Sélection de la langue

Recherche

Image du passeport d’une cliente jointe par inadvertance à un courriel promotionnel d’une agence de voyages

Exemple de plainte réglée en cours d’enquête no 2014-001

Le 23 septembre 2014

Leçons apprises

  • Les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées.
  • Les organisations doivent faire preuve de prudence lorsqu’elles reçoivent par courriel les renseignements personnels de clients.
  • Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
  • Les organisations doivent s’assurer que les moyens à la disposition des clients pour les contacter afin de faire état de leurs préoccupations ou de porter plainte en matière de protection de la vie privée fonctionnent bien.

Plainte

Une cliente a envoyé par courriel à son agente de voyages une image numérisée de son propre passeport et de celui de son compagnon de voyage. Quelques mois plus tard, la cliente et son compagnon ont découvert que l’image de leurs passeports figurait dans un gros document joint à un courriel promotionnel transmis aux clients figurant sur la liste de diffusion de l’agence de voyages. Ce courriel renfermait l’image du passeport de deux autres personnes ainsi que celle de plusieurs déclarations de renonciation à l’assurance voyage signées et de dossiers personnels de l’agente de voyages.

La cliente a été préoccupée de constater que ses renseignements personnels avaient été communiqués à son insu et sans son consentement, que l’agence de voyages ne les protégeait pas de façon appropriée et que son agente de voyages, qui lui avait présenté ses excuses, ne semblait pas perturbée par l’incident.

La cliente a envoyé à l’agent de la protection de la vie privée de l’agence de voyages un courriel exprimant ses préoccupations. Comme son courriel restait sans réponse, elle a déposé une plainte auprès du Commissariat à la protection de la vie privée du Canada et nous avons lancé une enquête.

Comment cela s’est-il produit?

L’agence de voyages a expliqué qu’elle avait récemment fait l’acquisition de plusieurs bureaux dans différentes régions du pays et hérité ainsi de leur matériel de bureau. Depuis, elle travaille activement pour faire en sorte que tous les bureaux nouvellement acquis soient conformes à ses politiques en vigueur. D’après le représentant de l’agence, une de ces politiques indique de ne pas recueillir ni conserver les renseignements figurant dans les passeports, même si le client souhaite les communiquer. Dans ce dossier, on ne sait pas avec exactitude si la cliente a envoyé ces renseignements de son propre chef ou à la demande de l’agente de voyages. Cette dernière a affirmé qu’elle avait déjà supprimé le courriel reçu de la cliente avant d’envoyer le courriel promotionnel.

L’enquête menée par l’agence de voyages a révélé que des fichiers numérisés, dont l’image du passeport de la plaignante, avaient été stockés par inadvertance dans l’ordinateur de l’agente et, à son insu, joints d’une façon ou d’une autre au courriel promotionnel.

Résultat

Lorsque l’agente de voyages a constaté que son courriel promotionnel renfermait les renseignements personnels de clients, elle les a appelés pour présenter ses excuses. Elle a également averti le service de TI de l’agence, qui a supprimé le logiciel utilisé par l’agente et a nettoyé son ordinateur pour effacer l’information.

Depuis l’incident, l’agence de voyages a mis en place une nouvelle procédure selon laquelle tous les courriels promotionnels destinés à une diffusion massive sont désormais soumis à l’approbation du siège social.

Quant à savoir pourquoi elle n’avait pas répondu au courriel de la cliente, l’agence de voyages a expliqué qu’elle ne l’avait pas reçu en raison d’erreurs internes touchant le serveur. Elle a confirmé avoir réglé le problème et pris des mesures pour empêcher qu’il se reproduise.

Nous avons pris connaissance des procédures prévues par la politique de confidentialité de l’agence de voyages, que chacun de ses employés doit lire, signer et observer. Nous avons aussi examiné une copie d’un courriel rappelant aux employés leurs obligations en matière de protection de la vie privée. Ce courriel précise clairement qu’ils ne doivent pas accepter que les clients leur envoient, par télécopieur ou par courriel, une image numérisée de leur carte d’identité pour réserver un voyage.

L’agence de voyages a appelé la cliente et lui a envoyé une lettre d’excuses officielle. Cette dernière nous a affirmé qu’elle était satisfaite des mesures prises et qu’elle considérait le dossier comme réglé.

Date de modification :