Ajout au résumé de l'incident des télécopies de la CIBC

Résumé des enquêtes

1) Transmissions par télécopieur acheminées par erreur à une entreprise américaine

Le 24 novembre 2004, la CIBC a informé le Commissariat qu'elle avait télécopié par inadvertance les renseignements bancaires personnels de certains de ses clients à une entreprise aux États-Unis, Allstar Sports Line Limited (Allstar). Le Commissariat a reçu par la suite des plaintes au sujet de cet incident.

Allstar a fait savoir qu'elle a reçu les premières transmissions par télécopieur de la CIBC en 2001. L'entreprise a affirmé qu'elle ne savait pas au départ ce qu'était la CIBC ni où elle était située. Par la suite, elle a appris que la CIBC était une banque canadienne. Allstar a fait savoir qu'elle a tenté d'avertir la banque en appelant les expéditeurs et, plus tard, le Service à la clientèle de la CIBC, mais ses préoccupations n'ont pas été prises en compte. En conséquence, Allstar a communiqué en 2002 avec un client de la CIBC dont le nom figurait sur l'un des envois par télécopieur. Le client a alors informé le Service à la clientèle et le directeur de sa banque de la situation.

Le 27 février 2002, le Service à la clientèle de la CIBC a pris des mesures pour remédier à la situation en transmettant un message aux différents secteurs de la banque, les avertissant du problème des envois par télécopieur. Toutefois, les envois ont continué d'être acheminés par erreur à Allstar, et le service juridique de la CIBC est intervenu.

Le service juridique de la CIBC a écrit à Allstar en mars 2002 pour lui demander de fournir à la banque l'identité ou le numéro de télécopieur de chaque expéditeur. Il a précisé que toute information fournie par Allstar permettant d'identifier la provenance de expéditeur aiderait la CIBC à régler le problème à l'interne.

Entre-temps, la CIBC a transmis un autre message le 6 mars 2002, cette fois à un secteur de la banque traitant avec des clients ayant des besoins financiers plus spécialisés. Toutefois, ce message ne s'est rendu qu'à un petit groupe fermé d'employés. De toute évidence, les problèmes persistaient étant donné que le Commissariat a confirmé que des renseignements personnels étaient toujours acheminés par télécopieur à Allstar. Les dossiers des appels téléphoniques ont également démontré qu'au cours des six premiers mois de 2003, Allstar a reçu 196 appels en provenance de Canada. Le Commissariat a vérifié ces numéros afin de déterminer s'ils correspondaient aux numéros de télécopieurs de succursales de la CIBC. La CIBC a affirmé qu'elle n'a pas eu d'autres nouvelles de Allstar au sujet d'envois par télécopieurs mal acheminés avant 2004; cependant, des preuves indiquent que Allstar a de nouveau tenté de communiquer avec la CIBC à ce sujet plus tard en 2002. La banque n'a pas entrepris de suivi auprès de Allstar pour s'assurer que le problème de télécopie avait cessé.

Les propriétaires de Allstar ont admis que le degré de sensibilité des renseignements télécopiés à leur entreprise était élevé et ils ont détruit certains documents. Dans sa lettre envoyée en mars 2002, la CIBC demandait à Allstar de lui transmettre les « détails des télécopies réelles reçues de la CIBC » et confirmait que les documents seraient déchiquetés par Allstar. Toutefois, la preuve indique que les transmissions se sont poursuivies et que certains des documents reçus n'ont pas été déchiquetés ou détruits d'une autre façon.

La CIBC a fait savoir qu'elle comptait sur Allstar pour déchiqueter l'information dans un effort pour protéger les renseignements personnels de ses clients. Elle a depuis adopté une politique selon laquelle la banque récupérera à l'avenir les documents transmis à quelqu'un par erreur, lorsqu'une telle transmission sera signalée, et demandera au destinataire de signer un document confirmant qu'aucune copie n'a été faite.

En mars 2004, Allstar a déposé une poursuite civile contre la CIBC. La banque croyait au départ que la poursuite concernait les transmissions par télécopieur reçues en 2002 et elle a affirmé que ce n'était qu'en octobre 2004 qu'elle a appris que les problèmes s'étaient poursuivis après 2002. Les dossiers démontrent que Allstar a également reçu des documents par télécopie en novembre 2004. Allstar a affirmé avoir contacté la banque à ce sujet et avoir été renvoyée d'une personne à une autre jusqu'à ce qu'elle soit en communication avec le service juridique de la banque, parce que l'affaire faisait l'objet d'un litige. La preuve indique qu'au cours des deux jours, après que l'incident eut été rendu public, les renseignements personnels de deux autres clients ont été communiqués par télécopieur.

Le 8 novembre 2004, le conseiller juridique de Allstar a présenté, par voie électronique, une requête de lettres rogatoires et a annexé à titre de pièces à l'appui deux transmissions par télécopieur reçues de la CIBC qui contenaient des renseignements personnels. L'avocat de Allstar a présenté cette requête en utilisant un système automatisé appelé « pacer ». L'information du système est protégée par mot de passe; les représentants du tribunal ainsi que les membres des médias ont accès à cette information. Un journaliste a par la suite obtenu une copie de la documentation.

La CIBC a indiqué qu'elle était au fait de la requête de Allstar, mais a reconnu qu'elle n'avait pas examiné la documentation annexée parce qu'elle n'avait pas l'intention de contester la requête. Les télécopies comportant des renseignements personnels ont été supprimés du site Web le 26 novembre 2004.

On a déterminé que le destinataire visé des envois par télécopieur était le Central Operations Services Group (COSG) de la CIBC, qui fournit des services administratifs à la Compagnie Trust CIBC, les opérations de dépôt pour les RER, les FRR et les achats de CPG, Investors Services et Securities Inc. Le COSG traite environ 14 000 transmissions par télécopieur par mois, et davantage en janvier et février, sa période de l'année la plus occupée.

Les renseignements figurant sur les envois par télécopieur mal acheminés comprenaient le nom du client, le numéro d'assurance sociale, le numéro de compte, les montants, l'adresse résidentielle, le numéro de téléphone à domicile et la signature du client. Certaines télécopies présentaient également des renseignements relatifs aux transferts de placements enregistrés et non enregistrés.

Les numéros de télécopieurs du COSG et de Allstar étaient tellement semblables que si une personne composait par erreur le numéro du COSG avec un 7 dans la séquence numérique, elle obtenait le numéro général de Allstar. Le Commissariat a examiné les dossiers et a constaté que plus de 200 numéros de téléphone canadiens qui appelaient la ligne sans frais de Allstar étaient rattachés à la CIBC.

La CIBC a reconnu que bien que les mesures qu'elle avait prises n'aient pas réussi à faire cesser le problème de télécopie, elle avait entrepris une enquête. Elle a déclaré qu'en 2002 et après la poursuite entamée en 2004, elle avait enquêté pour savoir si le numéro de télécopieur du COSG avait été mal publié et avait déterminé que ce n'était pas le cas. Même si la banque affirme qu'elle en aurait fait davantage si Allstar lui avait fourni plus de renseignements, elle estime que les mesures qu'elle a prises démontrent qu'elle ne prenait pas l'affaire à la légère.

Toutefois, le Commissariat a constaté que les employés qui connaissaient le problème n'ont pas porté l'affaire à l'attention des représentants principaux responsables des questions de protection des renseignements personnels ni pris des mesures pour mener une enquête rigoureuse. La preuve indique qu'à part les premières tentatives du Service à la clientèle de la CIBC pour régler le problème, c'est la division juridique de la banque qui s'est occupée de l'affaire.

Après que la CIBC a avisé le Commissariat de l'affaire, celui-ci a informé la banque qu'il mènerait une enquête sur l'incident et qu'il examinerait la procédure qu'a suivie la CIBC pour prévenir ses clients que leurs renseignements personnels avaient été communiqués. L'enquête a établi que la banque n'avait fait aucun effort pour informer ses clients au sujet de la communication avant que l'incident ne soit rendu public et que le CPVP n'entreprenne son enquête. La CIBC a ensuite communiqué ou tenté de communiquer avec les clients dont les renseignements personnels avaient été communiqués. Elle s'est excusée et a offert de remplacer leur numéro de compte.

2) Documents télécopiés par erreur à une entreprise de Dorval (Québec)

Le propriétaire d'une entreprise de Dorval a communiqué avec le Service à la clientèle de la CIBC en mars 2004 à propos d'un certain nombre de transmissions par télécopieur qu'il avait reçues renfermant des renseignements personnels de clients de la CIBC. Le Service à la clientèle a fait parvenir un message à toutes les succursales pour les informer de l'erreur et pour leur demander de vérifier les numéros de leurs télécopieurs. Malgré ces mesures, le propriétaire a continué de recevoir des transmissions par télécopieur au cours des mois suivants; il a communiqué avec la banque à chaque transmission, et ce, jusqu'en août 2004. La banque n'a eu aucune autre communication avec le propriétaire avant décembre 2004, lorsque celui-ci l'a informée de son intention de mettre les médias au courant de l'affaire.

Les transmissions qu'il a reçues provenaient de différentes succursales et il n'existait aucune ressemblance entre le numéro de son télécopieur et celui du COSG, le destinataire visé. La banque n'a pas été en mesure d'établir la cause des erreurs de transmission.

Le propriétaire estime avoir reçu de 20 à 25 transmissions par télécopieur et dit avoir détruit la plupart d'entre elles. Après juillet 2004, il a cessé de les détruire, mais a continué d'envoyer à la CIBC une copie de chacune. Il a depuis remis toutes les copies qu'il a reçues de la banque et n'est plus en possession de renseignements ayant trait aux clients de la banque ou à l'incident.

Comme dans le cas de l'autre incident, la banque n'a informé ses clients de la communication — à l'exception d'un client unique, employé de la banque — que lorsque le Commissariat a annoncé qu'il mènerait une enquête.