Enquête sur la réponse d’une entreprise de télécommunications à une demande d’accès à l’information présentée par une personne concernant la communication de ses renseignements personnels à des tiers
Rapport de conclusions d’enquête en vertu de la LPRPDE no 2016-008
Le 14 juillet 2016
En juin 2014, la plaignante a fait parvenir à une entreprise de télécommunications (l’entreprise) une lettre dans laquelle elle demandait à avoir accès à ses renseignements personnels au moyen d’un outil d’accès à l’information en ligne. Elle souhaitait notamment obtenir toute information sur la communication de ses renseignements personnels ou de renseignements sur son compte ou sur les appareils à son nom à des tiers, notamment des organismes d’application de la loi ou d’autres organismes gouvernementaux.
L’entreprise a répondu en affirmant se conformer en tout point aux paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la LPRPDE et elle lui a fourni le libellé de ces paragraphes.
La plaignante a alors déposé une plainte auprès du Commissariat à la protection de la vie privée du Canada (le Commissariat), alléguant que l’entreprise avait répondu de façon incomplète à sa demande. Plus précisément, selon elle, l’entreprise aurait refusé de lui indiquer si ses renseignements personnels ou des renseignements sur son compte ou sur les appareils à son nom avaient été communiqués à des tiers, notamment des organismes d’application de la loi ou d’autres organismes gouvernementaux.
À l’issue de son enquête, le Commissariat a jugé que la réponse de l’entreprise contrevenait au principe 4.9 de la Loi. Suivant sa recommandation, l’entreprise a fourni à la plaignante une réponse au sujet de la communication de ses renseignements personnels à toutes les autres parties.
Par conséquent, le Commissariat a conclu que la plainte était fondée et résolue.
Leçons apprises
Marche à suivre par une organisation pour répondre à une demande d’accès à l’information émanant d’une personne qui souhaite être informée de la communication de renseignements personnels la concernant, en vertu du principe 4.9 de la LPRPDE et en tenant compte des paragraphes 9(2.1) jusqu’à 9(2.4)
Version textuelle
Marche à suivre par une organisation pour répondre à une demande d’accès à l’information émanant d’une personne qui souhaite être informée de la communication de renseignements personnels la concernant, en vertu du principe 4.9 de la LPRPDE et en tenant compte des paragraphes 9(2.1) jusqu’à 9(2.4)
Question 1 : L’organisation a-t-elle communiqué les renseignements personnels de la personne à des tiers?
- Si « non » :
- Réponse : L’organisation est tenue de répondre à la demande d’accès et d’aviser le demandeur qu’elle n’a communiqué aucun renseignement personnel le concernant.
- Si « oui », passer à la question 2.
Question 2 : Y a-t-il eu communication de renseignements personnels à une institution gouvernementale d’une façon prévue au paragraphe 9(2.1) de la LPRPDE?
- Si « non » :
- Réponse : L’organisation est tenue de répondre à la demande d’accès et d’aviser le demandeur de la communication des renseignements personnels le concernant.*
- Si « oui », passer à la question 3.
Question 3 : L’institution gouvernementale a-t-elle des motifs légitimes de s’opposer à ce que l’organisation acquiesce à la demande d’accès émanant de la personne?
- Si « non » :
- Réponse : L’organisation est tenue de répondre à la demande d’accès et d’aviser le demandeur de la communication des renseignements personnels le concernant.*
- Si « oui » :
- Réponse : L’organisation est assujettie à des restrictions dans la façon dont elle peut répondre à la demande d’accès émanant de la personne. En vertu du paragraphe 9(2.4) de la LPRPDE, une organisation doit refuser d’acquiescer à la demande, en aviser le Commissariat à la protection de la vie privée du Canada et ne pas communiquer à l’intéressé les renseignements visés à l’alinéa 9(2.4)c) de la LPRPDE.
* En supposant qu’aucune exemption prévue à l’article 9 de la LPRPDE ne s’applique.
- Les organisations qui souhaitent obtenir plus d’information sur la façon de se conformer à la LPRPDE lorsqu’il s’agit de donner aux individus l’accès à leurs renseignements personnels peuvent consulter la fiche d’information intitulée Réponse aux demandes d’accès à l’information en vertu de la LPRPDE.
- Les personnes qui souhaitent en savoir plus sur la marche à suivre pour présenter une demande d’accès à leurs renseignements personnels peuvent consulter la fiche d’information intitulée Consulter vos renseignements personnels.
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
- La plaignante allègue qu’une entreprise de télécommunications (l’entreprise) lui aurait fait parvenir une réponse incomplète à sa demande d’accès. Plus précisément, selon elle, l’entreprise aurait refusé de lui indiquer si des renseignements personnels ou des renseignements sur son compte ou sur les appareils à son nom avaient été communiqués à des tiers, notamment des organismes d’application de la loi ou d’autres organismes gouvernementaux. Essentiellement, elle allègue que la réponse de l’entreprise, selon laquelle celle-ci respectait en tout point les exigences de la Loi, ne répond pas pleinement à sa demande d’accès.
- Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a conclu que la réponse de l’entreprise ne satisfaisait pas aux exigences du principe 4.9 de la Loi. Suivant sa recommandation, l’entreprise a fourni à la plaignante une réponse concernant la communication de ses renseignements personnels à toutes les autres parties.
- Par conséquent, le Commissariat conclut que la plainte est fondée et résolue.
Résumé de l’enquête
- En juin 2014, la plaignante a fait parvenir à l’entreprise une lettre lui demandant accès à ses renseignements personnels au moyen de l’outil « Access My Information »Note de bas de page 1. Sa demande se lisait comme suit :
[traduction] Veuillez me faire parvenir copie de tous les documents renfermant des renseignements personnels à mon sujet détenus par votre organisation, notamment :
- tous les registres d’adresses IP associées à ma personne, à mon compte ou aux appareils à mon nom (p. ex. adresses IP attribuées à mes appareils ou à mon routeur, adresses IP ou noms de domaines de sites que je consulte et date, heure et numéros de port correspondants);
- liste des « renseignements sur l’abonné » que vous conservez à mon sujet ou au sujet de mon compte ou des appareils à mon nom;
- toutes les données de géolocalisation que vous pourriez avoir recueillies à mon sujet ou encore associées à mon compte (p. ex. données GPS et données émanant de la station cellulaire) ou aux appareils à mon nom;
- messages textes ou multimédias (envoyés et reçus, y compris la date, l’heure et l’information sur le destinataire);
- registre des appels (p. ex. numéros composés, date, heure et durée des appels, information d’acheminement et données de géolocalisation ou données émanant de la station cellulaire associées aux appels);
- renseignements à mon sujet ou au sujet de personnes ou d’appareils associés à mon compte recueillis au moyen de l’une des applications pour appareils mobiles de votre entreprise;
- tous les autres types de renseignements que vous avez recueillis ou conservés ou encore tirés à partir des services de télécommunications ou d’appareils que moi-même ou une personne associée à mon compte a transmis ou reçus en utilisant les services de votre entreprise;
- toute information sur la communication de mes renseignements personnels ou de renseignements sur mon compte ou sur les appareils à mon nom à des tiers, notamment des organismes d’application de la loi ou d’autres organismes gouvernementaux.
- La plaignante a reçu une réponse de l’entreprise en juillet 2014. En ce qui concerne sa demande explicite concernant « toute information sur la communication de [ses] renseignements personnels ou de renseignements sur [son] compte ou sur les appareils à [son] nom à des tiers notamment des organismes d’application de la loi ou d’autres organismes gouvernementaux », l’entreprise a indiqué se conformer en tout point aux paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la Loi et elle lui a fourni le libellé de ces paragraphes.
- Selon la plaignante, la réponse de l’entreprise ne lui donne aucun moyen de déterminer s’il y a eu atteinte à sa vie privée et, le cas échéant, si l’atteinte était justifiable en vertu de la Loi.
- Par conséquent, la plaignante a déposé une plainte auprès du Commissariat. Elle lui a demandé d’examiner les actions de l’entreprise afin de déterminer si des renseignements personnels la concernant ont été communiqués en vertu des alinéas 7(3)c), 7(3)c.1) ou 7(3)d) de la Loi et, le cas échéant, d’examiner aussi toutes les communications entre l’entreprise et les institutions gouvernementales visées ou une subdivision de telles institutions pour déterminer si l’entreprise s’est conformée aux paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la Loi.
Information fournie par l’entreprise
- Le Commissariat s’est penché sur l’application, par l’entreprise, de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1)(i) et (ii), des alinéas 7(3)c.2) et d) et des paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la Loi afin de s’assurer que l’entreprise s’est conformée à la Loi.
- Selon l’entreprise, lorsqu’elle reçoit une demande d’accès émanant d’un client qui souhaite savoir si des renseignements ont été communiqués à des organismes d’application de la loi ou à d’autres organismes gouvernementaux, elle s’efforce de s’acquitter des obligations qui lui incombent en vertu de la Loi tout en s’assurant de ne pas donner trop d’information au demandeur, ce qui pourrait nuire à une enquête en cours menée par un organisme d’application de la loi. C’est pourquoi elle répond à ces demandes d’accès en indiquant se conformer en tout point à la Loi et fournit le libellé des dispositions pertinentes de la Loi.
- En outre, l’entreprise a expliqué qu’elle achemine à son équipe interne les demandes de cette nature afin que celle-ci détermine si des renseignements concernant le client ont été communiqués à des organismes d’application de la loi en exécution d’un mandat, d’une ordonnance du tribunal ou d’une ordonnance de communication. Si une communication a effectivement été faite à un organisme d’application de la loi, l’entreprise demande à l’organisme en question l’autorisation d’en aviser le client.
- Si un client n’est pas satisfait de la réponse initiale de l’entreprise et insiste en faisant parvenir une deuxième demande d’accès et que l’organisme d’application de la loi ne consent pas à la communication des renseignements demandés, l’entreprise en avise le client de la façon suivante :
[traduction] Après avoir reçu votre demande initiale, nous avons effectué une recherche dans nos dossiers internes pour déterminer si des organismes d’application de la loi avaient demandé des renseignements vous concernant. Dans l’affirmative, nous aurions demandé à l’organisme l’autorisation de vous en aviser. En vertu des paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la Loi, nous devons acquiescer aux demandes de renseignements valides émanant des organismes d’application de la loi.
Selon nos dossiers, il est possible qu’aucune demande n’ait été déposée pour obtenir le numéro de compte [XXXXXX] et il est aussi possible qu’une demande ait été déposée, mais que l’organisme d’application de la loi nous en interdise la communication.
- En revanche, si un client n’est pas satisfait de la réponse initiale de l’entreprise et insiste en faisant parvenir une deuxième demande d’accès et que l’organisme d’application de la loi consent à la communication des renseignements demandés, l’entreprise en avise le client de la façon suivante (en modifiant la formulation selon les besoins) :
[traduction] Après avoir reçu votre demande, nous avons communiqué avec les organismes d’application de la loi conformément aux paragraphes 9(2.1), (2.2), (2.3) et (2.4) pour leur demander l’autorisation de vous aviser des demandes émanant de ces organismes.
En réponse à votre demande concernant la communication de renseignements personnels, [nommer l’organisme d’application de la loi] nous a autorisés à vous aviser de la demande faite le [date] par [nom de l’organisme d’application de la loi]. Les renseignements ci-après ont été communiqués à [nom de l’organisme d’application de la loi] :
[renseignements personnels communiqués à l’organisme]
Notre entreprise respecte la Loi et nous sommes déterminés à protéger les renseignements personnels de nos clients. Pour en savoir plus sur notre politique de confidentialité, veuillez consulter notre site Web à l’adresse [lien hypertexte].
- L’entreprise a indiqué qu’elle continuait de mettre à jour ses lettres types pour répondre aux demandes d’accès émanant de clients qui souhaitent savoir si des renseignements ont été communiqués à des tiers.
Application
- Pour analyser les faits, nous avons appliqué le principe 4.9 de l’annexe 1 de la Loi ainsi que les alinéas 7(3)c), 7(3)c.1), 7(3)c.2) et 7(3)d) et les paragraphes 9(2.1), (2.2), (2.3) et (2.4) de la Loi.
- Selon le principe 4.9, une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels la concernant, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Plus précisément, le principe 4.9.1 stipule que l’organisation doit informer la personne concernée de l’usage qu’elle fait ou a fait des renseignements et des tiers à qui ils ont été communiqués.
- Le paragraphe 7(3)Note de bas de page 2 précise notamment qu’une organisation ne peut communiquer de renseignements personnels à l’insu de l’intéressé ou sans son consentement que dans les cas où la communication :
c) est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents;
c.1) est faite à une institution gouvernementale ‒ ou à une subdivision d’une telle institution ‒ qui a demandé à obtenir les renseignements en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait, selon le cas :- (i) qu’elle soupçonne que les renseignements sont afférents à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales,
- (ii) que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application,
- (iii) qu’elle est demandée pour l’application du droit canadien ou provincial;
c.2) est faite au titre de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes à l’institution gouvernementale mentionnée à cet article;
d) est faite, à l’initiative de l’organisation, à un organisme d’enquête, une institution gouvernementale ou une subdivision d’une telle institution et l’organisation, selon le cas,- (i) a des motifs raisonnables de croire que les renseignements sont afférents à la violation d’un accord ou à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être ou
- (ii) soupçonne que les renseignements sont afférents à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.
- Selon le paragraphe 9(2.1), une organisation est tenue de se conformer au paragraphe 9(2.2) si l’intéressé lui demande :
a) de l’aviser, selon le cas :
- (i) de toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1)(i) ou (ii) ou des alinéas 7(3)c.2) ou d),
- (ii) de l’existence de renseignements détenus par l’organisation et relatifs soit à toute telle communication, soit à une assignation, un mandat ou une ordonnance visés à l’alinéa 7(3)c), soit à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas;
b) de lui communiquer ces renseignements.
- Le paragraphe 9(2.2) précise qu’une organisation visée par le paragraphe 9(2.1) :
a) notifie par écrit et sans délai la demande à l’institution gouvernementale ou à la subdivision d’une telle institution concernée;
b) ne peut donner suite à la demande avant le jour où elle reçoit l’avis prévu au paragraphe (2.3) ou, s’il est antérieur, le trentième jour suivant celui où l’institution ou la subdivision reçoit notification. - En vertu du paragraphe 9(2.3), dans les trente (30) jours suivant celui où la demande lui est notifiée, l’institution ou la subdivision avise l’organisation du fait qu’elle s’oppose ou non à ce que celle-ci acquiesce à la demande. Elle ne peut s’y opposer que si elle est d’avis que faire droit à la demande risquerait vraisemblablement de nuire :
a) à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales;
a.1) à la détection, à la prévention ou à la dissuasion du recyclage des produits de la criminalité ou du financement des activités terroristes;
b) au contrôle d’application du droit canadien, provincial ou étranger, à une enquête liée à ce contrôle d’application ou à la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application. - Le paragraphe 9(2.4) précise que malgré l’article 4.9 de l’annexe 1, si elle est informée en vertu du paragraphe 9(2.3) que l’institution ou une subdivision d’une telle institution s’oppose à ce que celle-ci acquiesce à la demande, l’organisation :
a) refuse d’y acquiescer dans la mesure où la demande est visée à l’alinéa (2.1)a) ou se rapporte à des renseignements visés à cet alinéa;
b) en avise par écrit et sans délai le commissaire; et
c) ne communique à l’intéressé :- (i) ni les renseignements détenus par l’organisation et relatifs à toute communication faite à une institution gouvernementale ou à une subdivision d’une telle institution en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)1)(i) ou (ii) ou des alinéas 7(3)c.2) ou d) ou à une demande de communication faite par une institution gouvernementale ou une subdivision d’une telle institution en vertu de ces sous-alinéas;
- (ii) ni le fait qu’il y a eu notification de la demande à l’institution gouvernementale ou à une subdivision en application de l’alinéa (2.2)a) ou que le commissaire en a été avisé en application de l’alinéa b);
- (iii) ni le fait que l’institution ou la subdivision s’oppose à ce que l’organisation acquiesce à la demande.
Analyse et conclusions
- Il s’agissait de déterminer si la réponse de l’entreprise à la demande d’accès émanant de la plaignante était conforme aux exigences de la Loi en ce qui concerne les renseignements demandés.
- Selon le principe 4.9, une personne a le droit de consulter les renseignements personnels qui la concernent et d’être informée de l’existence de ces renseignements, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers. L’article 9 de la Loi prévoit toutefois certaines exceptions – obligatoires ou discrétionnaires – à ce droit.
- En particulier, les paragraphes 9(2.1) à 9(2.4) établissent une procédure que doivent suivre les organisations quand une personne demande de l’information concernant toute communication d’information faite en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)c.1)(i) ou 7(3)c.1)(ii) ou des alinéas 7(3)c.2) ou 7(3)d). Plus précisément, le paragraphe 9(2.4) prévoit une exception à la règle générale sur l’accès aux renseignements personnels énoncée au principe 4.9.
- La procédure prévue aux paragraphes 9(2.1) à 9(2.4) vise à protéger l’intégrité des enquêtes légitimes. Par conséquent, lorsqu’un individu demande i) à être informé de toute communication à laquelle s’appliquent ces dispositions ou de l’existence de renseignements dont dispose l’organisation relativement à cette communication ou ii) à consulter cette information, alors l’organisation est tenue de suivre la procédure prévue au paragraphe 9(2.2), notamment de demander à l’institution gouvernementale visée si elle s’oppose à ce qu’elle acquiesce à la demande, lorsque l’organisation a fait une communication à une institution gouvernementale ou à une subdivision d’une telle institution.
- Selon le libellé du paragraphe 9(2.4), c’est uniquement lorsque l’institution gouvernementale visée s’oppose à ce qu’elle acquiesce à la demande que l’organisation doit s’acquitter des obligations prévues par ce paragraphe. En pareil cas, elle doit notamment refuser d’acquiescer à la demande, en aviser le Commissariat et ne communiquer aucun renseignement précisé à l’alinéa 9(2.4)c).
- Ainsi, lorsqu’aucune communication n’a été faite en vertu de l’alinéa 7(3)c), des sous-alinéas 7(3)1)(i) ou 7(3)c.1)(ii) ou des alinéas 7(3)c.2) ou 7(3)d), ou qu’une communication a été faite et que l’institution gouvernementale visée ne s’oppose pas à ce que l’organisation acquiesce à la demande, l’organisation doit donner accès aux renseignements demandés (ou aviser l’individu de toute communication de cette information), sauf si une autre exception pertinente s’applique en vertu de l’article 9.
- Par conséquent, la réponse d’une organisation à la demande d’un individu souhaitant être informé de la communication de ses renseignements personnels par l’organisation repose sur plusieurs facteurs : le fait que l’information a effectivement été communiquée ou non et, le cas échéant, que la communication était assujettie ou non au paragraphe 9(2.1) et, en bout de ligne, que l’institution gouvernementale visée a ou non des motifs juridiques de s’opposer à ce que l’organisation acquiesce à la demande d’accès.
- En supposant qu’aucune autre exception prévue à l’article 9 ne s’applique, si l’organisation n’a communiqué aucun renseignement personnel, le Commissariat est d’avis que l’organisation aurait l’obligation de répondre au demandeur en lui indiquant qu’elle n’a communiqué aucun renseignement personnel le concernant. En revanche, si elle a communiqué des renseignements personnels à un tiers mais que la communication n’est nullement visée par le paragraphe 9(2.1), l’organisation aurait l’obligation d’aviser le demandeur du fait que ses renseignements personnels ont été communiqués.
- Si la demande a trait à une communication visée par le paragraphe 9(2.1), la réponse de l’organisation variera selon que l’institution gouvernementale visée s’oppose ou non à ce qu’elle acquiesce à la demande. Si l’institution ne s’y oppose pas, l’organisation doit répondre à la demande conformément au principe 4.9. Toutefois, c’est uniquement lorsque l’institution gouvernementale visée s’oppose à ce que l’organisation acquiesce à la demande que cette dernière est restreinte dans la façon dont elle peut répondre à la demande conformément au paragraphe 9(2.4).
- Compte tenu de ce qui précède, le Commissariat estime que la réponse de l’entreprise à la demande de la plaignante ne satisfait pas à l’obligation lui incombant en vertu du principe 4.9 d’informer la plaignante de la communication de ses renseignements personnels à des tiers. D’après l’enquête menée par le Commissariat, dans tous les cas, l’entreprise répond systématiquement aux demandes de cette nature en affirmant se conformer aux paragraphes 9(2.1) à 9(2.4) de la Loi. Le Commissariat estime que ce type de réponse est insuffisant, car l’entreprise n’indique pas au demandeur si les renseignements personnels ont effectivement été communiqués dans les cas où aucune communication n’est visée par le paragraphe 9(2.1). En outre, ce paragraphe ne s’appliquerait pas s’il n’y a eu aucune communication.
- Cependant, le Commissariat ne conteste pas la réponse type fournie par l’entreprise à la deuxième étape, lorsqu’il y a eu une communication visée par le paragraphe 9(2.1) et que l’institution gouvernementale s’oppose à ce que l’organisation acquiesce à la demande. D’après nous, la réponse serait conforme aux restrictions énoncées au paragraphe 9(2.4). Nous ne contestons pas non plus la réponse type fournie par l’entreprise à la deuxième étape lorsque l’institution gouvernementale ne s’oppose pas à ce que l’organisation acquiesce à la demande puisque, en pareil cas, l’entreprise aviserait en fait la personne de la communication de ses renseignements personnels à une institution.
- Cela dit, le Commissariat est d’avis que l’entreprise devrait cesser d’envoyer la réponse initiale qu’elle transmet actuellement aux demandeurs puisque, dans bien des cas, cette réponse serait insuffisante et n’informerait pas le demandeur comme l’exige le principe 4.9.
- Le Commissariat reconnaît toutefois que la procédure actuelle prévue par la Loi fait en sorte qu’un ou plusieurs individus pourraient, au fil du temps et après avoir présenté plusieurs demandes, déduire raisonnablement s’il y a effectivement eu communication d’information et si une institution s’est opposée à ce que l’organisation acquiesce à la demande. En effet, en pareil cas, l’organisation aurait l’obligation de fournir une réponse conforme aux exigences du paragraphe 9(2.4). Bien qu’une réponse appropriée en vertu du paragraphe 9(2.4) ne ferait état d’aucune information concernant une communication à une institutions gouvernementale ou toute opposition d’une institution, cette réponse serait manifestement différente de celle fournie dans d’autres cas de figure. Ainsi, les personnes ayant reçu une réponse conforme aux exigences du paragraphe 9(2.4) pourraient néanmoins conclure, malgré la réponse fournie, qu’une communication a effectivement été faite et que l’institution gouvernementale s’est opposée à ce que l’organisation acquiesce à la demande. Sans commenter la probabilité d’un tel cas de figure dans la pratique, il peut s’agir d’un « résultat possible » de la procédure actuellement prévue par la Loi.
- En outre, la réponse fournie par l’entreprise est incomplète dans la mesure où la demande d’accès émanant de la plaignante visait à déterminer si l’entreprise avait communiqué ses renseignements personnels à des tiers, ce qui comprend aussi des entités des secteurs public et privé non visées par le paragraphe 9(2.1). Par conséquent, l’entreprise avait l’obligation de répondre par la négative ou l’affirmative en précisant si elle avait communiqué les renseignements personnels de la plaignante à tous les tiers, y compris des tiers du secteur privé, qui ne sont pas visés par la procédure prévue aux paragraphes 9(2.1) à 9(2.4), ainsi qu’à d’autres tiers du secteur public qui ne sont pas visés par les paragraphes 9(2.1) à 9(2.4). Dans ce contexte, le Commissariat conclut que la réponse de l’entreprise à la demande d’accès émanant de la plaignante ne satisfait pas aux exigences du principe 4.9 en vertu duquel l’organisation doit informer un plaignant de la communication de ses renseignements personnels à tous les tiers, sans exception.
Rapport d’enquête préliminaire et réponse de l’entreprise
- Le Commissariat a publié un rapport d’enquête préliminaire dans lequel il formulait les recommandations suivantes à l’intention de l’entreprise :
- Fournir à la plaignante une réponse qui donne directement suite à sa demande d’accès en précisant si ses renseignements personnels ou des renseignements sur son compte ou sur les appareils à son nom ont été communiqués à toutes les autres parties, selon les cas de figure décrits ci-dessus.
- Cesser la pratique consistant à envoyer la réponse initiale (décrite ci-dessus) aux demandes d’accès émanant d’individus qui souhaitent savoir si des renseignements personnels les concernant ou des renseignements personnels sur leur compte ou sur les appareils à leur nom ont été communiqués à des tiers, et s’assurer que sa réponse respecte les critères susmentionnés.
- Dans sa réponse au rapport d’enquête préliminaire, l’entreprise a indiqué qu’elle avait examiné ses dossiers et fait parvenir à la plaignante une réponse donnant directement suite à sa demande d’accès en précisant si des renseignements personnels la concernant ou des renseignements sur son compte ou sur les appareils à son nom avaient été communiqués à toutes les autres parties, y compris des organisations des secteurs privé ou public.
- L’entreprise a de plus accepté d’éliminer sa procédure en deux étapes pour toutes les demandes ultérieures. Plus précisément, elle a informé le Commissariat qu’elle avait modifié sa politique relative aux réponses aux demandes d’accès de cette nature émanant de clients et adopté une nouvelle lettre type dans le cadre de ses activités.
Conclusion
- Par conséquent, le Commissariat conclut que la plainte est fondée et résolue.
- Date de modification :