La communication de renseignements au sujet d’une dette par une société n’est pas visée par une exemption au consentement
Conclusions en vertu de la LPRPDE no 2016-013
Le 29 décembre 2016
Description
Une personne s’est plainte qu’une organisation a communiqué ses renseignements personnels, plus précisément des renseignements au sujet d’une dette, à une autre organisation à deux reprises sans son consentement. Les renseignements sur la dette d’une personne identifiable constituent des renseignements personnels et sont sensibles. Ils ne peuvent être communiqués par une organisation sans consentement que dans des circonstances très particulières, lesquelles sont décrites au paragraphe 7(3) de la Loi, notamment à l’alinéa 7(3)b), en vue du recouvrement d’une créance que celle-ci a contre l’intéressé. Dans ce cas, la communication n’avait pas pour but de recouvrer la dette. Le consentement était donc nécessaire. Le fait que les renseignements aient pu être communiqués en réponse à une question directe en espérant que la discussion resterait privée ne dispensait pas de l’obligation d’obtenir ce consentement. Notre enquête a révélé que les communications n’étaient pas comprises dans la définition des circonstances décrites au paragraphe 7(3). En outre, le Commissariat est d’avis que l’allégation de l’entreprise selon laquelle il y avait une « attente en matière de protection de la vie privée » lorsque de la communication des renseignements en question s’est produite ne remplace pas l’obtention du consentement nécessaire de la personne dont les renseignements personnels sont communiqués, pas plus que le simple fait de se faire demander par une autre partie de communiquer les renseignements personnels d’une personne.
Points à retenir
- Le paragraphe 7(3) donne des détails sur les circonstances très particulières dans lesquelles des renseignements personnels peuvent être communiqués sans consentement.
- La communication n’est pas exempte de l’obligation de consentement, conformément à l’alinéa 7(3)b), sauf si l’objectif de la communication est de recouvrer une créance que l’organisation a contre l’intéressé.
- Le fait de se fier à une attente de respect de la vie privée ou de répondre à une question directe ne sont pas des exceptions valables à l’obligation d’informer et d’obtenir le consentement d’une personne avant la communication de ses renseignements personnels.
Rapport de conclusions
Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi ou la LPRPDE)
Aperçu
Le plaignant a prétendu qu’à deux reprises, une entreprise d’installations sportives (l’entreprise) avait, sans son consentement, révélé à des représentants d’une association sportive (l’association) qu’il avait une dette envers l’entreprise.
L’entreprise n’a pas nié avoir communiqué l’information, mais a soutenu que la LPRPDE n’avait pas été enfreinte puisqu’elle avait répondu à une question directe de l’association en question.
Nous n’avons pas accepté la justification de l’entreprise à l’égard des renseignements communiqués et lui avons rappelé que la LPRPDE exige que les renseignements personnels d’une personne ne soient pas communiqués à son insu ni sans son consentement, à moins que l’on puisse invoquer l’une des exceptions prévues par la LPRPDE concernant l’obtention du consentement. L’exception relativement à la communication de renseignements dans le but de recouvrer une dette envers l’entreprise, conformément à l’alinéa 7(3)b), ne s’applique pas aux circonstances de la présente affaire.
La plainte est donc fondée.
Résumé de l’enquête
- Le plaignant était membre d’une entreprise d’installations sportives (l’entreprise). En 2014, son adhésion a été suspendue parce qu’il devait à l’entreprise une somme provenant de droits impayés et de montants impayés pour des biens et services achetés. Le plaignant était en négociation avec l’entreprise au sujet de sa dette.
- Le plaignant était également membre du conseil d’administration d’une association sportive (l’association) qui organisait un tournoi devant se tenir dans les locaux de l’entreprise.
- Avant le tournoi, un haut représentant de l’entreprise et le directeur du bureau de l’association se sont parlé au téléphone. L’appel visait à ce que le représentant de l’entreprise exprime son opposition à l’égard de deux personnes en particulier (dont le plaignant) qui devaient participer au prochain tournoi qui aurait lieu dans les locaux de l’entreprise. Au cours de l’appel, le représentant de l’entreprise a demandé que les deux personnes soient exclues du tournoi parce qu’elles avaient été suspendues de l’entreprise en raison d’une dette envers celle-ci.
- Le lendemain, une réunion a eu lieu pour discuter de la décision de l’entreprise d’interdire au plaignant d’entrer dans ses locaux pour participer au prochain tournoi. Le plaignant, un membre du conseil d’administration de l’association, le président de l’entreprise et le haut représentant de l’entreprise qui avait communiqué des renseignements sur la dette du plaignant au téléphone la veille ont assisté à la réunion. Au cours de cette dernière, l’entreprise a de nouveau révélé que le plaignant lui devait de l’argent.
- Pour sa part, l’entreprise a déclaré au Commissariat que des renseignements sur la dette du plaignant avaient été fournis à ces occasions parce que l’association l’avait expressément incitée à fournir les raisons pour lesquelles le plaignant n’était pas en règle auprès de l’entreprise. De plus, cette dernière a prétendu qu’il y avait une attente en matière de protection de la vie privée au cours de ces deux discussions.
- À la suite de ces événements, le plaignant a envoyé une offre de règlement à l’entreprise, dans laquelle il l’accusait d’avoir enfreint la LPRPDE. Il a également précisé des conditions particulières à remplir, y compris un montant à débourser au titre des dommages-intérêts, afin d’éviter tout litige futur contre l’entreprise. Il a depuis informé le Commissariat qu’il avait révisé ces conditions et qu’il demandait également des lettres d’excuses des deux représentants de l’entreprise.
- De plus, le plaignant a déposé la plainte actuelle auprès du Commissariat. Dans sa plainte, il allègue que l’entreprise a communiqué ses renseignements personnels sans son consentement. Plus précisément, il soutient qu’au cours d’un appel téléphonique, puis de nouveau lors d’une réunion, des représentants de l’entreprise ont informé, sans son consentement, des membres de l’association qu’il n’avait pas payé un solde dû à l’entreprise.
- Le Commissariat a examiné la politique sur la protection de la vie privée de l’entreprise ainsi que sa politique de confidentialité et son code de déontologie à l’intention des membres du conseil d’administration, celui-ci étant signé chaque année par les membres du conseil. De plus, l’entreprise nous a informés que tous les nouveaux membres doivent assister à une séance d’orientation comprenant un examen détaillé de la politique sur la protection de la vie privée.
- La politique sur la protection de la vie privée indique clairement que [traduction] « le consentement est requis pour la collecte de renseignements personnels et l’utilisation ou la communication subséquente de ces renseignements personnels » et elle comporte une section sur la limitation de la collecte, de l’utilisation et de la communication des renseignements personnels. Le Commissariat a également examiné la politique de confidentialité des membres du conseil d’administration de l’entreprise puisque les deux personnes qui ont communiqué les renseignements personnels du plaignant en faisaient partie. Cette politique énonce clairement que les membres du conseil d’administration doivent préserver la confidentialité des dossiers des clients conformément à la politique sur la protection de la vie privée de l’entreprise.
- On a confirmé au Commissariat que les deux membres du conseil d’administration de l’entreprise impliqués dans la présumée communication de renseignements personnels avaient assisté à la séance de formation initiale des membres du conseil et avaient examiné la politique de confidentialité à l’intention des membres du conseil.
- Au cours de l’enquête, l’entreprise a décidé d’examiner de nouveau sa politique sur la protection de la vie privée avec les membres du conseil d’administration et a prévu inscrire la question de la protection de la vie privée et de la confidentialité comme point permanent à l’ordre du jour de ses réunions afin d’atténuer la fréquence des plaintes relatives à la protection de la vie privée.
- Enfin, le Commissariat a été informé que le plaignant a finalement été autorisé à participer au tournoi qui s’est déroulé dans les locaux de l’entreprise.
Application
- Nous avons appliqué le principe 4.3 de l’annexe 1 et l’alinéa 7(3)b) de la partie 1 de la LPRPDE pour rendre nos décisions.
- Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
- L’alinéa 7(3)b) précise que l’organisation ne peut communiquer de renseignements personnels à l’insu de l’intéressé ou sans son consentement que si la communication est faite en vue du recouvrement d’une créance que celle-ci a contre l’intéressé.
Constatations
- Il s’agit de déterminer si le plaignant était au courant de la communication de ses renseignements personnels à l’association et s’il y a consenti, plus précisément au sujet de sa dette envers l’entreprise.
- Les renseignements sur la dette d’une personne identifiable constituent ses renseignements personnels. De plus, ce type de renseignements personnels est généralement considéré comme étant de nature sensible.
- Notre enquête a permis d’établir que l’entreprise a communiqué les renseignements personnels sur la dette du plaignant à l’association à deux reprises. De plus, il est évident que l’entreprise n’a pas obtenu le consentement du plaignant pour le faire, comme l’exige le principe 4.3. L’allégation de l’entreprise selon laquelle il y avait une « attente en matière de protection de la vie privée » lors de la communication des renseignements en question ne remplace pas l’obtention du consentement nécessaire de la personne dont les renseignements personnels sont communiqués, pas plus que le simple fait de se faire demander par une autre partie de communiquer les renseignements personnels d’une personne.
- Par conséquent, à notre avis, le principe 4.3 a été enfreint.
- La LPRPDE prévoit certaines exceptions à l’obligation d’obtenir le consentement pour la communication de renseignements personnels.
- En vertu de l’alinéa 7(3)b), la LPRPDE prévoit une exception à l’obligation d’obtenir le consentement lorsque la communication a pour but de recouvrer une créance que la personne doit à l’organisation. Toutefois, en l’espèce, il est évident que le but de l’entreprise en communiquant les renseignements sur la dette du plaignant n’était pas de recouvrer la dette, mais plutôt d’empêcher le plaignant de participer au tournoi qui allait avoir lieu dans les locaux de l’entreprise. Par conséquent, l’entreprise ne peut invoquer l’alinéa 7(3)b) pour se soustraire à l’obligation d’obtenir le consentement du plaignant relativement à la communication de ses renseignements personnels.
- Nous avons été déçus de constater que, malgré la politique de confidentialité de l’entreprise, c’est le président et un haut représentant de celle-ci qui ont communiqué des renseignements personnels. Selon nous, ces deux membres haut placés du conseil d’administration de l’entreprise auraient dû s’efforcer de donner l’exemple à suivre au reste de celle-ci. Cela dit, ces deux personnes ne font plus partie du conseil d’administration de l’entreprise.
Conclusion
- Par conséquent, nous concluons que la plainte est fondée.
- Date de modification :