuve – avoir en fait remis au plaignant son profil en ligne.
De façon inattendue, à mi-chemin de notre enquête, l’agence de rencontres a changé de mains. Le contrat de vente stipulait que le nouveau propriétaire obtiendrait le profil de tous les clients ainsi que leurs contacts (c’est-à-dire la « base de données »).
Nos activités de suivi auprès du nouveau propriétaire ont permis de constater que l’information du plaignant lui avait été transmise, y compris celle associée à son profil. Nos discussions avec le nouveau propriétaire ont également révélé que celui-ci avait obtenu de l’ancienne propriétaire la base de données de l’agence, qui contenait l’adresse de courriel du plaignant. En conséquence, le plaignant a eu accès à une partie de ses renseignements personnels, soit ceux qu’avait trouvés le nouveau propriétaire. Le plaignant a attiré notre attention sur l’absence de certains documents, dont des photographies. L’ancienne propriétaire a reconnu avoir supprimé les photographies, car elle n’avait pu déterminer si elles renfermaient des renseignements personnels du plaignant. Par la suite, le nouveau propriétaire a confirmé au Commissariat qu’il avait détruit tous les renseignements personnels du plaignant dont il disposait. À notre connaissance, le plaignant n’a reçu aucune autre communication de l’agence de rencontres.
Après que le plaignant eut reçu confirmation que l’information avait été détruite, le plaignant nous a contactés pour vérifier si l’organisation avait omis de conserver l’information aussi longtemps que nécessaire pour lui donner la possibilité d’épuiser les recours à sa disposition en vertu de la Loi.
Nos constatations
Dans la plainte présentée au Commissariat, le plaignant alléguait que l’agence ne lui avait pas donné accès à tous ses renseignements personnels. De plus, vu les courriels de marketing non sollicités qu’il avait reçus, le plaignant alléguait que l’organisation n’avait pas donné suite au retrait de son consentement à la collecte, à l’utilisation et à la communication de ses renseignements personnels après la résiliation de son abonnement.
Le Commissariat a conclu que l’agence avait refusé au plaignant l’accès à ses renseignements personnels en contravention du principe 4.9 de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). L’organisation n’avait pas respecté le délai de 30 jours prévu au paragraphe 8(3). Comme le nouveau propriétaire avait donné au plaignant uniquement accès à certains renseignements personnels plusieurs mois plus tard, à la suite de l’intervention du Commissariat, nous concluons que cet élément de la plainte est fondé. Par ailleurs, en détruisant les photographies, l’organisation a empêché le plaignant d’épuiser tous ses recours en lien avec sa demande d’accès. En conséquence, nous concluons que l’organisation a enfreint le paragraphe 8(8) de la Loi.
Le Commissariat a également constaté que l’organisation avait conservé l’information du plaignant alors qu’elle n’en avait plus besoin pour fournir des services de rencontres, contrevenant ainsi au principe 4.5.3. Toutefois, puisque le nouveau propriétaire avait détruit les dossiers et en avait informé le plaignant, nous considérons que cet élément de la plainte est fondé et résolu.
Le Commissariat a également constaté que l’agence avait continué d’utiliser les renseignements personnels du plaignant, plus précisément son adresse de courriel pour lui envoyer des messages de marketing, après que celui-ci eut clairement retiré son consentement à cette fin. En continuant d’utiliser les renseignements personnels du plaignant, l’organisation a enfreint le principe 4.3.8 de l’annexe 1 de la LPRPDE. Toutefois, puisque le nouveau propriétaire a fini par retirer l’adresse de courriel du plaignant de ses listes de marketing avant la fin de notre enquête et que rien ne prouve qu’il a par la suite utilisé à mauvais escient ces renseignements personnels, nous estimons que cet élément de la plainte est fondé et résolu.
Enfin, le Commissariat a également constaté que l’organisation n’avait adopté aucune politique de confidentialité à l’époque où le plaignant a commencé à faire affaire avec elle, ce qui contrevenait à l’alinéa d) du principe 4.1.4. Après notre intervention, le nouveau propriétaire a affiché sur son site Web une politique de confidentialité détaillée. Nous considérons donc que cet élément de la plainte est fondé et résolu.
Enfin, le Commissariat considère que l’agence n’a pas protégé les renseignements personnels du plaignant comme l’exige le principe 4.7.1. L’organisation a déclaré que l’information n’était pas stockée dans des bases de données informatisées et qu’elle était conservée en toute sécurité dans des dossiers inactifs, ce qui s’est révélé faux. Comme la politique de confidentialité mise en œuvre par le nouveau propriétaire fait état des mesures de sécurité, cet élément de la plainte est considéré comme fondé et résolu.
Leçon apprise
- Une organisation doit informer toute personne de l’existence, de l'utilisation et de la communication de ses renseignements personnels et lui permettre de les consulter, à moins qu’une exemption valable ne s’applique en vertu de la LPRPDE.
- Selon le principe de consentement énoncé dans la LPRPDE, une personne peut retirer son consentement en tout temps, sous réserve des restrictions prévues par une loi ou un contrat et d’un préavis raisonnable. L’organisation doit informer la personne des conséquences de ce retrait.
- On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées et on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin à ces fins. Toutefois, une organisation qui détient des renseignements personnels faisant l’objet d’une demande d’accès doit les conserver le temps nécessaire pour permettre au demandeur d’épuiser ses recours.
- Les mesures de sécurité prises par une organisation doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
- Les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques en matière de gestion des renseignements personnels. Une personne doit pouvoir obtenir sans effort déraisonnable de l’information sur les politiques et les pratiques d’une organisation.
- Date de modification :