411Numbers cesse la suppression d’information moyennant des frais

Conclusions en vertu de la LPRPDE n^o 2019-005

Le 25 mars 2019

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi)

Aperçu

L’entreprise 411Numbers exploite plus d’une douzaine de sites Web offrant un accès gratuit à des numéros de téléphone de personnes résidant au Canada et dans d’autres pays et à d’autres renseignements les concernant. L’entreprise tire des revenus de la publicité et (auparavant) de la collecte de frais de suppression.

Le plaignant affirme que 411Numbers : i) a recueilli, utilisé et communiqué ses renseignements personnels (c.-à-d. nom, adresse et numéro de téléphone confidentiel) à son insu et sans son consentement en affichant ses renseignements personnels sur son site Web; ii) a utilisé ces renseignements à des fins inappropriées, à savoir tirer un revenu d’un service de suppression payant; iii) a obligé des personnes à fournir plus de renseignements que ce qui était réellement nécessaire aux fins d’utilisation des services de suppression; et iv) n’a pas répondu à ses demandes en matière de protection de la vie privée. Les renseignements personnels du plaignant ont été supprimés du site Web au cours de la présente enquête.

411Numbers affirme que le Commissariat n’a pas compétence pour mener une enquête dans cette affaire pour un certain nombre de raisons, notamment parce que l’entreprise a été constituée en vertu des lois de Hong Kong et que ses serveurs se trouvent à l’extérieur du Canada. Toutefois, à notre avis, il existait un lien réel et substantiel entre les activités de 411Numbers et le Canada, tant pour les renseignements des résidants canadiens que des non-résidants canadiens.

411Numbers considère que les renseignements en question sont « accessibles au public » et que, par conséquent, il n’est pas nécessaire d’obtenir le consentement pour afficher les renseignements sur ses sites Web. Nous avons déterminé que le nom, l’adresse et le numéro de téléphone publiés par une entreprise de télécommunications dans un annuaire des « pages blanches » constituent des renseignements « accessibles au public », conformément au Règlement précisant les renseignements auxquels le public a accès, si bien que le répondant n’a pas à obtenir le consentement de la personne pour publier ces renseignements. À notre avis, toutefois, les renseignements associés aux numéros de téléphone confidentiels ne correspondent pas à la définition de renseignements « accessibles au public », ce qui signifie que le consentement des personnes concernées était requis. L’organisation n’a pas obtenu le consentement pour recueillir, utiliser et communiquer ces renseignements.

Au cours de notre enquête, 411Numbers a mis fin à ses services de suppression d’information payants et, de ce fait, il a été déterminé que cet élément de la plainte est résolu.

En ce qui concerne l’allégation de collecte excessive de renseignements personnels, les personnes devaient auparavant fournir une copie de leur passeport, de leur permis de conduire et d’une facture de services publics pour faire supprimer leurs renseignements du site Web. Nous avons déterminé que ces renseignements étaient excessifs pour vérifier le nom et l’adresse d’une personne demandant que ses renseignements soient supprimés du service d’annuaire. Maintenant, les personnes n’ont qu’à remplir un questionnaire en ligne. Par conséquent, nous considérons que cette partie de la plainte est résolue.

En ce qui concerne l’allégation de non-réponse, nous avons déterminé que certaines personnes ont eu beaucoup de difficulté à communiquer avec 411Numbers. Nous avons également déterminé que l’entreprise avait une connaissance insuffisante de ses obligations en vertu de la LPRPDE et que sa politique de confidentialité était inexacte.

Le Commissariat a partagé un rapport d’enquête préliminaire, qui comprenait certaines recommandations formulées dans le but d’amener 411Numbers à se conformer à la Loi. En réponse à ces recommandations, 411Numbers a accepté : i) de supprimer les données associées aux numéros confidentiels sur tous ses sites Web; ii) de mettre en œuvre des mesures de diligence raisonnable pour s’assurer que les listes obtenues dans le futur ne contiennent aucun numéro confidentiel; et iii) de mettre en œuvre un certain nombre de mesures pour accroître sa responsabilité, sa transparence et sa capacité à répondre aux personnes qui désirent contester sa conformité à la Loi (c.-à-d. politique de confidentialité révisée, nouvelles procédures de traitement des plaintes et formation connexe).

Sur la base des engagements pris par 411Numbers, le Commissariat a déterminé que la plainte était fondée et conditionnellement résolue.

Plainte

1. Le plaignant a soulevé quatre principales allégations. Premièrement, il allègue que 411Numbers HK Limited (« 411Numbers » ou le « répondant ») a recueilli, utilisé et communiqué ses renseignements personnels à son insu et sans son consentement en affichant ses renseignements sur le site Web à l’adresse www.411numbers.ca. Les renseignements en cause étaient ses coordonnées, à savoir son nom (prénom, deuxième prénom et nom), son adresse postale complète et son numéro de téléphone confidentiel.
2. Le plaignant a indiqué que son adresse et son numéro de téléphone ne figuraient pas dans l’annuaire téléphonique et qu’il n’a pas autorisé 411Numbers à communiquer ces renseignements.
3. Deuxièmement, il soutient que 411Numbers a utilisé ses renseignements à des fins inappropriées, à savoir tirer un revenu d’un service de suppression payant.
4. Troisièmement, il soutient que 411Numbers a obligé des personnes à fournir plus de renseignements que ce qui était réellement nécessaire aux fins d’utilisation des services de suppression, à savoir une copie du passeport, du permis de conduire et d’une facture de services publics du requérant.
5. Finalement, il allègue qu’il n’a pas réussi à communiquer avec 411Numbers pour faire part de ses préoccupations concernant ses renseignements personnels. Il indique que lorsqu’il a tenté d’écrire à l’entreprise à l’aide de l’adresse courriel indiquée sur son site Web, il n’a reçu aucune réponse.

Résumé de l’enquête

6. Le répondant exploite des sites Web assurant un accès gratuit aux renseignements d’un annuaire téléphonique local. Au Canada, ces renseignements sont fournis par l’intermédiaire des sites Web www.411numbers.ca et www.411numbers-canada.com. Le répondant exploite étalement des sites Web essentiellement similaires en Argentine, en Australie, en Belgique, au Brésil, en France, en Allemagne, en Italie, aux Pays-Bas, au Portugal, en Espagne, en Suisse et aux États-Unis (les « sites Web propres à un pays »)^{Note de bas de page 1}.
7. Plus précisément, 411Numbers permet à l’utilisateur de rechercher le nom, l’adresse ou le numéro de téléphone d’une personne. Si l’information est disponible, 411Numbers fournit le nom, l’adresse et le numéro de téléphone associés à la recherche.
8. Le répondant fait valoir qu’il tire des revenus principalement de publicité par des tiers sur ses sites Web. Au moment où le Commissariat a reçu la plainte, 411Numbers tirait également des revenus de la collecte de frais de suppression, mais depuis, l’entreprise a mis fin à cette pratique (voir les paragraphes 24 à 27, ci-dessous).
9. Au cours de notre enquête, 411Numbers a informé le Commissariat qu’elle avait supprimé les renseignements personnels du plaignant de sa base de données et qu’elle en avait avisé le plaignant.
10. Pendant que nous enquêtions sur cette plainte, le Commissariat a également reçu des plaintes d’autres personnes indiquant que leurs numéros de téléphone confidentiels avaient été publiés sur le site Web de 411Numbers sans leur consentement. Un des plaignants était un juge canadien qui craignait que la publication de son adresse et de son numéro de téléphone ne mette sa famille en danger. Il a tenté à plusieurs reprises de demander la suppression de ses renseignements directement auprès du répondant, mais sans succès. Toutefois, le répondant a supprimé les renseignements après l’intervention du Commissariat.
11. Nous avons également reçu des plaintes de résidants d’autres pays concernant la communication de leurs renseignements personnels sans leur consentement sur les sites Web propres à un pays^{Note de bas de page 2}.
12. Finalement, au cours de l’enquête, l’autorité de protection des données de Berlin, en Allemagne, a contacté le Commissariat concernant plusieurs plaintes reçues relativement aux services de suppression payants et gratuits du répondant sur ses sites Web non canadiens.

Lien avec le Canada

13. 411Numbers est constituée en vertu des lois de Hong Kong. L’entreprise soutient que ses serveurs sont situés aux États-Unis et en Suède et qu’elle n’achète pas les données affichées sur ses sites Web auprès d’organisations canadiennes.
14. Toutefois, l’entreprise est détenue et exploitée par un résidant de la province de Québec, au Canada. Le répondant a indiqué que le propriétaire de l’entreprise est également le seul employé et qu’il exerce ses fonctions à partir de son domicile au Québec, malgré le fait que le site Web fasse référence à « l’équipe » de 411Numbers et affiche une série de profils de membres de l’équipe.
15. Au moment où le Commissariat a reçu la plainte, le répondant avait retenu les services d’une entreprise du Québec qui devait assurer la réception et l’envoi de courriels. L’adresse de cette entreprise était indiquée sur les sites Web de l’entreprise comme l’adresse de contact pour les demandes. Peu de temps après le début de l’enquête, le répondant a remplacé l’adresse de contact par celle d’un autre service tiers de réacheminement de courrier situé à Berlin, en Allemagne. Le courriel envoyé à cette adresse de contact est acheminé au propriétaire de l’entreprise au Québec.

Collecte de renseignements

16. Le répondant soutient que les seuls renseignements personnels qu’il recueille, utilise et communique sont le nom, le numéro de téléphone et l’adresse de la personne. 411Numbers a avisé le Commissariat qu’en ce qui concerne les renseignements affichés sur ses sites Web canadiens, l’entreprise a obtenu l’information exclusivement auprès de trois entreprises étrangères. Les bases de données de deux de ces entreprises ont été achetées, alors que les renseignements ont été obtenus gratuitement de la troisième.
17. 411Numbers dit ignorer comment ces trois entreprises ont obtenu les données en question et soutient qu’aucun contrat n’a été conclu relativement à l’acquisition de ces données. Nous constatons que l’une des entreprises auprès desquelles 411Numbers affirme avoir acheté des renseignements semblent être un courtier en données américain à qui le bureau d’éthique commercial avait attribué la cote « F », soit la plus faible possible^{Note de bas de page 3}.

Filtrage des numéros confidentiels

18. Pour filtrer les bases de données acquises pour ses sites Web canadiens et s’assurer qu’elles ne contiennent pas de numéro de téléphone confidentiel, 411Numbers a indiqué qu’elle procédait à un échantillonnage manuel des données (renseignements associés à environ 1 000 numéros de téléphone) en comparant les renseignements aux données contenues dans des annuaires similaires pour s’assurer que les mêmes renseignements étaient déjà accessibles en ligne (c.-à-d. pour repérer et exclure les numéros confidentiels et leurs données connexes des renseignements accessibles au public sur les sites Web). Le répondant affirme qu’un processus d’échantillonnage automatisé subséquent a été exécuté pour environ 100 000 entrées, encore une fois pour déterminer quels renseignements de sa base de données étaient disponibles ailleurs sur le Web. Ces processus d’échantillonnage n’ont pas été documentés et, à ce jour, n’ont pas été vérifiés.
19. Le répondant affirme que ces processus d’échantillonnage constituaient la seule façon de vérifier le contenu de la base de données puisque les fournisseurs de services de téléphonie résidentielle refusent systématiquement de communiquer les numéros de téléphone confidentiels. Il soutient également que pour cette raison, 411Numbers ne peut procéder à une mise à jour complète de sa base de données pour s’assurer qu’elle ne fournit aucun numéro de téléphone confidentiel.

Consentement

20. Le répondant considère que les alinéas 7(1)d), 7(2)c.1) et 7(3)h.1) de la LPRPDE permettent aux organisations de recueillir, d’utiliser et de communiquer des renseignements personnels sans le consentement de la personne si ces renseignements sont accessibles au public et visés par le Règlement. Plus précisément, 411Numbers a indiqué que « les renseignements personnels ‒ nom, adresse et numéro de téléphone des abonnés ‒ figurant dans un annuaire téléphonique accessible au public, où l’abonné peut refuser que ces renseignements y figurent » constituent des renseignements « accessibles au public » conformément à l’alinéa 1a) du Règlement précisant les renseignements auxquels le public a accès, DORS/2001-7 (le « Règlement »).
21. 411Numbers appuie sa position en citant la décision de la Cour fédérale d’appel dans l’affaire Englander c. Telus Communications Inc., 2004 CAF 387, qui conclut que les fournisseurs de services de téléphonie doivent obtenir le consentement des abonnés avant de publier des numéros non confidentiels (c.-à-d., les abonnés qui n’ont pas demandé que leurs numéros soient supprimés des annuaires) et qu’une fois publiés, les renseignements de ces annuaires deviennent accessibles au public.
22. 411Numbers renforce sa position en citant le Résumé de conclusions de la LPRPDE 2002-38, dans lequel le Commissariat a déterminé que les inscriptions figurant dans les annuaires des pages blanches constituent des renseignements personnels accessibles au public et que, par conséquent, la collecte, l’utilisation ou la communication de ces renseignements peut se faire sans le consentement de la personne concernée.
23. Pour soutenir sa position qu’il n’avait pas besoin d’un consentement, le répondant a également indiqué qu’il n’a pas compilé les renseignements contenus dans sa base de données ni trié ces renseignements ou ajouté des renseignements supplémentaires permettant d’identifier des personnes. Finalement, le répondant a ajouté qu’il ne vend pas et ne communique pas de renseignements à des tiers (autrement qu’au moyen des services d’annuaire qu’il offre par l’intermédiaire de ses sites Web).

Service de suppression payant

24. Le répondant a avisé le Commissariat que pendant environ un an (de la fin de mai 2015 jusqu’en mai 2016), il a offert un service permettant aux personnes faire supprimer et désindexer leurs renseignements personnels moyennant des frais.
25. Le répondant a expliqué que le coût de ce service variait entre 0,99 $ et 14,99 $. Il affirme que les frais étaient uniquement liés à la désindexation des renseignements des résultats de recherche de Google (c.-à-d. qu’en soumettant une demande à Google pour désindexer la page de ses résultats de recherche, la désindexation serait appliquée plus rapidement que si les personnes en faisaient elles-mêmes la demande), et non pour la suppression des renseignements de ses sites Web ou de sa base de données, qui est toujours gratuite. Il a également affirmé que les frais variaient en fonction des coûts associés aux mesures requises pour exécuter le processus de désindexation (c.-à-d. la mesure à laquelle 411Numbers devait traiter avec Google). 411Numbers a souligné le fait qu’elle a toujours offert aux personnes la possibilité de demander la suppression de leurs renseignements personnels de ses sites Web sans frais, contrairement aux fournisseurs de services de téléphonie qui facturent 2 $ par mois pour fournir un numéro de téléphone confidentiel.
26. Toutefois, une saisie d’écran soumise par le plaignant d’une page Web de 411Numbers, qui annonce son service de suppression payant sous le titre « Express Removal » (suppression rapide), semble indiquer que ses services payants ne se limitaient pas à la désindexation. La saisie d’écran indique clairement que le service payant, moyennant des frais de 19,99 $, comprenait la suppression immédiate des renseignements de la base de données, en plus de la suppression des résultats de recherche de Google et d’autres services auxiliaires (soutien continu, garantie, etc.). En outre, la saisie d’écran indique que le service de suppression rapide différait du service de suppression standard, qui était gratuit, mais dont le traitement pouvait prendre entre 2 et 3 semaines comparativement à la suppression « instantanée » promise par le service payant.
27. 411Numbers a estimé avoir répondu à environ 350 demandes de suppression payantes relativement à ses sites Web canadiens avant de mettre fin au service en mai 2016, bien qu’elle affirme n’avoir conservé aucune copie de ces demandes.

Collecte relative au service de suppression de données

28. Les exigences en matière de documentation associées au service de suppression du répondant ont évolué depuis le lancement du service.
29. Le répondant a expliqué que de la mi-mai 2015 à septembre 2015, toute personne désirant faire supprimer ses renseignements de son site Web devait accéder à une page de son site Web, imprimer un formulaire, le remplir et le faire parvenir à 411Numbers accompagné de copies de son passeport, de son permis de conduire et d’une facture de service public. Elle affirme que des copies de ces documents étaient nécessaires pour vérifier l’identité du demandeur. Le répondant affirme qu’aucune copie de ces documents n’a été conservée par 411Numbers une fois que l’identité de la personne a été validée.
30. Suivant une intervention de la Commission d’accès à l’information du Québec (la « CAI »), dont la preuve documentaire a été transmise au Commissariat, 411Numbers a changé sa pratique et n’exigeait plus qu’une facture de service public récente sur laquelle figurait le nom et l’adresse de la personne pour vérifier son identité. Le répondant a soutenu que ces documents n’ont pas été conservés une fois l’identité de la personne vérifiée.
31. En mai 2016, 411Numbers a cessé d’exiger une preuve d’identité dans les demandes de suppression pour ses sites Web canadiens. Cette demande peut maintenant être soumise en ligne.
32. 411Numbers a indiqué qu’une fois la demande de suppression traitée, tous les renseignements associés à la personne sont supprimés du site Web. Les renseignements sont également supprimés de sa base de données, à l’exception du numéro de téléphone, qui est conservé pour s’assurer que les renseignements ne sont pas réaffichés sur ses sites Web suivant les mises à jour périodiques de la base de données.
33. Bien que 411Numbers ait informé le Commissariat qu’elle ne conserve pas de statistique entourant le nombre de demandes de suppression, elle estime qu’environ 500 Canadiens ont soumis des demandes de suppression gratuite depuis que son service d’annuaire en ligne a été lancé. 411Numbers a estimé qu’avant septembre 2015, pour au moins 30 des demandes de suppression, les personnes avaient fourni des copies de leur passeport, de leur permis de conduire et d’une facture de service public. Elle a également estimé qu’environ 325 demandes de suppression relatives à ses sites Web canadiens, dont des demandes provenant de fournisseurs de services de téléphonie, ont été accordées. Le répondant n’a pas expliqué pourquoi les autres demandes n’ont pas été accordées. Aucune de ces estimations n’a été étayée par des éléments de preuve.

Responsabilité, transparence et possibilité de porter plainte à l’égard du non respect des principes de conformité

34. Dès le début de l’enquête, le Commissariat a rencontré des difficultés pour obtenir des renseignements auprès du répondant. Bien que les courriels initiaux envoyés à l’adresse indiquée sur le site Web du répondant aient obtenu une réponse, les personnes ayant répondu semblaient n’avoir aucune connaissance des obligations du répondant en vertu de la Loi. Les courriels provenaient de personnes affirmant être des « conseillers juridiques » ou des « superviseurs des services de soutien » du répondant, malgré le fait que, comme nous l’avons indiqué précédemment, le répondant a affirmé n’avoir qu’un seul employé.
35. Malgré de multiples demandes auprès de ces personnes, nous n’avons pu obtenir initialement le nom d’un chef de la protection des renseignements personnels à qui envoyer les détails de la plainte. Nous avons ensuite été avisés qu’il n’y en avait pas au sein de l’entreprise. 411Numbers nous a ensuite avisés que le propriétaire de l’entreprise visée était responsable des questions relatives à la protection de la vie privée, y compris la conformité à la Loi.
36. De même, au cours de nos communications initiales envoyées à la principale adresse courriel du répondant, une personne se disant « conseillère juridique » pour 411Numbers nous a fourni un numéro de téléphone non fonctionnel et, par la suite, n’a pas répondu à nos demandes répétées pour obtenir des observations écrites en réponse à la plainte. Ce n’est qu’après que nous ayons fait parvenir une lettre adressée au répondant et indiquant que le Commissariat pourrait invoquer ses pouvoirs officiels pour ordonner la production de documents que le répondant a répondu à la plainte.
37. Le répondant a indiqué qu’il avait recours à un fournisseur de service tiers pour administrer son système de courriel. En réponse à l’allégation du plaignant qu’il n’avait pas réussi à communiquer avec le répondant, 411Numbers a indiqué qu’il avait possiblement utilisé une adresse courriel erronée et qu’elle n’avait pas eu connaissance de problèmes techniques touchant le système. Toutefois, les autres plaignants et le Commissariat ont également eu des problèmes à communiquer avec le répondant au moyen de l’adresse courriel fournie sur son site Web.
38. Finalement, le répondant a admis que la politique de confidentialité affichée sur son site Web comportait de nombreuses erreurs et inexactitudes. Le répondant a indiqué que cela était dû à un manque de compréhension de ses obligations juridiques en matière de protection des renseignements personnels et qu’il était prêt à réviser sa politique afin de refléter avec exactitude ses pratiques, bien qu’il ait souligné le caractère purement volontaire de la publication d’une politique de confidentialité en vertu du principe 4.8.3 de la Loi.

Application

39. Pour rendre notre décision, nous avons appliqué les dispositions suivantes de la Loi : paragraphes 2(1) et 5(3), alinéas 7(1)d), (2)c.1) et (3)h.1), principes 4.1, 4.1.2, 4.1.4, 4.3, 4.3.3, 4.8, 4.8.3 et 4.10 de l’Annexe 1 de la Loi et alinéa 1a) du Règlement.
40. Le paragraphe 2(1) définit les renseignements personnels comme tout renseignement concernant un individu identifiable.
41. Le paragraphe 5(3) prévoit que l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
42. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
43. Les alinéas 7(1)d), 7(2)c.1) et 7(3)h.1) sont des exceptions à l’obligation de consentement énoncée au principe 4.3. Plus précisément, ils autorisent la collecte, l’utilisation ou la communication de données sans consentement s’il s’agit de renseignements auxquels le public a accès et qu’ils sont visés par le Règlement. Le Règlement établit des catégories de renseignements distinctes, notamment, à l’alinéa 1a), les renseignements personnels ‒ nom, adresse et numéro de téléphone des abonnés ‒ figurant dans un annuaire téléphonique accessible au public, si l’abonné peut refuser que ces renseignements y figurent.
44. Le principe 4.3.3. prévoit qu’une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
45. Le principe 4.1 stipule qu’une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés à l’Annexe 1.
46. Le principe 4.1.2 prévoit qu’il doit être possible de connaître sur demande l’identité des personnes que l’organisation a désignées pour s’assurer que les principes sont respectés.
47. En vertu du principe 4.1.4, les organisations doivent assurer, entre autres, la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la mise en œuvre des procédures pour protéger les renseignements personnels, la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite et la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation.
48. Selon le principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.
49. Le principe 4.8.3 prévoit qu’une organisation peut rendre l’information concernant sa politique et ses pratiques accessibles de diverses façons. La méthode choisie est fonction de la nature des activités de l’organisation et d’autres considérations. Par exemple, une organisation peut offrir des brochures à son établissement, poster des renseignements à ses clients, offrir un accès en ligne ou établir un numéro de téléphone sans frais.
50. Selon le principe 4.10, toute personne doit être en mesure de se plaindre du non-respect des principes énoncés à l’Annexe 1 en communiquant avec le ou les personnes responsables de les faire respecter au sein de l’organisation concernée.

Analyse

Compétence

51. La LPRPDE s’applique à une organisation basée à l’étranger dans les circonstances où il existe tout de même un lien « réel et substantiel » entre les activités de l’organisation et le Canada^{Note de bas de page 4}.
52. Bien que le répondant ait été initialement constitué en vertu des lois de Hong Kong et qu’il affirme que ses serveurs se trouvent à l’extérieur du pays, ses activités sont, dans les faits, exercées au Canada par une personne qui est le seul propriétaire et employé de l’entreprise visée. L’âme dirigeante de l’entreprise se trouve au Canada et les revenus tirés de ses sites Web retournent au Canada. Dans ces circonstances, cela représente un lien réel et substantiel avec le Canada et cela suffit pour que la Loi s’applique tant aux sites Web canadiens qu’aux sites Web propres aux autres pays.

Consentement

53. 411Numbers n’a pas tenté d’obtenir le consentement des personnes pour recueillir, utiliser et communiquer leurs numéros de téléphone et les renseignements connexes. À son avis, ces renseignements sont accessibles au public au sens du Règlement, ce qui signifie que le consentement n’est pas requis.
54. Nous sommes d’accord que les « numéros inscrits » et les renseignements connexes représentent des renseignements accessibles au public au sens du Règlement, ce qui signifie que le consentement n’est pas requis pour les publier sur les sites Web du répondant.
55. Le Commissariat a conclu que le nom, l’adresse et le numéro de téléphone publiés par une entreprise de télécommunication dans un annuaire des « pages blanches » (c.-à-d. où l’abonné peut refuser que ces renseignements y figurent) représentent des renseignements accessibles au public conformément à l’alinéa 1a) du Règlement^{Note de bas de page 5}.
56. Cette conclusion est en phase avec un extrait du « Résumé de l’étude d’impact de la réglementation » préparé relativement au Règlement^{Note de bas de page 6}, qui indique que l’intention du Parlement était d’inclure [TRADUCTION] « les renseignements des services d’assistance-annuaire ou des annuaires téléphoniques en ligne qui offrent également aux personnes le droit de refuser de figurer dans un annuaire » dans le Règlement. Elle précise également que « [d]’autres annuaires, dont les répertoires publiés sur Internet, ne seraient admissibles à l’exemption que s’ils sont fondés sur des répertoires d’abonnés au service téléphonique ».
57. Toutefois, cette enquête porte principalement sur la collecte, l’utilisation et la communication par 411Numbers de renseignements personnels relativement à des numéros de téléphone confidentiels. Les numéros de téléphone et les noms et adresses associés qui ne sont pas actuellement inscrits dans un annuaire des « pages blanches » comme celui qui est décrit au paragraphe 55 ci-dessus, ne répondent pas à la définition de renseignements « accessibles au public » qui figure à l’alinéa 1a) du Règlement. Par conséquent, le répondant ne peut appliquer l’exception visant les renseignements accessibles au public à la collecte, l’utilisation et la communication de numéros de téléphone confidentiels et des renseignements associés publiés dans son service d’annuaire.
58. Il est clair, à la lumière des éléments de preuve présentés par le plaignant et les autres personnes qui ont communiqué avec le Commissariat, que le répondant a publié des numéros de téléphone confidentiels sur ses sites Web. Il est également clair que le répondant n’a pas fait preuve de diligence raisonnable pour s’assurer que ses bases de données ne contenaient pas de numéros confidentiels. Par exemple, le répondant ne savait pas comment les trois compagnies mentionnées au paragraphe 16 avaient acquis l’information en question, ou avaient obtenu le consentement des personnes concernées, et il n’a même pas pris des mesures élémentaires pour s’assurer que ses bases de données ne contenaient pas de numéros confidentiels, comme conclure un contrat écrit avec les compagnies ou demander qu’elles éliminent les numéros confidentiels.
59. Bien que le répondant affirme qu’il a tenté de procéder à une vérification limitée de ses bases de données, ces mesures étaient inadéquates et insuffisantes pour garantir que les bases de données ne contenaient aucun numéro de téléphone confidentiel. En outre, cette affirmation n’a pas été démontrée et n’est soutenue par aucun des éléments de preuve soumis.
60. Nous soulignons également que les renseignements des annuaires téléphoniques ne sont pas statiques. Un client peut décider de demander que ses renseignements soient supprimés de l’annuaire au moyen du service de numéro confidentiel offert par son fournisseur de services de téléphonie. Par conséquent, une organisation qui fournit des renseignements d’annuaires doit également prendre des mesures raisonnables, en plus de la vérification des bases de données qu’elle acquiert, pour s’assurer de manière continue que son annuaire est actuel et à jour et ne communique pas de numéros confidentiels.
61. Le répondant soutient qu’il est impossible de prendre des mesures supplémentaires pour éliminer les numéros confidentiels puisque les fournisseurs de services de télécommunications refusent de lui fournir les noms de leurs clients inscrits à leur service de numéro confidentiel. Toutefois, nous soulignons qu’il incombe quand même au répondant de s’assurer qu’il a élaboré un modèle d’affaires lui permettant de se conformer à la loi. Il ne peut transférer la responsabilité à des tiers si ses pratiques ne sont pas conformes.
62. Le répondant a également suggéré que permettre qu’une personne puisse demander la suppression de ses renseignements de son site gratuitement constitue une pratique suffisante. Toutefois, il est possible que certaines personnes ne soient pas au courant que leurs renseignements personnels figurent sur le site Web du répondant. Dans le cas des numéros confidentiels, dont on s’attend à ce qu’ils restent confidentiels, il n’est pas raisonnable de s’attendre à ce que les individus concernés fassent une recherche sur le Web pour découvrir si une organisation, avec laquelle ils n’avaient pas de lien antérieurement, publie des renseignements les concernant.
63. Par conséquent, nous sommes d’avis que le répondant a contrevenu au principe 4.3 puisqu’il a publié les renseignements confidentiels du plaignant et, inévitablement, de nombreuses autres personnes, à leur insu et sans leur consentement.

Fin acceptable – Services de suppression payants

64. Nous avons remarqué que 411Numbers n’offre plus de services de suppression payants sur ses sites Web. Par conséquent, cet aspect de la plainte est maintenant résolu. Nous tenons cependant à souligner que la publication de renseignements personnels dans le but d’amener des personnes à payer des frais pour les faire supprimer serait vraisemblablement considérée comme une pratique inappropriée au sens du paragraphe 5(3) de la Loi. En outre, la pratique consistant à imposer des frais pour supprimer des renseignements qui ont été publiés sans le consentement requis serait sans doute considérée elle aussi comme inappropriée.

Collecte excessive de renseignements personnels – Services de suppression et de désindexation

65. Comme indiqué ci-haut, 411Numbers a expliqué au Commissariat que ses pratiques relatives aux demandes de suppression étaient divisées en trois phases (la première était en place au moment où le Commissariat a reçu la plainte) :

    PHASE	SUPPRESSION SANS FRAIS	SUPPRESSION PAYANTE
    Mai à septembre 2015	Copie du passeport, du permis de conduire et d’une facture de service public	Copie du passeport, du permis de conduire et d’une facture de service public
    Septembre 2015 à mai 2016	Facture de service public	Facture de service public
    Mai 2016 à aujourd’hui	Formulaire de demande en ligne sans identification	S.O. (le service n’est plus offert)

66. À notre avis, la quantité et le type de renseignements demandés au cours de la première phase étaient clairement excessifs aux fins de vérification du nom et de l’adresse d’une personne demandant la suppression de ses renseignements personnels dans les inscriptions. À cet égard, 411Numbers contrevenait au principe 4.3.3 de l’Annexe 1 de la LPRPDE.
67. Toutefois, 411Numbers a depuis modifié sa pratique et n’exige plus de pièces d’identité de la part des personnes qui soumettent une demande de suppression.

Responsabilité, transparence et possibilité de porter plainte à l’égard du non respect des principes de conformité

68. Le plaignant, d’autres plaignants et le Commissariat ont eu de la difficulté à transmettre leurs préoccupations concernant la confidentialité des renseignements au répondant. Il semble que toutes les activités de communication au nom de 411Numbers étaient menées par le seul employé et propriétaire du site Web. En outre, les éléments de preuve suggèrent que cette personne ne possédait pas de connaissances suffisantes des obligations du répondant en vertu de la Loi, y compris l’importance de répondre rapidement et avec diligence aux plaintes relatives à la protection de la vie privée et d’indiquer qui, à 411Numbers, est chargé de surveiller la conformité à la Loi quand on le lui demande.
69. 411Numbers a également admis que sa politique de confidentialité était inexacte et comportait de multiples erreurs. L’organisation a suggéré que l’affichage d’une politique de confidentialité en ligne était une mesure volontaire, mais n’a pas indiqué par quels autres moyens on pouvait obtenir des renseignements sur les politiques et les procédures de l’organisation. À notre avis, une politique de confidentialité précise est un élément essentiel pour permettre à une organisation de s’acquitter des obligations énoncées au principe 4.8. Quoi qu’il en soit, le fait qu’une organisation publie une politique de confidentialité contenant des erreurs importantes représente un manque de transparence à l’égard de ses pratiques de protection des renseignements personnels.
70. Par conséquent, nous estimons à première vue que le répondant n’a pas rempli ses obligations en ce qui concerne la responsabilité, la transparence et la possibilité de porter plainte à l’égard du non respect des principes 4.1, 4.1.2, 4.1.4, 4.8 et 4.10.

Rapport d’enquête préliminaire

71. Dans un rapport d’enquête préliminaire, nous avons formulé certaines recommandations à l’endroit de 411Numbers afin de lui permettre de se conformer à ses obligations en vertu de la Loi. Plus précisément, nous avons recommandé que le répondant prenne les mesures suivantes :
    1. Supprimer tous les renseignements personnels sur les personnes ayant des numéros confidentiels de chacun de ses sites Web, y compris les sites Web propres à chaque pays. Le répondant devrait soumettre au Commissariat un plan détaillé décrivant comment il compte atteindre cet objectif dans des délais mutuellement acceptables, en expliquant notamment comment les numéros confidentiels seront identifiés et comment les renseignements associés seront supprimés de la base de données et des sites Web. Ce plan devrait comprendre des mesures visant à s’assurer que les nouveaux numéros confidentiels sont supprimés promptement et de manière proactive sur une base continue;
    2. Mettre en œuvre des mesures de diligence raisonnables pour s’assurer que les listes obtenues de tiers à l’avenir ne contiennent aucun numéro confidentiel;
    3. Élaborer les mesures suivantes pour améliorer la responsabilité, la transparence et la capacité à répondre aux personnes qui désirent porter plainte à l’égard du non respect de la Loi et soumettre la documentation s’y rapportant au Commissariat aux fins d’examen et de formulation de commentaires avant leur mise en œuvre :
       1. Réviser sa politique de confidentialité afin qu’elle décrive avec exactitude comment le répondant traite les renseignements personnels;
       2. Mettre en place des procédures pour s’assurer que les personnes peuvent communiquer avec le répondant pour soumettre des plaintes relatives à la protection de la vie privée et que ces plaintes soient traitées adéquatement;
       3. S’assurer que ses représentants du service à la clientèle reçoivent une formation adéquate relativement aux obligations du répondant en vertu de la LPRPDE et à la façon de répondre aux plaintes en matière de protection de la vie privée.
72. Après avoir partagé ce rapport d’enquête préliminaire, le Commissariat a confirmé auprès de 411Numbers que la portée de la recommandation a) au paragraphe 71 ci-dessus, comprenait la suppression des renseignements personnels de toutes les personnes ayant un numéro confidentiel de chacun de ses sites Web, y compris les renseignements des personnes résidant à l’extérieur du Canada. Nous réitérons notre point de vue qu’il existe un lien réel et substantiel étroit entre les pratiques en question et le Canada, comme le décrit le paragraphe 52, ci-dessus. Nous avons également noté que les lois canadiennes comme la LPRPDE peuvent s’appliquer aux pratiques affectant des personnes résidant hors du Canada, particulièrement lorsque les revenus associés à ces pratiques aboutissent au Canada.

Réponse de 411Numbers au rapport d’enquête préliminaire

73. Concernant la recommandation a) au paragraphe 71 ci-dessus, 411Numbers a prévu les engagements échelonnés suivants relativement à la suppression des renseignements personnels de toutes les personnes ayant un numéro confidentiel, tant au Canada qu’à l’étranger, de chacun de ses sites Web, y compris ses sites Web propres à chaque pays (c.-à-d. les numéros de téléphone confidentiels ainsi que les renseignements personnels connexes comme les noms et les adresses) :
    1. pour les sites Web canadiens, il supprimera les renseignements personnels associés aux numéros confidentiels dans les 90 jours suivant la réception du présent rapport de conclusions, en se servant d’un logiciel pour comparer sa base de données aux listes les plus récentes de Canada411;
    2. pour les sites Web associés à la France, à l’Allemagne, à l’Italie, aux Pays-Bas, à l’Espagne et aux États-Unis, il peut prendre l’une ou l’autre des mesures suivantes : i) dans les 45 jours suivant la réception du présent rapport de conclusions, supprimer tous les renseignements personnels associés aux numéros confidentiels; ou ii) s’il détermine que les données requises ne peuvent être identifiées et supprimées de l’un ou l’autre de ces sites Web, fermer ces sites Web dans les 30 jours suivant la réception du présent rapport de conclusions;
    3. dans les 10 jours suivant la réception du présent rapport de conclusions, fermer les sites Web associés à l’Australie et à la Belgique.
       
       Remarque : En réponse à cette recommandation, les sites Web pour l’Amérique centrale et l’Amérique du Sud, ainsi que ceux associés au Portugal et à la Suisse, ont été fermés avant la publication du présent rapport de conclusions;
74. 411Numbers a accepté de fournir, dans les 90 jours suivant la réception du présent rapport de conclusions, une preuve qu’elle a réellement supprimé tous les renseignements personnels associés aux numéros confidentiels. À cet égard, 411Numbers s’est engagée à fournir au Commissariat : i) une liste des numéros de téléphone qui ont été supprimés de ses sites Web; ii) une copie de l’algorithme informatique utilisé pour s’acquitter de cet engagement.
75. Concernant la recommandation b) au paragraphe 71 ci-dessus, 411Numbers s’est engagée à vérifier toute liste obtenue d’un tiers en la comparant aux listes des pages blanches (c.-à-d. des listes qui ne doivent pas comporter de numéros confidentiels), pour supprimer les données associées à tout numéro confidentiel avant d’intégrer la liste à un site Web dont elle a la gestion.
76. En ce qui concerne la recommandation c) au paragraphe 71 ci-dessus, 411Numbers s’est engagée à appliquer les mesures suivantes :
    1. Réviser sa politique de confidentialité afin qu’elle décrive avec exactitude comment les renseignements personnels sont traités et fournir une copie de la politique révisée au Commissariat dans les 60 jours suivant la réception du présent rapport de conclusions.
    2. Mettre en place des procédures pour tous les sites Web dont elle a la gestion pour recevoir et traiter de façon appropriée les plaintes en matière de protection de la vie privée et fournir une copie des procédures au Commissariat dans les 60 jours suivant la réception du présent rapport de conclusions.
    3. Élaborer un document de formation qui décrit les obligations de 411Numbers en vertu de la LPRPDE et comment répondre aux plaintes en matière de protection de la vie privée et s’assurer que tous les employés actuels et éventuels reçoivent une formation adéquate à cet égard. Une copie du document de formation sera fournie au Commissariat dans les 90 jours suivants la réception du présent rapport de conclusions.

Conclusion

77. Le Commissariat tient à s’assurer que le répondant adopte les mesures nécessaires pour se conformer à la Loi et donne suite aux engagements explicites pris avec le Commissariat à cet égard. Par conséquent, nous assurerons une surveillance et un examen des mesures correctives que le répondant s’est engagé à prendre dans les délais convenus. Le moment venu, nous déterminerons si le répondant s’est conformé entièrement aux recommandations et, au besoin, nous résoudrons les préoccupations restantes dans les limites de l’autorité que nous accorde la Loi.
78. À la lumière des engagements pris par le répondant, qui sont décrits ci-dessus, le Commissariat considère que la plainte est fondée et conditionnellement résolue.