Extraits pertinents : [2] Cette plainte porte sur la communication à un tiers, par l’entreprise, de renseignements personnels concernant le plaignant, plus précisément sa fiche de crédit, sans son consentement [4] Selon cette enquête, le plaignant a demandé à l’entreprise, le 23 mars 2013, accès à sa fiche de crédit. Le 8 avril suivant, il a reçu un appel d’une personne qu’il ne connaissait pas, l’avisant qu’elle avait reçu sa fiche de crédit par courrier. [5] Par la suite, le plaignant a téléphoné au service à la clientèle de l’entreprise afin de signaler la situation et demander quelles mesures étaient prises pour protéger les renseignements personnels qu’elle détient. Une employée du service à la clientèle a répondu qu’il s’agissait d’une simple erreur et a laissé entendre qu’il n’y avait rien de grave. [6] L’entreprise ne conteste pas les faits. Elle précise qu’il s’agit probablement d’une erreur commise lors de l’envoi du courrier : la lettre de transmission de la fiche de crédit n’aurait pas été agrafée à la bonne fiche. Ses recherches indiquent qu’une fiche de crédit et une lettre de transmission au nom de la tierce personne ayant reçu par erreur les renseignements concernant le plaignant ont été imprimées le même jour. Après la réception de la plainte, l’entreprise a revu certaines procédures relatives à ses envois postaux. Elle précise les éléments suivants : Ils doivent vérifier une seconde fois, avant la mise sous enveloppe, que seuls les documents liés au consommateur ayant fait la demande sont bien dans l’enveloppe; S’ils constatent que les documents ne concordent pas, ils doivent vérifier les coordonnées dans le système interne afin de faire en sorte que les bons documents soient acheminés au bon consommateur; Ces directives sont également communiquées aux autres employés de la salle du courrier qui peuvent de temps à autre apporter leur aide pour faire ces tâches; [8] L’entreprise estime que le plaignant ne subira pas de conséquences négatives découlant de cette divulgation. Elle est disposée à offrir un boncadeau pour 6 mois de service illimité de surveillance du crédit afin de permettre au plaignant de surveiller sa fiche de crédit et d’être à l’affût de changements à cette dernière. Analyse [14] L’article 10 de la Loi sur le privé prévoit qu’une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle détient : 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. [15] La Loi sur le privé prévoit également que, sauf dans les cas prévus par la loi, une entreprise ne peut communiquer à un tiers, sans le consentement de la personne concernée, des renseignements personnels qu’elle détient au sujet de cette dernière : 13. Nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu’il détient sur autrui ni les utiliser à des fins non pertinentes à l’objet du dossier, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie. [17] Puisqu’elle est appelée à transmettre de manière régulière des renseignements personnels à la personne concernée ou à des tiers, avec le consentement de celle-ci, l’entreprise doit mettre en place des mesures spécifiques visant à s’assurer de la confidentialité de ces renseignements lors de leur transmission. [19] Bien que des mesures de sécurité raisonnables contribuent à limiter les risques d’utilisation ou de communication inappropriée de renseignements personnels, une perte ou un vol de ces renseignements peut survenir, mettant en cause leur confidentialité. [20] Ainsi, les mesures de sécurité que doit prendre une entreprise à l’égard des renseignements personnels qu’elle détient doivent également inclure des mesures en cas d’incident compromettant leur confidentialité. En effet, lorsqu’un tel incident survient, l’entreprise doit prendre les moyens nécessaires pour éviter ou limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et éviter qu’un tel incident ne se reproduise. [22] La Commission invite l’entreprise à consulter l’aide-mémoire intitulé « QUE FAIRE EN CAS DE PERTE OU DE VOL DE RENSEIGNEMENTS PERSONNELS? » disponible sur le site Internet de la Commission3 pour des suggestions à ce sujet. CONCLUSION [23] Ainsi, à la lumière de l’enquête et des observations de l’entreprise fournies dans le cadre de celle-ci et en l’absence d’observations supplémentaires transmises à la suite de son avis d’intention du 21 octobre 2014, la Commission conclut que celle-ci a contrevenu aux articles 10 et 13 de la Loi sur le privé. POUR CES MOTIFS, LA COMMISSION : [24] ORDONNE à l’entreprise de se doter d’une procédure de gestion des incidents compromettant la confidentialité des renseignements personnels qu’elle détient, notamment lors de l’envoi du courrier contenant des renseignements personnels à la personne concernée et ce, afin de limiter le préjudice subi par la personne concernée et d’éviter que de telles situations ne se reproduisent; Dernière modification : le 14 décembre 2017 à 15 h 17 min.