Des lacunes dans la responsabilisation au sein de Microsoft empêchent de résoudre la plainte d'un client alléguant une atteinte à sa vie privée

Rapport de conclusions en vertu de la LPRPDE n^o 2014-009

Le 10 février 2014

---

Un individu a déposé une plainte auprès du Commissariat, alléguant que la société Microsoft (« Microsoft ») n'avait pas donné suite à sa demande en vue de modifier l'adresse de courriel associée à son compte Microsoft et de supprimer des dossiers de l'entreprise son ancienne adresse. Selon ses allégations, lorsqu'il a tenté de soulever le problème avec Microsoft, même après des efforts considérables, il a été incapable, de joindre une personne en mesure de répondre de façon adéquate à ses préoccupations concernant la protection de ses renseignements personnels.

Dans le cadre de son enquête sur les problèmes liés au consentement et à la possibilité de porter plainte à l'égard du non-respect de principes signalés par le plaignant, le Commissariat a analysé le cadre de responsabilité en matière de protection de la vie privée adopté par Microsoft afin de déterminer pourquoi l'organisation s'était révélée incapable de répondre aux préoccupations du plaignant.

Problèmes et analyse

Consentement

Au départ, le plaignant a contacté le service à la clientèle de Microsoft pour modifier l'adresse de courriel associée à son compte Microsoft. Toutefois, en raison d'un problème de conception technique jusque-là passé inaperçu, l'entreprise a été incapable de dissocier l'adresse de courriel du plaignant de son compte Microsoft et de la supprimer de ses dossiers. L'entreprise n'a donc pas répondu à la demande du plaignant en vue de retirer son consentement à l'utilisation de son adresse de courriel et elle a continué de l'utiliser sans son consentement.

Possibilité de porter plainte à l'égard du non-respect de principes

Pour essayer de résoudre son problème de protection des renseignements personnels, le plaignant a passé de nombreuses heures sur une période de plus de deux mois à discuter avec une douzaine de représentants du service à la clientèle sur différentes plateformes de soutien de Microsoft. Aucun de ces représentants, même ceux expressément affectés au traitement de ce type de questions, n'a reconnu qu'il s'agissait d'un problème de protection des renseignements personnels. C'est pourquoi nous avons conclu que Microsoft n'avait pas fait enquête ni pris de mesures appropriées pour résoudre le problème de protection des renseignements personnels signalé par le plaignant. Nous avons également constaté que plusieurs représentants n'avaient pas été en mesure d'aiguiller le plaignant vers la ou les personnes au sein de Microsoft chargées d'assurer la conformité de l'entreprise aux lois canadiennes sur la protection des renseignements personnels.

Responsabilisation

Au cours de notre enquête, dans le but de comprendre pourquoi Microsoft n’avait pas réussi à répondre aux problèmes de renseignements personnels du plaignant, nous avons étudié le cadre de protection de la vie privée de Microsoft en fonction des lignes directrices que nous avons publiées en collaboration avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et la Colombie-Britannique, intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité. Nous avons constaté que, bien que Microsoft ait manifestement affecté des ressources considérables à la mise en œuvre de son programme de gestion de la vie privée et bien réfléchi à la question, certaines lacunes dans ce programme se rapportant aux activités du service et du soutien à la clientèle expliquent en grande partie l'incapacité de l'entreprise à résoudre de façon adéquate le problème du plaignant. Par exemple, les représentants du service à la clientèle de Microsoft n'avaient pas reçu une formation suffisante pour leur permettre d'identifier les problèmes de protection de la vie privée et de les transmettre au Centre de réponse pour la protection de la vie privée (Centre de réponse), chargé par Microsoft de résoudre ce type de problèmes. En outre, l'entreprise n'avait pas donné aux représentants du service à la clientèle affectés au Centre de réponse une formation structurée sur la protection de la vie privée autre que celle suivie par les représentants du service à la clientèle en général. Enfin, notre enquête a révélé que le Centre de réponse n'avait pas pour pratique courante de transmettre les problèmes de protection de la vie privée non résolus au Bureau de protection de la vie privée de l'entreprise et que le Bureau ne surveillait pas de façon proactive les activités du Centre. Ainsi, en pratique, le Bureau de protection de la vie privée n'assumait pas la responsabilité du traitement des problèmes de protection de la vie privée des clients par le Centre de réponse.

Résultat

Lorsque Microsoft a appris que nous faisions enquête, l'entreprise a été très réceptive et elle a fini par résoudre le problème initial du plaignant et répondre aux préoccupations relatives à la responsabilisation que nous avions soulevées dans le cadre de notre enquête. Microsoft a mis en place des solutions techniques pour résoudre le problème de conception du système sous-jacent, augmenté le nombre de points d'accès en ligne au Centre de réponse pour la protection de la vie privée, élaboré une nouvelle formation spécialisée à l'intention des représentants du service à la clientèle et renforcé systématiquement la participation du Bureau de protection de la vie privée à la résolution des problèmes de protection de la vie privée signalés au Groupe du service et du soutien à la clientèle.

En fin de compte, nous sommes satisfaits de la réaction globale de Microsoft à la fois au problème soulevé par le plaignant et à ceux mis au jour par le Commissariat au cours de l'enquête. Nous estimons que la plainte est fondée et réglée.

Le commissaire a déterminé qu'il serait dans l'intérêt public de diffuser le nom de Microsoft dans ce dossier. Le présent sommaire sert à rappeler que toutes les entreprises, même celles de grande taille qui consacrent un budget important à leur programme de protection de la vie privée, doivent observer une politique et des pratiques de protection de la vie privée, non seulement à l'étape de la conception, mais aussi dans tous leurs échanges avec des particuliers.

RAPPORT DE CONCLUSIONS

Plainte déposée sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1. Selon l'allégation du plaignant, contrairement à ce que prévoit la Loi :
   1. il n'a pas été en mesure de retirer son consentement à l'utilisation de ses renseignements personnels par la société Microsoft (« Microsoft »)^{Note de bas de page 1} et, en conséquence, l'entreprise a continué de les utiliser sans son consentement;
   2. il n'a pas été en mesure de porter plainte à l'égard du non-respect de la Loi par Microsoft et, plus précisément, l'entreprise a été incapable de lui fournir les coordonnées de son ou de ses responsables de la conformité à la Loi.
2. Notre enquête a également révélé certaines lacunes dans le cadre de responsabilité en matière de protection de la vie privée adopté par Microsoft. Ces lacunes, dont fait état le présent rapport de conclusions, ont toutes été corrigées par Microsoft.

Résumé de l'enquête

Allégations du plaignant

3. Le plaignant a constaté que son compte Windows Live ID (maintenant appelé par Microsoft « compte Microsoft » et désigné comme tel dans le présent rapport), qu'il avait ouvert des années auparavant, était associé à son adresse de courriel professionnelle. Il a alors décidé de dissocier cette adresse de ce compte. Comme il était incapable d'apporter lui-même la modification, il a contacté le service à la clientèle de Microsoft pour obtenir de l'aide. Le plaignant a fourni au Commissariat des précisions sur ses discussions avec l'entreprise ainsi qu'une copie électronique de sa correspondance en ligne avec Microsoft.
4. D'après les allégations du plaignant, Microsoft lui a affirmé qu'il était impossible de dissocier son adresse de courriel professionnelle de son compte de facturation Xbox Live, associé à son compte Microsoft, et, par le fait même de supprimer ses renseignements personnels des dossiers de l'entreprise à moins d'annuler d'abord son compte Xbox Live, ce qui lui aurait fait perdre les crédits et les abonnements associés à ce compte.
5. Selon ses allégations, le plaignant n'a pas pu obtenir de Microsoft les coordonnées de son ou de ses responsables de la conformité à la Loi et il a reçu les réponses suivantes à ses diverses demandes à cet égard : i) il n'y avait aucun responsable de la conformité, ii) il pouvait faire une recherche sur « bing.com » et, enfin, iii) il pouvait envoyer une lettre au service juridique de l'entreprise.
6. Le plaignant allègue en outre avoir passé de nombreuses heures de son temps sur une période de plus de trois mois (à partir du 15 octobre 2012) à participer à plus d'une douzaine d'appels de soutien et à plusieurs séances de clavardage (notamment par l'intermédiaire du formulaire Web mentionné dans l'énoncé de confidentialité en ligne de Microsoft) et à communiquer avec de nombreux représentants du service à la clientèle. Il aurait reçu à maintes reprises des avis contradictoires, tortueux ou incorrects.
7. Microsoft n'a pas réfuté les allégations du plaignant, mais elle a donné des précisions pertinentes au cours de notre enquête dans des documents écrits et dans le cadre d'entrevues menées sur place avec divers employés de l'entreprise participant à la gestion de la vie privée. Ces précisions sont prises en compte dans les faits énoncés ci-après.

Réponse de Microsoft à la demande du plaignant en vue de supprimer son adresse de courriel

Interaction avec les représentants du Groupe du service et du soutien à la clientèle

8. Toutes les interactions du plaignant avec Microsoft avant que l'entreprise soit informée de l'enquête du Commissariat ont eu lieu avec des représentants du Groupe du service et du soutien à la clientèle de l'entreprise.
9. Le Groupe du service et du soutien à la clientèle assure le service et le soutien auprès des clients de Microsoft aux prises avec toute une gamme de problèmes (p. ex. aspects techniques, facturation et protection de la vie privée) touchant divers produits et services offerts par l'entreprise, notamment le Xbox. Il offre ce soutien sur différentes plateformes - clavardage, téléphone, answers.microsoft.com et le Centre de réponse pour la protection de la vie privée, qui traite les problèmes soulevés par les particuliers au moyen du formulaire Web de Microsoft pour la protection de la vie privée. Le plaignant a utilisé toutes ces plateformes.
10. Plusieurs représentants du service à la clientèle ont tenté d'aider le plaignant en utilisant la procédure habituelle de Microsoft pour modifier l'adresse de courriel associée à un compte Xbox Live. Toutefois, un problème de conception technique (expliqué en détail au paragraphe 46 ci-après) empêchait d'apporter la modification au moyen de cette procédure.
11. Au cours des interactions du plaignant avec le Groupe du service et du soutien à la clientèle, les représentants du service à la clientèle lui ont indiqué que la dissociation de cette adresse de courriel du compte nécessitait l'annulation de son compte Xbox Live, ce qui lui aurait fait perdre toute valeur restant dans ce compte.
12. Aucun des représentants du service à la clientèle avec qui le plaignant a eu des interactions ne l'a aiguillé vers le Centre de réponse pour la protection de la vie privée, chargé par Microsoft de répondre aux demandes relatives à la protection de la vie privée que les représentants ne peuvent régler eux-mêmes au moyen des procédures habituelles (aspect présenté en détail au paragraphe 46 ci-après). Et c'était le cas même si le plaignant indiquait clairement qu'il souhaitait obtenir de l'aide concernant son problème de « protection de la vie privée » et la suppression de ses « renseignements personnels ».

Interaction avec les représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée

13. Après des interactions avec les représentants du service à la clientèle du Groupe du service et du soutien à la clientèle échelonnés sur plus de deux mois et le dépôt de sa plainte auprès du Commissariat, le plaignant a découvert et utilisé le formulaire Web pour la protection de la vie privée mentionné dans l'énoncé de confidentialité en ligne de Microsoft et a présenté sa demande au Centre de réponse pour la protection de la vie privée.
14. Les représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée avec qui le plaignant a eu des interactions se sont également révélés incapables de répondre à sa demande et l'ont aiguillé vers les plateformes habituelles du Groupe du service et du soutien à la clientèle même si le plaignant leur avait indiqué clairement que son problème était lié à la protection de la vie privée et que ces plateformes n'avaient pas permis de le résoudre. Voici un extrait du courriel correspondant à la deuxième tentative du plaignant pour faire résoudre son problème de protection de la vie privée par le Centre de réponse :

    Deuxième demande du plaignant :

    [traduction] Bonjour [au représentant du service à la clientèle no 1 du Centre de réponse pour la protection de la vie privée],
    J'ai essayé tout ce que vous avez suggéré, ce qui m'a notamment forcé de publier ma demande de soutien dans un forum public (comme il est indiqué ci-dessus). Je peux aussi vous fournir la transcription du clavardage montrant que vos préposés au soutien de première ligne n'ont pas été en mesure de régler le problème.
    C'est mon dernier essai pour résoudre le problème - le préposé au soutien du Xbox me dit que c'est un problème de facturation, le préposé à la facturation me dit que c'est un problème de compte Live ID, le préposé du compte Live ID me dit que c'est un problème de facturation.
    Personne ne prend le dossier en mains et on me renvoie d'un service à l'autre - à l'aveuglette dirait-on - et sans succès.
    Le problème est simple - un de mes renseignements personnels est inexact et je veux le mettre à jour. Les différents services se renvoient la balle sans m'offrir la possibilité d'apporter la modification demandée. [C'est nous qui soulignons.]
    Veuillez m'indiquer comment procéder.

    Réponse (d'un deuxième représentant du service à la clientèle du Centre de réponse pour la protection de la vie privée) :

    [traduction] Je suis désolé des inconvénients que la situation vous a causés. Concernant votre problème, j'aimerais vous informer que Microsoft a une équipe qui peut vous aider à régler vos problèmes de facturation. Veuillez appeler le service de la facturation de l'entreprise au 866-672-4551 du lundi au vendredi entre 5 h et 22 h ou le samedi ou le dimanche entre 5 h et 17 h (heure du Pacifique).
    En cas de besoin, une équipe de soutien spécialisée pour le Xbox est également à votre disposition pour répondre à ces types de questions.
    Je vous demande donc de contacter l'équipe de soutien du Xbox directement en composant le 1-800-4-MY-XBOX (800-469-9269) entre 6 h et 22 h (heure du Pacifique) sept jours sur sept, même les jours fériés.
    J'espère que cette information vous sera utile. Si vous avez d'autres questions, n'hésitez pas à communiquer avec nous.

Demandes des coordonnées du responsable de la protection de la vie privée

15. Dans le cadre des interactions du plaignant avec les divers représentants du service à la clientèle, aucun n'a été capable de lui fournir, comme il le demandait, les coordonnées du responsable de la protection de la vie privée ou d'une personne chargée de la conformité en la matière chez Microsoft.
16. Microsoft affiche les coordonnées (c'est-à-dire l'adresse et le numéro de téléphone) de son Bureau de protection de la vie privée dans les versions française et anglaise de son énoncé de confidentialité en ligne sur son site canadien et dans l'énoncé de confidentialité affiché sur Microsoft.com.

Cadre de protection de la vie privée de Microsoft

17. Au cours de notre enquête, nous avons demandé à Microsoft de nous donner des précisions sur son cadre de gestion de la vie privée pour nous aider à mieux comprendre le contexte dans lequel s'inscrit sa réponse à la demande du plaignant concernant la protection de sa vie privée.
18. Microsoft a expliqué que ses politiques, ses normes et ses procédures de protection de la vie privée ne sont généralement pas conçues pour être conformes aux lois sur la vie privée particulières à certains États. Elles visent plutôt à satisfaire aux exigences les plus rigoureuses des lois en vigueur à l'échelle mondiale compte tenu de l'envergure planétaire des produits et services de l'entreprise.
19. Microsoft a entre autres expliqué que l'ultime responsabilité de la conformité dans le domaine de la protection de la vie privée incombe à son Groupe de l'informatique sécurisée et à son équipe des Affaires juridiques et réglementaires, qui fait partie du Groupe des affaires juridiques et générales. D'après l'entreprise, compte tenu de l'envergure et du vaste champ d'activité de son organisation, la mise en œuvre de ses normes et ses procédures, entre autres la résolution des problèmes de protection de la vie privée des clients, est assurée d'entrée de jeu par ses divers groupes fonctionnels. Toujours au dire de Microsoft, cette approche fait en sorte que les personnes chargées de la mise en œuvre de ses normes et de ses procédures de protection de la vie privée connaissent bien le produit ou le service en question ainsi que les exigences en matière de protection de la vie privée.
20. Dans l'ensemble, Microsoft compte plus de quatre cents (400) employés qui font office de gestionnaires, de chefs ou de champions de la protection de la vie privée et dont le plan de rendement comporte des engagements en lien avec la protection de la vie privée. Sur ce nombre, cent vingt (120) ont le titre de Certified Information Privacy Professional (CIPP) et soixante (60) assument à plein temps des responsabilités dans le domaine de la protection de la vie privée.
21. En général, chaque groupe fonctionnel compte :
    
    des gestionnaires de la protection de la vie privée : un ou plusieurs CIPP assumant à plein temps des responsabilités dans le domaine;
    des chefs de la protection de la vie privée : plusieurs employés dont les principales responsabilités relèvent d'autres domaines (p. ex. gestion de projets), mais qui suivent une formation sur la protection de la vie privée et consacrent environ 25 % de leur temps à cet aspect;
    des champions de la protection de la vie privée : des employés dont le plan de rendement comporte certaines formes d'engagements dans le domaine.
22. Depuis le milieu de 2013, tous les employés de Microsoft reçoivent une formation sur la protection de la vie privée dans le cadre du cours sur les Normes de conduite de l'entreprise. En outre, les employés de chaque groupe fonctionnel peuvent suivre d'autres cours adaptés à leurs fonctions au sein de l'entreprise. Tous les employés et fournisseurs du Groupe du service et du soutien à la clientèle, y compris les représentants du service à la clientèle, sont tenus de participer à une séance de formation sur la protection de la vie privée s'adressant particulièrement au Groupe du service et du soutien à la clientèle. Les employés qui prennent des engagements en lien avec la protection de la vie privée sont fortement encouragés à suivre une formation plus avancée dans le domaine pour se familiariser avec les exigences particulières de Microsoft ainsi qu'une formation approfondie supplémentaire pour s'assurer qu'ils sont parfaitement en mesure de mettre en œuvre la politique et les normes de protection de la vie privée de l'entreprise. Une formation ponctuelle est également offerte au besoin pour composer avec des exigences ou des problèmes particuliers.
23. Trois équipes de Microsoft, que nous présenterons plus en détail ci-après, ont participé de façon importante à la résolution du problème de protection de la vie privée du plaignant :
    1. le Bureau de protection de la vie privée, qui fait partie du Groupe de l'informatique sécurisée,
    2. le Groupe du service et du soutien à la clientèle, notamment le Centre de réponse pour la protection de la vie privée,
    3. le Groupe des produits Xbox, Divertissements interactifs.

Groupe de l'informatique sécurisée et Bureau de protection de la vie privée

24. Il incombe au Groupe de l'informatique sécurisée de veiller à la sécurité, à la confidentialité et à la fiabilité des expériences informatiques grâce à de saines pratiques commerciales (Microsoft Trustworty Computing anglais seulement).
25. Le Bureau de protection de la vie privée, qui est dirigé par le responsable de la protection de la vie privée et qui comprend une vingtaine de CIPP à temps plein, est une division du Groupe de l'informatique sécurisée. Il est chargé de l'élaboration, de la justification et de la mise en œuvre de la politique, des normes et des procédures globales de protection de la vie privée de Microsoft ainsi que de la documentation connexe.
26. L'une de ces procédures dicte la procédure interne de renvoi à l'échelon supérieur et de résolution des problèmes de protection de la vie privée prioritaires (ci-après appelée « procédure de renvoi à l'échelon supérieur »). Conformément à cette procédure, les problèmes sont gérés selon leur ordre de priorité par différentes équipes fonctionnelles sous l'étroite surveillance du Bureau de protection de la vie privée.
27. Au moment où le plaignant a signalé son problème, sauf pour ce qui concerne le renvoi à l'échelon supérieur, la participation directe du Bureau de protection de la vie privée à la résolution des problèmes signalés au service à la clientèle, comme c'était le cas pour le plaignant, était limitée, tout comme sa responsabilité en la matière. (La résolution des problèmes de protection de la vie privée des clients par le Groupe du service et du soutien à la clientèle et son sous-groupe du Centre de réponse pour la protection de la vie privée est examinée en détail ci-après.)

Groupe du service et du soutien à la clientèle

28. Le plan de rendement de tous les employés à plein temps faisant partie du Groupe du service et du soutien à la clientèle de Microsoft comporte des engagements en lien avec la protection de la vie privée. Pour environ 75 d'entre eux, il s'agit d'engagements majeurs (en tant que gestionnaires, chefs ou champions de la protection de la vie privée).

A. Fournisseurs

29. Toutes les fonctions de service à la clientèle de première ligne (c'est-à-dire celles comportant des interactions entre les représentants du service à la clientèle et les clients) sont assurées par des « fournisseurs » externes, ou sous-traitants, exerçant leurs activités dans différentes régions du monde.
30. Les fournisseurs du Groupe du service et du soutien à la clientèle emploient des milliers de représentants du service à la clientèle et reçoivent chaque année des millions de demandes, dont un très faible pourcentage ont trait à des problèmes de protection de la vie privée.
31. Les fournisseurs, notamment ceux qui assurent le service et le soutien à la clientèle, sont assujettis à la politique et aux normes de protection de la vie privée de Microsoft dans le cadre du programme d'assurance de protection de la vie privée par les fournisseurs et d'autres exigences contractuelles en matière de protection de la vie privée et de sécurité. Ce programme prévoit des garanties minimales au chapitre de la sécurité, des exigences de formation sur la protection de la vie privée, une évaluation des connaissances ainsi qu'une surveillance exercée par le fournisseur et par le Groupe du service et du soutien à la clientèle. Des sanctions sont prévues en cas de non-conformité.
32. Garanties minimales : Les fournisseurs du Groupe du service et du soutien à la clientèle doivent administrer un programme de protection de l'information reposant sur les normes ISO 27001 et faire effectuer des audits indépendants pour évaluer la conformité. En outre, Microsoft se réserve le droit de soumettre à un audit les mesures de protection de l'information de l'organisation.
33. Formation : Tout représentant du service à la clientèle qui travaille pour un fournisseur et qui a des interactions avec les clients doit suivre avec succès un cours de formation sur la vie privée offert par Microsoft au Groupe du service et du soutien à la clientèle ainsi qu'une formation approfondie sur la sécurité. Chaque fois que le cours de formation est mis à jour, les représentants du service à la clientèle sont tenus de le reprendre. Microsoft peut également exiger que les représentants du service à la clientèle reçoivent une formation supplémentaire sur une base ponctuelle pour régler des problèmes de protection de la vie privée particuliers. Chaque fournisseur doit attester que tous ses employés, nouveaux et anciens, ont reçu la formation requise sur la protection de la vie privée.
34. Tests et surveillance : Microsoft exige que le fournisseur évalue les compétences des représentants du service à la clientèle en effectuant diverses vérifications qu'elle a expliquées en détail au Commissariat. En outre, le Groupe du service et du soutien à la clientèle surveille directement le rendement des représentants du service à la clientèle des fournisseurs et leurs résultats aux tests et il donne de la rétroaction aux fournisseurs d'après ses observations.
35. Sanctions en cas de non-conformité : En cas de non-conformité aux exigences du programme d'assurance de protection de la vie privée par les fournisseurs, Microsoft peut imposer des sanctions allant jusqu'à la résiliation du contrat et elle le fait au besoin. L'entreprise a cité au Commissariat des exemples d'incidents où des sanctions avaient été imposées pour non-conformité aux exigences en matière de protection de la vie privée.
36. Microsoft met des ressources (p. ex. des outils en ligne et des processus) à la disposition des représentants du service à la clientèle pour les aider à résoudre les problèmes de protection de la vie privée habituels qui surviennent le plus souvent. Par exemple, l'un des processus en vigueur porte sur la modification de l'adresse de courriel associée à un compte Xbox Live (c'est-à-dire le processus que les représentants du service à la clientèle ont essayé de mettre en œuvre, sans succès, pour répondre à la demande du plaignant). Un autre vise à répondre à la demande d'un client qui veut supprimer ses renseignements personnels.
37. Selon la façon de procéder du Groupe du service et du soutien à la clientèle, lorsqu'un représentant du service à la clientèle constate qu'un problème ayant trait à la protection de la vie privée ne correspond à aucune procédure de résolution prédéfinie, il doit recommander au client d'adresser sa demande au Centre de réponse pour la protection de la vie privée en utilisant le formulaire Web prévu à cette fin. Or, au moment de la plainte, ce formulaire était accessible exclusivement via un lien dans l'énoncé de protection de la vie privée en ligne de Microsoft, lui-même accessible au moyen d'un lien direct figurant dans plusieurs services et pages Web de Microsoft.

B. Centre de réponse pour la protection de la vie privée

38. Les demandes soumises par l'entremise du formulaire Web pour la protection de la vie privée sont transmises au Centre de réponse pour la protection de la vie privée, sous-groupe du Groupe du service et du soutien à la clientèle, qui se compose de quelques représentants à la clientèle affectés expressément à cette tâche par les fournisseurs. Ces représentants traitent uniquement les formulaires Web pour la protection de la vie privée.
39. Les représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée reçoivent la même formation structurée sur la vie privée que les autres représentants du fournisseur. D'après Microsoft, les représentants affectés à ce centre acquièrent des connaissances et de l'expérience dans le domaine i) en examinant à temps plein des demandes ayant trait à la protection de la vie privée et ii) en prenant connaissance des articles de la base de connaissances sur la protection de la vie privée et des explications écrites connexes que Microsoft porte à leur attention de temps à autre.
40. Les représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée « trient » les formulaires Web dès leur réception pour déterminer s'ils ont bien trait à la protection de la vie privée. Dans la grande majorité des cas, le centre estime que les demandes n'ont pas trait à la protection de la vie privée. Par exemple, des clients demandent où trouver la clé d'activation d'un produit ou réclament de l'information sur la délivrance de licences de logiciels.
    
    Au début de l'enquête, les représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée transmettaient aux différentes plateformes du Groupe du service et du soutien à la clientèle les demandes n'ayant pas trait à la protection de la vie privée et essayaient eux-mêmes de répondre aux demandes dans le domaine. S'ils ne pouvaient le faire, ils transmettaient la demande aux gestionnaires de la protection de la vie privée du groupe fonctionnel visé ou, dans de très rares situations, au Bureau de protection de la vie privée afin que des mesures supplémentaires soient prises.

Groupe des produits Xbox

41. Le Groupe des produits Xbox est chargé de la conception, de la livraison et de la maintenance des produits et services Xbox.
42. Le Groupe des produits Xbox compte plusieurs gestionnaires de la protection de la vie privée à temps plein chargés d'assurer la conformité aux normes et aux procédures dans le domaine. Sur demande, ces gestionnaires aident le Groupe du service et du soutien à la clientèle à résoudre les problèmes de protection de la vie privée peu courants se rapportant au Xbox. En outre, ils dirigent la procédure de renvoi à l'échelon supérieur pour la résolution des problèmes de protection de la vie privée plus graves en lien avec le Xbox.

Modifications mises en œuvre par Microsoft au cours de l'enquête

43. Le Bureau de protection de la vie privée de Microsoft n'avait pas participé dans un premier temps aux tentatives pour résoudre le problème de protection de la vie privée du plaignant, mais il s'est montré par la suite très réceptif face au plaignant et au Commissariat après avoir pris connaissance du problème du plaignant.

Mesures prises pour résoudre le problème du compte Microsoft

44. En apprenant que nous faisions enquête, Microsoft a lancé sa procédure de renvoi à l'échelon supérieur. Le Bureau de protection de la vie privée a ensuite contacté le Groupe des produits Xbox pour résoudre le problème de protection de la vie privée particulier du plaignant ainsi que tout problème de conception ou de procédure de protection de la vie privée sous-jacent qui auraient pu être à l'origine de la plainte. La procédure de renvoi à l'échelon supérieur a été menée sous la direction d'un gestionnaire de la protection de la vie privée du Groupe.
45. En examinant le problème soulevé par le plaignant, le Groupe des produits Xbox a découvert qu'un problème de conception technique sous-jacent empêchait la dissociation simple et complète de l'adresse de courriel professionnelle de son compte Xbox Live. Microsoft a expliqué le problème technique en détail au Commissariat, mais les précisions fournies ne sont pas pertinentes pour notre examen du problème de protection de la vie privée visé par l'enquête et ne figurent pas dans le présent rapport de conclusions. Comme la demande du plaignant révélait une situation inédite (Microsoft a fait savoir qu'elle n'était pas consciente jusque-là du problème technique en question), la procédure habituelle de l'entreprise pour modifier l'adresse de courriel associée à un compte Xbox Live, dont il est fait mention au paragraphe 36 du présent rapport, ne permettait pas de modifier le nom de l'abonné (c'est-à-dire l'adresse de courriel professionnelle du plaignant) affiché sur sa page d'abonnements.
46. Microsoft a contacté le plaignant pour l'informer qu'il n'avait pas à annuler son compte Xbox Live ni à perdre la valeur accumulée dans ce compte pour modifier son nom d'abonné, et que l'entreprise n'avait pas pour politique de demander l'annulation du compte dans de tels cas.
47. En mars 2013, le Groupe des produits Xbox a modifié manuellement le nom d'abonné à Xbox Live du plaignant afin qu'il ne corresponde plus à son adresse de courriel professionnelle.
48. Depuis lors, Microsoft a mis en œuvre une solution technique de sorte que le nom d'abonné à Xbox Live ne correspond plus à une adresse de courriel. Ainsi, les futurs utilisateurs de Xbox Live, partout dans le monde, ne seront pas aux prises avec le même problème technique que le plaignant.
49. Microsoft a également mis en œuvre une solution technique pour remplacer le « nom » d'abonné de tous les clients canadiens que le système configurait systématiquement sous la forme d'une adresse de courriel.
50. D'après Microsoft, depuis la mise en œuvre il y a de six à dix ans du code à l'origine du problème technique décrit au paragraphe 46 ci-dessus, elle a instauré une nouvelle procédure de gestion à l'échelle de l'entreprise en vue de détecter ces problèmes avant l'étape de la production. Le Groupe de gestion de la vie privée pour le Xbox participe maintenant à toutes les étapes de la conception et du développement des produits et approuve tous les produits finals avant leur lancement, attestant ainsi leur conformité à ses normes de protection de la vie privée.

Mesures prises par le Groupe du service et du soutien à la clientèle et du Centre de réponse pour donner suite aux problèmes de protection de la vie privée

51. Le Bureau de protection de la vie privée a élaboré un module de cyberapprentissage (vidéo, documents complémentaires et tests de suivi) pour sensibiliser les représentants du service à la clientèle à la terminologie ou aux questions des clients mettant au jour un problème de protection de la vie privée qui devrait être transmis au Centre de réponse et résolu par son équipe. D'après l'entreprise, cette mesure aidera à faire en sorte que les représentants du service à la clientèle transmettent comme il se doit au centre les demandes ayant trait à la protection de la vie privée.
52. Microsoft a accru le nombre de points d'accès au formulaire Web pour la protection de la vie privée afin d'encourager les clients à signaler leurs propres problèmes de protection de la vie privée directement au Centre de réponse, ce qui leur facilite la tâche. Le formulaire est maintenant affiché à plusieurs endroits dans le site Web microsoft.com, notamment sur la page « Contactez-nous » et sur celle des paramètres de confidentialité.
53. À la suite des problèmes mis au jour dans le cadre de notre enquête, Microsoft a indiqué qu'elle élabore actuellement une formation structurée supplémentaire sur la protection de la vie privée (permettant, par exemple, de détecter certains types de problèmes de protection de la vie privée et les renvoyer à l'échelon supérieur), s'adressant particulièrement aux représentants du service à la clientèle du Centre de réponse pour la protection de la vie privée. Elle envisage d'offrir cette formation à compter du début de 2014.
54. Au cours de notre enquête, Microsoft a constaté qu'il serait bénéfique que le Bureau de protection de la vie privée participe davantage à la supervision de la résolution des problèmes par le Centre de réponse. En conséquence, le Bureau assume désormais la responsabilité de la procédure du Centre de réponse pour la protection de la vie privée, du début à la fin, et fait maintenant équipe avec le Groupe du service et du soutien à la clientèle dans le cadre des activités du Centre de réponse. Plus précisément, le Bureau de protection de la vie privée a affecté un personnel permanent à temps plein afin de surveiller le Centre de réponse et de collaborer avec lui i) en contribuant à la résolution des problèmes de protection de la vie privée, ii) en effectuant des audits d'assurance qualité et iii) en déterminant et en mettant en œuvre des améliorations au processus. Le Bureau de protection de la vie privée a également recensé toute une gamme de problèmes de protection de la vie privée que le Centre de réponse devrait renvoyer à l'échelon supérieur, c'est-à-dire au Bureau lui-même. Les statistiques mensuelles fournies par Microsoft témoignent d'une augmentation qui nous a paru importante du nombre de problèmes de protection de la vie privée transmis au Bureau.
55. Le Bureau de protection de la vie privée a récemment mené un examen à court terme des demandes figurant sur la liste d'attente du Centre de réponse pour la protection de la vie privée (et a également examiné celles qui, de l'avis du Centre, n'avaient pas trait à la protection de la vie privée). Cet examen a révélé que le tri des problèmes était bien fait.
56. En avril 2013, considérant que le problème avait été résolu à la satisfaction du plaignant, les deux parties en sont arrivées à une entente et la plainte a été retirée. Nous avons néanmoins jugé que notre enquête avait mis au jour des problèmes justifiant l'achèvement de l'enquête et la publication du présent rapport de conclusions.

Application de la Loi

57. Pour tirer nos conclusions, nous avons appliqué les principes 4.1, 4.1.2, 4.1.4, 4.1.4b), 4.1.4c), 4.3, 4.3.8, 4.10 et 4.10.4 de l'annexe 1 de la Loi.
58. Selon le principe 4.1, une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s'assurer du respect des principes énoncé à l'annexe 1 de la Loi.
59. Selon le principe 4.1.2, les organisations doivent faire connaître sur demande l'identité de la ou des personnes qu'elles ont désignées pour s'assurer que les principes de la Loi sont respectés.
60. Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; et c) la formation du personnel et la transmission au personnel de l'information relative aux politiques et pratiques de l'organisation.
61. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. En outre, selon le principe 4.3.8, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d'un préavis raisonnable.
62. Selon le principe 4.10, toute personne doit être en mesure de se plaindre du non-respect des principes énoncés en communiquant avec le ou les personnes responsables de les faire respecter au sein de l'organisation concernée. En outre, selon le principe 4.10.4, une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l'organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques au besoin.

Analyse

Consentement

63. Nous reconnaissons que les représentants du service à la clientèle avec lesquels le plaignant a fait affaire ont mal compris la nature de sa demande et n'ont pas saisi le risque d'atteinte à la vie privée découlant de l'incapacité de Microsoft de répondre à sa demande. Néanmoins, l'entreprise a indiqué au plaignant que pour dissocier son adresse de courriel professionnelle de son compte Microsoft et supprimer l'adresse dans les dossiers de l'entreprise, il lui fallait annuler son compte Microsoft et renoncer à sa valeur.
64. À notre avis, en continuant d'utiliser l'adresse de courriel professionnelle du plaignant après avoir reçu sa demande en vue de mettre fin à cette pratique, Microsoft n'a pas respecté les principes 4.3.8 et 4.3 de l'annexe 1 de la Loi.
65. Nous reconnaissons que Microsoft, dès qu'elle a été informée de notre enquête, a pris les mesures nécessaires pour répondre à la demande du plaignant.
66. Nous reconnaissons également que Microsoft, après avoir trouvé l'obstacle technique sous-jacent l'empêchant de répondre à la demande du plaignant, a mis en œuvre une solution à grande échelle (comme nous l'expliquons aux paragraphes 49 et 50 du présent rapport) pour s'assurer que le problème technique en question ne se reproduise pas par la suite.

Possibilité de porter plainte à l'égard du non-respect des principes

67. Avant de déposer sa plainte auprès du Commissariat, le plaignant a consacré du temps et des efforts que nous jugeons démesurés en essayant sans succès via diverses plateformes de service à la clientèle de résoudre son problème de protection de la vie privée. À terme, notre enquête a révélé que Microsoft n'avait fait enquête et pris de mesures appropriées pour résoudre le problème signalé par le plaignant qu'après avoir été avisée que nous faisions enquête sur le dossier. Nous concluons donc que l'entreprise a contrevenu au principe 4.10.4 de l'annexe 1 de la Loi.
68. En outre, notre enquête a révélé que lorsque le plaignant, au cours de différentes discussions avec les représentants du service à la clientèle, avait demandé expressément à déposer sa plainte directement auprès de la ou des personnes responsables de la conformité à la Loi, il n'avait pas été en mesure de le faire. Nous estimons donc que Microsoft, en omettant d'identifier son responsable ou le Bureau de protection de la vie privée et de fournir leurs coordonnées au plaignant, a contrevenu aux principes 4.1.2 et 4.10 de l'annexe 1 de la Loi.
69. Nous reconnaissons qu'après avoir été informé de cette enquête, le Bureau de protection de la vie privée de Microsoft, conjointement avec le Groupe des produits Xbox, a fait enquête et résolu le problème de protection de la vie privée du plaignant.
70. Autre point à signaler, nous sommes heureux de constater que Microsoft a amélioré la visibilité de son formulaire Web pour la protection de la vie privée en le mettant à la disposition des utilisateurs grâce à des liens insérés à divers endroits dans tous ses sites Web. Ce formulaire était affiché dans l'énoncé de confidentialité en ligne de Microsoft, mais le plaignant ne l'a trouvé que deux mois après avoir entamé sa procédure de plainte auprès de l'entreprise. À notre avis, grâce à la visibilité accrue du formulaire Web, il sera beaucoup plus facile pour les clients de signaler d'emblée leurs problèmes de protection de la vie privée au Centre de réponse pour la protection de la vie privée.

Responsabilisation

71. D'après notre enquête, Microsoft avait manifestement consacré des ressources importantes à la mise en œuvre de son programme de gestion de la vie privée et y avait bien réfléchi mais, en raison de certaines lacunes de ce cadre, l'entreprise n'a pas respecté les exigences lui incombant en vertu de la Loi.
72. En avril 2012, le Commissariat a publié en collaboration avec les commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie-Britannique des lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité. Nous reprendrons dans notre analyse ci-après certains points pertinents de ces lignes directrices.
73. Aucun des nombreux représentants du service à la clientèle avec qui le plaignant a eu des interactions n'a été en mesure de résoudre son problème de protection de la vie privée, mais il semble clair que cette tâche ne relevait pas de leur responsabilité. Selon les protocoles internes de Microsoft, les représentants du service à la clientèle auraient dû aiguiller le plaignant vers le Centre de réponse pour la protection de la vie privée, chargé par Microsoft de résoudre les problèmes des clients ayant trait à la protection de la vie privée. Compte tenu du grand nombre de demandes traitées par les représentants du service à la clientèle de Microsoft et du pourcentage relativement faible de ces demandes ayant trait à la protection de la vie privée, nous reconnaissons qu'il ne serait pas réaliste que tous ces représentants acquièrent et maintiennent les connaissances et l'expertise nécessaires pour résoudre de façon efficace les problèmes de protection de la vie privée complexes.
74. Cela dit, à notre avis, afin d'assurer l'efficacité du Centre de réponse pour la protection de la vie privée dans le rôle qui lui incombe :
    1. les représentants du service à la clientèle affectés aux différentes plateformes devraient être en mesure de détecter les problèmes de protection de la vie privée et de les transmettre au Centre de réponse pour la protection de la vie privée;
    2. les représentants du service à la clientèle affectés au Centre de réponse pour la protection de la vie privée devraient avoir des connaissances, une expertise et des ressources suffisantes pour résoudre les problèmes de protection de la vie privée complexes.

Transmission des problèmes de protection de la vie privée au Centre de réponse

75. Aucun des représentants du service à la clientèle avec lesquels le plaignant a eu des interactions n'a transmis son problème au Centre de réponse pour la protection de la vie privée. De plus, aucun d'entre eux n'a reconnu qu'il s'agissait d'un problème de protection de la vie privée ou ne savait que ces questions devaient être transmises au Centre.
76. Comme en font état les lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, les mesures de contrôle du programme permettent de garantir l'application au sein de l'organisation des éléments de la structure de gouvernance. Ces lignes directrices soulignent en outre l'importance d'adopter des exigences en matière de formation et de sensibilisation pertinentes et adaptées aux besoins.
77. À notre avis, les représentants du service à la clientèle auraient dû à tout le moins avoir la formation et les connaissances nécessaires pour détecter les problèmes de protection de la vie privée et les transmettre au Centre de réponse pour la protection de la vie privée. D'après l'information fournie par Microsoft concernant la formation sur la protection de la vie privée et le fait que les représentants du service à la clientèle ont systématiquement omis de transmettre au Centre de réponse le problème de protection de la vie privée du plaignant, nous estimons que la formation obligatoire offerte par Microsoft était inadéquate en vertu du principe 4.1.4c) de l'annexe 1 de la Loi.
78. Cela dit, nous estimons que la nouvelle formation sur la vie privée instaurée par Microsoft (comme en fait état le paragraphe 51 du présent rapport) aidera les représentants du service à la clientèle à cerner et à transmettre comme il se doit les problèmes de protection de la vie privée dans l'avenir.

Capacité du Centre de réponse pour la protection de la vie privée à résoudre les problèmes de protection de la vie privée

79. Le Centre de réponse pour la protection de la vie privée n'a pas été en mesure de résoudre le problème du plaignant et, en fait, ne semble pas avoir reconnu qu'il s'agissait d'un problème de protection de la vie privée. Mentionnons à sa décharge que le Centre de réponse n'avait reçu aucune formation structurée sur la protection de la vie privée à part celle exigée par Microsoft pour les représentants du service à la clientèle des fournisseurs, dont les responsabilités en la matière étaient beaucoup plus limitées. Nous reconnaissons que les représentants du service à la clientèle ont vraisemblablement acquis une certaine expérience des problèmes de protection de la vie privée en y étant exposés au sein du Centre de réponse. Toutefois, dans ce dossier, leur expérience ne semble pas avoir permis aux représentants du service à la clientèle d'acquérir les connaissances nécessaires pour résoudre de façon appropriée le problème de protection de la vie privée du plaignant. À notre avis, pour respecter le principe 4.1.4c), la formation donnée au Centre de réponse aurait dû être adaptée à la portée et à l'ampleur des problèmes de protection de la vie privée que les représentants du service à la clientèle du Centre de réponse seraient inévitablement appelés à résoudre.
80. Nous reconnaissons que le problème du plaignant était, en fait, un problème complexe que le Centre de réponse pour la protection de la vie privée ne pouvait résoudre sans l'aide du Bureau de protection de la vie privée et du Groupe des produits Xbox de Microsoft. Or, il se trouve que le Centre de réponse n'a jamais transmis ce problème au Bureau de protection de la vie privée. En fait, même si le Centre de réponse avait reconnu qu'il s'agissait d'un problème de protection de la vie privée, la transmission des problèmes de protection de la vie privée non résolus au Bureau de protection de la vie privée de l'entreprise n'était pas systématique (sauf lorsqu'ils étaient jugés assez graves pour être traités selon la procédure de renvoi à l'échelon supérieur adoptée par Microsoft).
81. En outre, le Bureau de protection de la vie privée ne surveillait pas de façon proactive les activités du Centre de réponse et, en pratique, il n'assumait pas la responsabilité de la résolution des problèmes de protection de la vie privée des clients par le Centre de réponse pour la protection de la vie privée. C'est pourquoi le Bureau de protection de la vie privée de Microsoft n'a pas pris connaissance du problème avant que le Commissariat ne l'informe de la plainte en question.
82. Comme il est mentionné dans les lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, pour se conformer aux lois sur la protection de la vie privée, les organisations doivent se doter d'une structure de gouvernance, de processus à respecter et de moyens pour confirmer leur application. Ces lignes directrices précisent également qu'une organisation doit établir des mécanismes de responsabilisation internes « pour s'assurer que les bonnes personnes connaissent la structure du programme de gestion de la protection de la vie privée et savent que tout fonctionne comme prévu ». Ces mécanismes devraient prévoir le renvoi des problèmes de protection de la vie privée à l'échelon supérieur, par exemple en cas d'atteinte à la sécurité ou de plainte d'un client. Dans ce dossier, nous jugeons que les mécanismes de responsabilisation et de renvoi à l'échelon supérieur étaient insuffisants pour alerter le Bureau de protection de la vie privée de la plainte du client ou du fait qu'elle n'avait pas été traitée adéquatement par le Centre de réponse pour la protection de la vie privée.
83. À notre avis, les lacunes de la formation au Centre de réponse pour la protection de la vie privée, l'absence d'une pratique bien établie à ce centre pour le renvoi des plaintes non résolues à l'échelon supérieur ainsi que la supervision et le soutien insuffisants offerts par le Bureau de protection de la vie privée au Centre de réponse expliquent l'incapacité de Microsoft à reconnaître le problème de protection de la vie privée du plaignant, à faire enquête sur celui-ci et à prendre des mesures appropriées pour le résoudre et, à terme, son inaction. Nous estimons que ces points faibles du programme de gestion de la vie privée de Microsoft contreviennent aux principes 4.1.2, 4.1.4, 4.1.4b) et 4.1.4c) de l'annexe 1 de la Loi.
84. Nous reconnaissons toutefois que les modifications substantielles mises en œuvre par Microsoft à la suite de notre enquête (c'est-à-dire les nouveaux protocoles de renvoi à l'échelon supérieur, la supervision accrue exercée par le Bureau de protection de la vie privée et la nouvelle formation approfondie sur la protection de la vie privée) renforceront la capacité de l'entreprise à s'assurer que l'on donne suite de façon appropriée aux problèmes de protection de la vie privée et aux demandes à cet égard.

Conclusion

85. En conséquence, concernant :
    1. l'allégation du plaignant en ce qui a trait à l'incapacité de Microsoft de supprimer ses renseignements personnels et au fait que l'entreprise a continué de les utiliser sans son consentement;
    2. l'allégation du plaignant en ce qui a trait à son incapacité de porter plainte à l'égard du non-respect de la Loi;
    3. le problème de responsabilisation mis au jour au cours de notre enquête;
    nous concluons que la plainte est fondée et réglée.