La politique et les procédures de confidentialité d’une organisation doivent être mises en œuvre de façon efficace
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2016-007
9 février 2016
Leçons apprises
- Il est important que les employés suivent les politiques et les procédures établies d’une organisation en ce qui concerne les demandes d’accès.
- Les organisations doivent s’assurer de conserver les dossiers associés au traitement de demandes d’accès aux renseignements personnels.
Une personne a allégué que malgré de nombreuses demandes, une agence de recouvrement (l’« agence ») avait refusé de lui donner accès à ses renseignements personnels.
L’individu, qui a contesté l’existence d’une dette que l’agence tentait de recouvrer, a envoyé une lettre par télécopieur à l’agence demandant tous les renseignements relatifs à cette dette. Comme l’individu n’a reçu aucune réponse à sa lettre, l’individu a communiqué avec l’agence par téléphone quelques jours plus tard, et cet appel a été suivi d’un autre envoi par télécopieur.
Environ un mois plus tard, un représentant de l’agence a téléphoné à l’individu afin de confirmer son adresse postale. L’agence a déclaré que l’individu avait refusé de la lui donner. Comme l’agence n’a pas été en mesure de confirmer cette adresse, l’agence indique qu’elle a posté les renseignements à l’individu à l’adresse inscrite au dossier.
L’individu a ensuite envoyé deux autres demandes écrites à l’agence, à plusieurs mois d’intervalle, afin d’avoir accès à ses renseignements personnels. L’agence n’a répondu à aucune de ces demandes écrites.
Au total, l’individu a envoyé quatre demandes écrites d’accès à ses renseignements personnels, se soumettant ainsi au paragraphe 8(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui exige qu’une demande d’accès soit présentée par écrit.
Pendant notre enquête, il n’a pas été établi clairement si l’agence avait répondu à la demande d’accès initiale dans le délai de 30 jours prescrit par la LPRPDE. Toutefois, il était clair que l’agence a omis de répondre aux autres demandes d’accès de l’individu, ce qui contrevient au paragraphe 8(3) et au principe 4.9 de l’annexe 1 de la LPRPDE. Cette omission équivaut à refuser une demande d’accès, ce qui contrevient au paragraphe 8(5) de la LPRPDE.
À notre demande, l’agence a par la suite envoyé les renseignements à l’individu par courrier recommandé. Bien que l’individu ait refusé de signer pour confirmer la réception de l’envoi, l’agence est néanmoins considérée comme ayant finalement fourni un accès à ses renseignements personnels. Par conséquent, la plainte a été considérée comme étant fondée et résolue.
Dernièrement, nous avons noté que la politique de confidentialité de l’agence identifie clairement qui est le responsable de l’agence pour les questions relatives à la gouvernance de la protection de la vie privée, même si les demandes d’accès de l’individu n’ont apparemment pas été transmises à cette personne comme elles auraient dû l’être. L’agence a entièrement reconnu que, dans ce cas, elle n’avait pas suivi ses propres procédures pour répondre aux demandes d’accès. Par conséquent, l’agence a cherché à réviser ses procédures et a offert une formation d’appoint à ses employés et aux membres de la direction sur les demandes d’accès liées aux renseignements personnels. Nous avons aussi suggéré que, à l’avenir, l’agence conserve des dossiers écrits clairs sur la façon dont elle se conforme aux demandes d’accès qu’elle reçoit, ainsi que sur le moment où elle le fait.
- Date de modification :