Enquête sur le traitement des renseignements personnels de deux employées du même nom par une institution fédérale

Plainte en vertu de la Loi sur la protection des renseignements personnels

Le 28 mars 2024

Description

Le Commissariat a reçu une plainte d’une employée de l’institution fédérale alléguant que ses renseignements personnels ont été communiqués à plusieurs reprises à une autre employée du même nom travaillant pour cette même institution. De plus, elle soutient que de nombreuses erreurs administratives dans leurs dossiers respectifs se sont également produites au fil des années. Ces atteintes à la vie privée de la plaignante se sont accumulées sans que le bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de l’institution n’en soit informé.

Points à retenir

Tous les employés d’une institution fédérale ont la responsabilité de prendre des mesures immédiates pour limiter les incidents affectant la vie privée.
Toutes les atteintes, qu’elles soient substantielles ou non, doivent être signalées au bureau de l’AIPRP.
Le rôle du bureau de l’AIPRP est essentiel, car celui-ci a l’obligation de prendre des mesures afin de contenir les atteintes, d’effectuer des évaluations complètes quant aux circonstances et aux risques pour les personnes concernées, et de mettre en place des stratégies afin d’atténuer les risques de récurrence. De plus, le bureau de l’AIPRP a la responsabilité d’éduquer, de former et de diffuser l’information aux différents secteurs de l’institution fédérale.

Rapport de conclusions

Vue d’ensemble et contexte

La plaignante est une employée de l’institution fédérale depuis 2009. Elle allègue que depuis l’arrivée d’une employée ayant le même nom qu’elle (« la deuxième employée »), de nombreux incidents relatifs à leur vie privée respective sont survenus^{Note de bas de page 1}.
D’abord, elle soutient que ses renseignements personnels ont été communiqués par l’institution fédérale à maintes reprises à la deuxième employée sans son consentement. La première question examinée dans ce rapport vise donc à déterminer si ces communications étaient permises en vertu de l’article 8 de la LPRP. Cet article prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement d’un individu ou conformément à l’une des catégories de communication autorisées décrites au paragraphe 8(2) de la LPRP.
Ensuite, la plaignante soutient que depuis l’arrivée de la deuxième employée, le personnel de l’institution fédérale n’est pas en mesure de bien les distinguer, ce qui engendre plusieurs erreurs dans leurs dossiers d’employés respectifs. De ce fait, le Commissariat à la protection de la vie privée du Canada (« le Commissariat ») a également examiné si l’institution fédérale a contrevenu au paragraphe 6(2) de la LPRP. Cet article prévoit qu’une institution fédérale doit veiller à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets.
À la suite d’un examen des faits et de la preuve documentaire soumise par la plaignante, nous avons déterminé que l’institution fédérale a contrevenu aux dispositions de la LPRP dans cette affaire. Dans un premier temps, nous considérons que celle-ci a communiqué à de multiples reprises les renseignements personnels de la plaignante par erreur, contrevenant ainsi à l’article 8 de la LPRP. Finalement, nous considérons que l’institution fédérale a contrevenu au paragraphe 6(2) de la LPRP en omettant de mettre en place des mesures permettant de bien identifier les employées avant d’apporter des changements dans leurs dossiers respectifs. Nous concluons que les deux allégations sont fondées.
À la lumière de ces conclusions, nous avons recommandé que l’institution fédérale s’engage, dans les deux semaines suivant l’émission du rapport préliminaire, à :
1. fournir une copie des résultats des évaluations préliminaires sur les incidents survenus et informer le Commissariat de toute mise à jour concernant les démarches entreprises par l’institution fédérale jusqu’à maintenant dans cette affaire.
2. indiquer au Commissariat quelles mesures concrètes seront mises en place afin de (a) prévenir les communications non autorisées des renseignements personnels des employées concernées et (b) s’assurer que les renseignements personnels utilisés afin d’apporter des changements dans leurs dossiers respectifs soient aussi exacts que possible.
Nous avons également recommandé que l’institution fédérale confirme, dans les deux mois suivant l’émission du présent rapport, qu’un rappel a été fait à l’ensemble des secteurs de l’institution fédérale, à l’effet que toute atteinte à la vie privée, qu’elle soit matérielle ou non, doit être signalée au bureau de l’accès à l’information et à la protection des renseignements personnels (« AIPRP »).
En réponse au rapport de conclusions préliminaire, l’institution fédérale a accepté toutes les recommandations ci-dessus et s’est engagée à prendre des mesures concrètes afin de remédier aux problématiques soulevées dans le présent rapport. Par conséquent, nous concluons que la plainte est conditionnellement résolue.

Analyse

Enjeu 1 : L’institution fédérale a contrevenu à l’article 8 de la LPRP en communiquant par erreur les renseignements personnels de la plaignante

L’article 8 de la LPRP prévoit que la communication des renseignements personnels d’un individu ne peut se faire qu’avec son consentement ou selon l’une des exceptions prévues au paragraphe 8(2) de la LPRP.
La plaignante allègue que depuis 2017, ses renseignements personnels ont été communiqués à la deuxième employée, sans son consentement, par divers secteurs au sein de l’institution fédérale. En effet, la plaignante a démontré que de nombreux incidents ont mené, entre autres, à la communication de son code d’identification du dossier personnel (« CIDP »), son adresse courriel personnelle, son adresse postale, ainsi que des renseignements financiers et renseignements relatifs à sa santé.
Selon la plaignante, ces incidents surviennent en raison de la ressemblance entre leurs adresses courriels de travail. En effet, ces deux adresses courriels sont identiques, à l’exception du chiffre « 2 » ajouté afin de permettre de distinguer les deux employées. La plaignante soutient que cette mesure n’est pas suffisante et que lorsqu’un employé n’est pas attentif, il sélectionne la mauvaise adresse courriel même si les deux employées occupent des postes différents.
Dans ce contexte, la plaignante a reconnu qu’il s’agit d’erreurs répétées de la part des divers secteurs de l’institution fédérale. En examinant la preuve documentaire soumise par la plaignante, le Commissariat a pu confirmer que les communications des renseignements personnels étaient le résultat d’erreurs humaines, car les expéditeurs confondaient les deux employées.
La plaignante a également fourni au Commissariat plusieurs échanges de courriels démontrant qu’elle a signalé ces atteintes aux personnes concernées des divers secteurs. En effet, celle-ci a expliqué à de multiples reprises aux divers employés de l’institution fédérale que deux employées avaient le même nom au sein de l’institution et qu’ils devaient être plus vigilants lorsqu’ils communiquent avec l’une d’entre elles. La plaignante soutient qu’elle reçoit des excuses lorsqu’un incident survient, mais que l’institution ne fait aucun effort afin de tenter de prévenir la récurrence de ces communications.
Au cours de cette enquête, l’institution fédérale n’a pas présenté d’observations afin de démontrer que ces communications étaient permises par l’article 8 de la LPRP. Celle-ci a expliqué ne pas avoir connaissance de ces incidents, car ces atteintes n’ont jamais été signalées à leur bureau de l’AIPRP. Lorsque questionnée à ce sujet, la plaignante a indiqué ne pas bien connaître la procédure à suivre en cas d’atteintes à la vie privée, et à qui elles doivent être signalées, mis à part son gestionnaire et les secteurs concernés. Elle a également indiqué que selon elle, les autres employés de l’institution fédérale avaient également une méconnaissance de ce sujet.
La Directive sur les pratiques relatives à la protection de la vie privée prévoit que les employés ont l’obligation de suivre les procédures prévues à l’annexe B lorsqu’ils ont connaissance d’une atteinte à la vie privée. Ces procédures, en vigueur depuis le 26 octobre 2022^{Note de bas de page 2}, exigent notamment de prendre des mesures immédiates pour limiter les atteintes potentielles ou confirmées, et d’aviser immédiatement le responsable de l’institution ou son délégué. Par la suite, l’atteinte doit être documentée et une évaluation complète doit être effectuée. De plus, les institutions sont tenues d’aviser le Commissariat et le Secrétariat du Conseil du Trésor de toute atteinte à la vie privée substantielle, si l’atteinte porte sur des renseignements personnels de nature délicate et pouvant raisonnablement être susceptible de causer un préjudice grave à la personne affectée.
À notre avis, le fait qu’aucune de ces atteintes n’ait été signalée par les secteurs concernés confirme le manque de connaissance général des employés de l’institution fédérale de la procédure de signalement d’une atteinte à la vie privée, de leurs obligations, ainsi que du rôle et des responsabilités du bureau de l’AIPRP.
De plus, nous soulignons que l’institution a indiqué au Commissariat qu’il considère la sensibilité des renseignements communiqués comme étant de niveau « faible à moyenne ».
En l’espèce, nous ne sommes pas d’accord avec cette position. À notre avis, la combinaison des nombreux renseignements personnels communiqués devrait être considérée plus sérieusement par l’institution fédérale. En effet, plusieurs renseignements divulgués auraient pu, dans d’autres contextes, augmenter la possibilité d’un vol d’identité. De plus, nous sommes d’avis que la communication des renseignements relatifs à l’état de santé de la plaignante, ou même de ses états financiers, peut tout autant porter atteinte à sa réputation, ou avoir des répercussions sur sa santé.
Considérant le nombre de renseignements communiqués, la sensibilité de ceux-ci et la période durant laquelle ces incidents se sont produits, nous considérons qu’il s’agit d’un problème de nature systémique et que des mesures auraient dû être mises en place par l’institution fédérale afin de prévenir ces communications accidentelles.
Compte tenu de ce qui précède, nous sommes d’avis que l’institution fédérale a contrevenu aux dispositions de la LPRP ayant trait à la communication des renseignements personnels de la plaignante et nous concluons que cette allégation est fondée.

Enjeu 2 : L’institution fédérale a contrevenu au paragraphe 6(2) de la LPRP en omettant de s’assurer que les renseignements qu’elle utilise à des fins administratives sont exacts

Le paragraphe 6(2) de la LPRP énonce qu’une institution fédérale doit veiller à ce que les renseignements personnels qu’elle utilise à des fins administratives soient à jour, exacts et complets.
Au cours de cette enquête, la plaignante a démontré que plusieurs incidents en lien avec l’exactitude des renseignements personnels sont survenus depuis l’arrivée de la deuxième employée et que d’autres continuent de se produire^{Note de bas de page 3}. Elle soutient entre autres que des changements dans les systèmes des ressources humaines et des technologies de l’information sont souvent apportés au compte de la mauvaise employée.
Pour les employées concernées, ces erreurs sont une source de stress et d’incompréhension. En effet, selon la plaignante, ces incidents ne devraient pas survenir, car celles-ci n’ont pas le même CIDP ni la même date de naissance.
En examinant la preuve documentaire soumise par la plaignante, nous confirmons que l’institution fédérale a utilisé, à plusieurs reprises au cours des dernières années, des renseignements inexacts afin de procéder à des changements dans le dossier de la plaignante, et ce malgré le fait qu’elle ait signalé les erreurs aux secteurs concernés.
De notre point de vue, la plupart de ces incidents, examinés de manière individuelle, auraient pu être considérés comme le résultat de simples erreurs humaines. Toutefois, comme indiqué dans l’analyse de la section précédente, le fait que ces erreurs soient répétitives, commises par des employés œuvrant dans plusieurs secteurs de l’institution fédérale et surviennent toujours à ce jour démontre, à notre avis, la nature systémique du problème.
Dans ce contexte, nous considérons que celles-ci auraient pu être évitées si l’institution fédérale, dès le premier incident, avait mis en place des mesures afin de valider l’identité des deux employées avant de procéder à des changements dans leurs comptes respectifs. Plus spécifiquement, nous considérons que les employés des divers secteurs devraient vérifier l’identité des employés au moyen de plusieurs champs de données, tels que le CIDP ou la date de naissance des employés, avant de procéder à des changements importants dans les systèmes.
Nous soulignons par ailleurs que ces changements peuvent avoir des répercussions importantes pour les personnes concernées. Par exemple, un changement relatif à la paye de la mauvaise employée peut entraîner une perte financière et représenter une source de stress considérable. De plus, le nombre d’incidents signalés depuis 2017, et qui persistent toujours à ce jour, a pu également entraîner une perte de confiance en l’institution, notamment en ce qui a trait à la protection des renseignements personnels de ses employés.
Nous avons questionné l’institution fédérale au sujet des mesures mises en place par l’institution afin de s’assurer que les renseignements utilisés à des fins administratives soient à jour, exacts et complets. Toutefois, celle-ci n’a pas fourni d’observations à cet égard.
Compte tenu de ce qui précède, nous concluons que l’institution fédérale a omis de s’assurer de l’exactitude des renseignements utilisés avant de procéder à des changements dans les dossiers des employés. Nous constatons également un manque de mesures raisonnables mises en place par l’institution fédérale afin d’éviter que de nouveaux incidents de même nature surviennent. Nous concluons donc que cette deuxième allégation est fondée.

Autre

En plus des incidents relatifs à la communication et à l’exactitude de ses propres renseignements personnels, la plaignante a également soulevé d’autres préoccupations. Par exemple, elle a indiqué avoir reçu de nombreuses communications destinées à la deuxième employée, comme des courriels provenant d’autres employés pour signaler leurs absences, etc.
La plaignante soutient que cette situation pourrait mener à d’autres incidents liés à la vie privée, puisqu’elle n’a pas besoin de connaître ces informations et qu’il se pourrait qu’un employé ou un partenaire de l’institution envoie des renseignements sensibles ou personnels à la mauvaise personne par courriel.
La plaignante a également mentionné que les erreurs sont commises par des fournisseurs collaborant avec l’institution fédérale et même par d’autres institutions^{Note de bas de page 4}. Bien qu’il ne s’agisse pas d’erreurs commises par l’institution concernée, il importe de souligner que ces incidents peuvent engendrer du stress et d’autres conséquences pour les employées concernées.
Nous considérons que ces incidents additionnels renforcent la conclusion du Commissariat que des mesures appropriées doivent être mises en place par l’institution fédérale afin de prévenir notamment que des renseignements personnels soient communiqués à la mauvaise employée par inadvertance.

Conclusion et recommandations

Malgré les tentatives répétées du Commissariat à cet effet dans le cadre de cette enquête, nous n’avons pas été en mesure d’obtenir un engagement ferme de la part de l’institution quant à la mise en place de mesures destinées à éviter que ces problèmes se reproduisent.
Bien que le bureau de l’AIPRP de l’institution fédérale a indiqué avoir entamé certaines démarches afin de fournir au Commissariat une réponse concernant les incidents visés, celle-ci n’avait pas, au moment de l’émission du rapport de conclusions préliminaire, communiqué au Commissariat les résultats de ces démarches, malgré plusieurs suivis à cet effet.
De ce fait, dans notre rapport de conclusions préliminaire à l’institution, nous avons recommandé que l’institution s’engage, dans les deux semaines suivant l’émission du rapport préliminaire, à :
1. fournir une copie des résultats des évaluations préliminaires sur les incidents survenus, et à informer le Commissariat de toute mise à jour concernant les démarches entreprises par l’institution fédérale jusqu’à maintenant en lien avec les incidents visés.
2. indiquer au Commissariat quelles mesures concrètes seront mises en place afin de :
  - prévenir les communications non autorisées des renseignements personnels des employées concernées.
  - s’assurer que les renseignements personnels utilisés afin d’apporter des changements dans leurs dossiers respectifs soient aussi exacts que possible.
En réponse au rapport de conclusions préliminaire, l’institution fédérale a accepté les recommandations du Commissariat et reconnu l’importance de les mettre en œuvre, en prenant des mesures concrètes pour remédier aux problématiques décrites dans le rapport. L’institution fédérale a transmis quelques-unes des évaluations préliminaires sur les incidents survenus et s’est engagée à informer le Commissariat de toute mise à jour concernant ces incidents. Considérant l’importance des communications de renseignements personnels faisant l’objet de l’enquête, nous encourageons l’institution fédérale à fournir les évaluations préliminaires restantes dans les délais impartis et à s’assurer qu’elles soient exhaustives, ainsi qu’à assurer un suivi concret et rapide de toute mesure nécessaire afin que de tels incidents soient évités. Il convient de souligner que chaque atteinte à la vie privée devrait être examinée par le bureau d’AIPRP et être signalée aux organismes concernés s’il est déterminé qu’elle est matérielle.
Concernant les mesures spécifiques aux employées concernées, l’institution fédérale a souligné que l’unité concernée vérifie désormais le CIDP et l’information indiquée dans les systèmes avant toute communication à la plaignante, bien que désormais la majorité des communications se font par le Centre de paye. De plus, l’institution fédérale a indiqué que depuis les incidents, les employés de l’institution fédérale qui envoient des communications aux deux employées visées sont plus vigilants, révisant et validant les adresses électroniques des destinataires lorsqu’ils doivent les contacter.
En plus des mesures ci-dessus, nous encourageons l’institution fédérale à se pencher sur la mise en place de toutes autres mesures qui pourraient être mises en œuvre afin de prévenir les atteintes aux deux employées concernées.
De plus, comme indiqué au paragraphe 13, le Commissariat a constaté que les employés des différents secteurs de l’institution fédérale ne semblent pas bien connaître leurs obligations et les procédures de signalement des atteintes à la vie privée. Nous considérons qu’il s’agit d’un facteur significatif en l’espèce puisque les secteurs concernés n’ont pas informé le bureau de l’AIPRP des nombreuses atteintes survenues, ce qui a empêché celui-ci d’entreprendre des démarches correctives. Nous considérons qu’il s’agit de l’une des raisons pour lesquelles les atteintes à la vie privée visant les deux employées concernées persistent à ce jour.
À la lumière de ce qui précède, nous avons également recommandé que l’institution fédérale confirme, dans les deux mois suivant l’émission du rapport final, qu’un rappel a été fait à l’ensemble de ses secteurs, à l’effet que toute atteinte à la vie privée, qu’elle soit matérielle ou non, doit être signalée au bureau de l’AIPRP.
En réponse à cette recommandation, l’institution fédérale a confirmé qu’un rappel sera fait à l’ensemble des secteurs dans les deux mois suivants l’émission de ce rapport de conclusions.
En plus de ce rappel, nous avons invité le bureau de l’AIPRP de l’institution fédérale à entretenir des communications régulières avec les différents secteurs. En effet, la situation décrite dans ce rapport illustre l’importance du rôle de ce bureau, soit de sensibiliser les employés de l’ensemble des secteurs en matière de protection de la vie privée et des processus à suivre lorsque des atteintes surviennent, afin d’éviter qu’une telle situation se reproduise.
En plus de s’être engagée à continuer ses échanges avec les différents secteurs afin de les sensibiliser, l’institution fédérale a également indiqué que l’institution avait élaboré des politiques, outils et ressources afin d’aider les employés à s’assurer que les obligations de l’institution en vertu de la LPRP soient respectées, tels que :
- le cadre de gestion de la protection des renseignements personnels;
- le manuel de la protection de la vie privée;
- la politique sur l’évaluation des facteurs relatifs à la vie privée;
- les lignes directrices sur les atteintes à la vie privée;
- le programme de ratissage de sécurité; et
- les outils d’échange de renseignements.
Selon l’institution fédérale, ceux-ci permettront d’aider les employés à cerner et à atténuer les problèmes potentiels liés à la protection de la vie privée et à améliorer la protection des renseignements personnels relevant de l’institution.
Considérant que l’institution fédérale a accepté l’ensemble des recommandations détaillées dans ce rapport, nous concluons que cette plainte est conditionnellement résolue.

Notes de bas de page

Note de bas de page 1

À ce sujet, il importe de souligner que l’analyse qui suit repose sur les allégations de la personne plaignante, mais prend en compte que les deux employées sont concernées par ces multiples incidents.

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Le Commissariat souligne que même avant 2022, les politiques et les directives relatives à la protection des renseignements personnels prévoyaient que les employés devaient prendre des mesures afin de prévenir les atteintes à la vie privée, et les signaler au bureau de l’AIPRP.

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Par exemple, la plaignante a remarqué des changements dans l’application MaPayeGC, en lien avec un changement de poste de la deuxième employée. Plus précisément, la classification, le salaire et le lieu d’imposition furent modifiés dans le compte de la plaignante par erreur.

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Par exemple, la plaignante a indiqué que l’École de la fonction publique a mélangé leurs dossiers et qu’elle n’avait plus accès à l’étendue des formations suivies au fil des ans.

Retour à la référence de la note de bas de page 4

Date de modification :: 2024-06-06

Sélection de la langue

Recherche et menus

Recherche