Commission d’accès à l’information et Les Immeubles S. Yanex, 2014 QCCAI 10 20 39

Extraits pertinents :

[1] À la suite d’une information reçue le 13 août 2010, indiquant que des dossiers étaient entreposés dans un immeuble vacant situé au 8425 du boulevard Saint-Laurent à Montréal, la Commission a ouvert une enquête concernant le respect des dispositions de la Loi sur le privé par l’entreprise Les Immeubles S. Yanex (l’entreprise) qui administre et exploite des immeubles résidentiels.

Les faits

[5] Cette visite a permis de constater qu’environ 200 boîtes de documents contenant notamment des comptes fournisseurs, des comptes clients, des dossiers de location, des dossiers d’employés incluant des numéros d’assurance sociale (NAS), étaient empilées dans l’immeuble laissé vacant, sans système d’alarme. Ces documents n’étaient pas classés ni entreposés de manière sécuritaire. Divers documents faisant partie des archives de l’entreprise traînaient également sur le sol, dont certains contenaient des renseignements personnels (relevés d’emploi, constats d’infraction, etc.).

[7] Le même jour, l’enquêteuse de la Commission a aussi effectué une visite des nouveaux locaux de l’entreprise. Les documents contenant majoritairement des renseignements personnels au sujet des locataires des immeubles étaient entreposés dans un local fermé à clé. Les documents actifs étaient rangés dans des classeurs non verrouillés et il n’y avait pas de système d’alarme. Lors du transfert des documents, plusieurs boîtes sont demeurées entassées dans le garage de l’immeuble, près des voitures garées, après le départ des déménageurs. Des photos ont également été prises lors de cette visite.

[9] Ces boîtes de documents contenant des renseignements personnels étaient toujours entreposées pêle-mêle et peu de documents semblaient avoir été archivés ou détruits. Aucune procédure de destruction n’était planifiée par l’entreprise.

[10] L’enquête a également démontré que l’entreprise n’a pas adopté de procédure relative à la collecte, la communication, les droits d’accès et de rectification, l’utilisation, la conservation et la destruction des renseignements l’utilisation, la conservation et la destruction des renseignements personnels qu’elle détient.

Analyse

[16] L’article 10 de la Loi sur le privé prévoit qu’une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle détient :

10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.

[17] L’enquête démontre que l’entreprise n’a pas pris des mesures raisonnables pour assurer la protection des renseignements personnels qu’elle détient.

[18] Des boîtes de documents contenant des renseignements personnels sensibles (ex. relevés d’emplois incluant le NAS) ont été laissées pendant plusieurs années dans un local abandonné, dont les vitres étaient fracassées.

[19] Bien que l’entreprise ait récupéré ces documents à la suite de l’intervention de la Commission, ils étaient toujours non classés et entreposés dans un local accessible à des tiers qui ne sont pas des employés de l’entreprise lors de la dernière visite de l’enquêteuse de la Commission. L’entreprise n’a pas indiqué à la Commission son intention d’adopter et de mettre en œuvre des mesures de sécurité propres à assurer la confidentialité de ces renseignements personnels ni de les détruire de manière sécuritaire.

[20] L’enquête démontre également que l’entreprise n’a adopté aucune politique, directive ou procédure concernant la gestion sécuritaire des renseignements personnels qu’elle détient, afin d’en assurer la confidentialité et de respecter les obligations imposées par la Loi sur le privé lors de leur collecte, leur utilisation, leur communication, leur conservation et leur destruction.

POUR CES MOTIFS, LA COMMISSION :

[22] ORDONNE à l’entreprise de prendre des mesures adéquates pour assurer la sécurité physique des renseignements personnels qu’elle détient, notamment de conserver les documents contenant des renseignements personnels dans un local verrouillé à accès restreint;

[23] ORDONNE à l’entreprise d’adopter une politique concernant la gestion et la protection des renseignements personnels qu’elle détient conforme aux obligations imposées par la Loi sur le privé et de former les membres de son personnel afin qu’ils appliquent cette politique.

[24] ORDONNE à l’entreprise d’adopter des mesures de sécurité propres à assurer la destruction sécuritaire des renseignements personnels périmés.

Dernière modification : le 13 décembre 2017 à 16 h 11 min.

Informations
Commentaires

Lois sur la protection des renseignements personnels

Un site utilisant la Plateforme OpenUM.ca

LPRPSP (QC)

Règlement général sur la protection des données UE 2016/679

LADOPPRP (QC)

LPRPDE (Can)

FIPPA (ON)

Charte des droits et libertés de la personne (QC)

Charte canadienne des droits et libertés

C.c.Q.

LCCJTI

Commission d’accès à l’information et Les Immeubles S. Yanex, 2014 QCCAI 10 20 39

Extraits pertinents :