X. et 9038-5055 Québec inc. (Le Palace), 2012 QCCAI 070551

Extraits pertinents :

[5] Le plaignant s’est rendu dans un établissement de l’entreprise qui est un bar exploité dans la Ville de Québec. Pour avoir accès à l’établissement, les clients doivent s’identifier à l’aide d’une pièce d’identité, comme un permis de conduire, une carte d’assurance maladie ou un passeport. Le plaignant signale que la « nouvelle politique » mise en place depuis le 22 février 2007 est de photographier et d’enregistrer les renseignements personnels contenus sur toutes les cartes d’identité présentées par les clients qui veulent entrer dans le bar"

[10] Par l’intermédiaire de Me Noonan l’entreprise précise essentiellement qu’elle est détentrice d’un permis d’alcool émis par la Régie des alcools, des courses et des jeux (la Régie). Les clients qui souhaitent entrer dans son établissement doivent s’identifier, de sorte qu’elle s’assure que ces clients sont âgés de 18 ans et plus, « en vertu de la Loi ». Elle exige à plus de 90% de sa clientèle de s’identifier à l’aide d’une pièce d’identité.

[11] L’entreprise a agi ainsi puisque dans les mois précédant le dépôt de la plainte à la Commission, des interventions policières ont été effectuées dans la région de Québec, dans le but de contrôler la présence de personnes mineures dans des établissements détenteurs de permis d’alcools. Conséquemment, l’entreprise a décidé de « filmer l’entrée dans son établissement, et ce, dans le seul et unique but de démontrer aux autorités responsables qu’un travail de vérification de l’âge de sa clientèle est effectué ». Elle explique le processus d’enregistrement de la pièce d’identité :

[…] dès l’arrivée d’une personne voulant avoir accès à
l’établissement de notre cliente, la personne responsable de la
vérification de l’âge exige une pièce d’identité de ladite
personne.

Pour le cas où la personne ne veut pas s’identifier, elle est
totalement libre de quitter et ce, sans contrainte ou autre
formalité.

Dans le cas où la personne remet la pièce d’identité, la
personne en charge s’assure de l’âge de la personne et
dépose ladite pièce d’identité exhibée sur une tablette afin
qu’une caméra puisse filmer ladite pièce.

Le processus de vérification de l’âge est donc filmé par une
caméra disposée à la vue de tous et la vidéo numérique ainsi
créée n’est conservée qu’une courte période de temps sur le
disque dur d’un ordinateur pour lequel les seules et uniques
personnes ayant accès à la vidéo ainsi créée sont Messieurs
… respectivement gérant de
l’établissement et représentant de la propriétaire.

Aucun autre membre du personnel ou de la direction n’a
accès à ladite vidéo.

[12] En réponse à une lettre datée du 14 novembre 2007 que la Commission lui a fait parvenir, l’entreprise signale qu’une affiche installée à l’entrée de son établissement indique aux clients qu’ils sont filmés et que leurs pièces d’identité le sont également. Les données ainsi collectées sont conservées pour un mois et sont effacées automatiquement. Le gérant de l’établissement, le représentant de l’entreprise et ceux de Microtec la firme de sécurité connaissent l’endroit où est dissimulé le disque dur.

[13] Pour avoir accès à ce système électronique, un représentant de l’entreprise doit communiquer avec les représentants de cette firme de sécurité. Si un représentant de l’entreprise souhaite consulter le contenu du disque dur, la présence des représentants de Microtec s’avère nécessaire. En l’absence de ceux-ci, personne ne peut avoir accès aux données colligées par la caméra de surveillance.

[19] M. B travaille depuis 15 ans au sein de Microtec et il est superviseur d’installation de systèmes d’alarme. Il a procédé à l’installation d’un système d’alarme dans les locaux de l’entreprise. Il fait remarquer qu’une caméra installée, le 22 février 2007, à l’entrée de l’établissement enregistre sur un disque dur des données et des images. Ce disque dur se trouve dans un boîtier fermé à clé. Pour y accéder, une personne doit avoir cette clé en sa possession. Il faut également connaître un mot de passe fourni par Microtec et un mot de passe spécifique à l’entreprise.

[21] Les images captées par cette caméra de surveillance sont enregistrées 24 heures sur 24 et sont conservées pour une période de 20 ou 30 jours. Elles s’effacent au fur et à mesure par l’enregistrement de nouvelles images ou données.

[30] Le disque dur est protégé par un boitier fermé à clé situé dans un local. M. A explique le processus à suivre pour s’y rendre. À l’intérieur de ce bureau se trouve une caméra de surveillance qui visionne tout ce qui s’y trouve. Dans le bureau de M. A , l’on trouve sur sa table de travail 16 écrans de télévision, dont celui de la caméra destinée à filmer les personnes à l’entrée de l’établissement; aucune image ou donnée n’apparaît à cet écran.

[33] Au moment de la rencontre du 19 mai 2011, M. A confirme que l’entreprise poursuit sa pratique de collecter les données se trouvant sur des pièces d’identité.

[35] À cet égard, l’entreprise dépose une copie d’un affidavit daté du 13 mai 2011 de Mme D technicienne en droit à la Régie, où celle-ci explique ses fonctions au sein de cet organisme, la responsabilité légale des titulaires de permis d’alcool de respecter les lois qui les régissent, des infractions auxquelles ils font face lorsque des personnes mineures se trouvent dans leurs établissements et des conséquences qui peuvent en découler. Elle indique de plus : [10] Dans l’exercice de ses fonctions et pouvoirs mettant en cause la tranquillité publique, la Régie peut tenir compte notamment des éléments suivants :  Article 24.1 (2o ) LPA : les informations prises par le requérant ou le titulaire du permis et l’efficacité de celles-ci afin d’empêcher dans l’établissement : f) toute contravention à la présente loi ou à ses règlements ou à LIMBA.

[36] Outre un rappel des explications fournies par M. A, Me Bernier rappelle particulièrement que l’entreprise doit enregistrer les pièces d’identité des clients qui désirent entrer dans son établissement. Ces renseignements sont nécessaires afin de démontrer aux policiers, lors d’une descente policière, que seules les personnes âgées de 18 ans et plus sont autorisées à y entrer. L’entreprise compte utiliser ces renseignements, et ce, dans l’éventualité où elle est appelée à se défendre à l’encontre d’un avis de suspension ou de révocation de son permis d’alcool devant la Régie eu égard à la présence des personnes mineures dans son établissement.

[39] L’entreprise prétend par ailleurs que le critère de nécessité prévu à la Loi sur le secteur privé est respecté, comme ce fut le cas dans l’affaire Lou-tec Location Chomedey inc.3 , lorsque la Commission était appelée à statuer sur le bien-fondé d’une plainte visant la collecte de renseignements personnels d’un plaignant dans le cadre de la location d’outils. Dans ce cas-ci, il a été décidé que Lou-tec pouvait collecter des renseignements personnels concernant ce plaignant, mais qu’elle devait procéder à la destruction des autres renseignements.

[40] La Commission doit déterminer si la collecte et la conservation des renseignements personnels contenus sur les pièces d’identité fournies aux fins de vérifier l’identité d’un client étaient justifiées pour permettre à celui-ci d’entrer dans l’établissement.

[41]L’enquête menée par la Commission ne visait pas l’installation de cet équipement, mais plutôt de savoir s’il est nécessaire de procéder à la collecte et à la conservation des renseignements personnels se trouvant sur les pièces d’identité des clients, à des fins de
vérification de leur identité.

[44] Ces renseignements personnels sont de plus filmés et conservés pour une durée de 20 à 30 jours et s’effacent automatiquement par l’enregistrement de nouvelles informations.

[45] L’article 5 de la Loi sur le secteur privé précité énonce le principe fondamental applicable aux innombrables situations de collecte de renseignements dans le secteur privé :

5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier.

Ces renseignements doivent être recueillis par des moyens licites.

[46] Cet article exige que la personne qui recueille des renseignements personnels sur une personne ne recueille que ceux lui étant nécessaires à l’objet du dossier, soit l’accès à l’établissement.

[47] Le critère de nécessité s’applique sans égard au consentement d’un client.

[49] Toutefois, selon la Commission, la confirmation d’identification de la personne exclut la collecte et la conservation de renseignements personnels qui ne sont pas nécessaires à l’objet du dossier.

[50] Le fardeau de démontrer la nécessité de collecter les renseignements personnels demandés, comme stipulé à l’article 5 de la Loi sur le secteur privé, repose sur l’entreprise qui demande les renseignements5

[52] La Commission est d’avis que l’entreprise n’a pas fourni de motifs démontrant que sa pratique de collecter et de conserver les renseignements personnels qui se retrouvent sur les pièces d’identité des clients est nécessaire pour leur permettre l’entrée dans son établissement. La Commission arrive à cette conclusion en évaluant le critère de nécessité selon la méthode d’interprétation élaborée par la Cour du Québec dans l’affaire Société de transport de la Ville de Laval c. X6 . La Commission a repris ce principe d’interprétation dans le contexte de la Loi sur le secteur privé dans l’affaire Mme A et M. B c. M. C et Mme D7 : Il ne s’agit pas de déterminer ce qu’est la nécessité en soi, mais plutôt de chercher, dans le contexte de la protection des renseignements personnels, et pour chaque situation, ce qui est nécessaire à l’accomplissement de chaque fin particulière pour laquelle un organisme public plaide la nécessité.

[54] De surcroît, l’entreprise reconnaît que cette pratique vise plus particulièrement les jeunes filles lors d’une demande de vérification d’identité et que leurs pièces d’identité sont souvent enregistrées. Les explications fournies par l’entreprise pour justifier cette pratique auprès de cette clientèle ne permettent pas à la Commission d’arriver à la conclusion que le critère de nécessité a été respecté et qu’elle était obligée de procéder à la collecte et à la conservation des renseignements personnels ci-dessus mentionnés pour atteindre ses objectifs.

[60] Il est évident que les renseignements personnels contenus sur les cartes d’assurance maladie n’ont pas été utilisés aux fins pour lesquelles ils ont été recueillis, à savoir les prestations de santé; l’entreprise n’étant ni un organisme public ni une clinique qui dessert une clientèle nécessitant des soins de santé. Les motifs invoqués pour justifier la collecte et la conservation des renseignements
personnels contenus dans les cartes d’assurance maladie des clients ne sont donc pas fondés.

[61] La Commission comprend que l’accessibilité à l’établissement est conditionnelle à ce que le client présente une pièce d’identité contenant les renseignements personnels recherchés par l’entreprise et qu’ils soient enregistrés par le biais d’une caméra de surveillance. Le fait d’interdire l’accès à un établissement à une personne qui refuse que la pièce d’identité qu’elle a présentée pour s’identifier soit enregistrée à l’aide d’une caméra ne semble pas conforme à l’article 9 de la Loi sur le secteur privé qui édicte ce qui suit :

9.  Nul ne peut refuser d’acquiescer à une demande de bien ou de service ni à une demande relative à un emploi à cause du refus de la personne qui formule la demande de lui fournir un renseignement personnel sauf dans l’une ou l’autre des circonstances suivantes:

1°  la collecte est nécessaire à la conclusion ou à l’exécution du contrat;

2°  la collecte est autorisée par la loi;

3°  il y a des motifs raisonnables de croire qu’une telle demande n’est pas licite.

En cas de doute, un renseignement personnel est réputé non nécessaire.

[62] Bien que l’entreprise soutienne qu’elle n’exige pas d’un client la présentation d’une pièce d’identité spécifique et qu’il appartient à celui-ci d’en choisir une, il n’en demeure pas moins que si ce client refuse l’enregistrement de ses données personnelles, l’accès à l’établissement lui est interdit. Il s’agit d’un service que ce client ne peut pas obtenir à cause de son refus, ce qui est contraire à l’esprit de la Loi sur le secteur privé.

[64] Plus précisément, il y a lieu d’ordonner à l’entreprise de cesser de collecter et de conserver tous les renseignements personnels des clients qui souhaitent entrer dans son établissement.

POUR CES MOTIFS, LA COMMISSION :

[68] DÉCLARE la plainte fondée;

[69] DÉCLARE que l’entreprise n’a pas démontré la nécessité de collecter et de conserver, à des fins de vérification, les renseignements personnels contenus sur les pièces d’identité que lui présentaient les clients qui souhaitaient entrer dans l’établissement, à savoir les noms et prénoms, la date de naissance et leur photographie;

[70] ORDONNE à l’entreprise de cesser de collecter et de conserver les renseignements personnels se trouvant sur les pièces d’identité de sa clientèle, telles les cartes d’assurance-maladie, et ce, à l’expiration des 30 jours qui suivent la date de réception de la présente ordonnance.

[71] ORDONNE à l’entreprise de détruire tous les renseignements personnels qui ont été collectés et conservés auprès de ses clients, et ce, à l’expiration des 30 jours qui suivent la date de réception de la présente ordonnance;

[72] ORDONNE à l’entreprise de faire parvenir à la Commission, dans les 30 jours de la réception de la présente décision, une preuve écrite à cet effet.

Dernière modification : le 13 décembre 2017 à 16 h 17 min.

Informations
Commentaires

Lois sur la protection des renseignements personnels

Un site utilisant la Plateforme OpenUM.ca

LPRPSP (QC)

Règlement général sur la protection des données UE 2016/679

LADOPPRP (QC)

LPRPDE (Can)

FIPPA (ON)

Charte des droits et libertés de la personne (QC)

Charte canadienne des droits et libertés

C.c.Q.

LCCJTI

X. et 9038-5055 Québec inc. (Le Palace), 2012 QCCAI 070551

Extraits pertinents :