COMMISSION D ACCÈS À L INFORMATION DU QUÉBEC DÉCISION



Documents pareils
Montréal, le 1 er août M e François Giroux McCarthy Tétrault S.E.N.C.R.L 1000, rue de la Gauchetière Ouest Bureau 2500 Montréal (Québec) H3B 0A2

COMMISSION DE L ÉQUITÉ SALARIALE

Bulletin vie privée. Limites de la protection des renseignements personnels des personnes à charge dans un contexte de contrat d'assurance collective

MINISTÈRE DE L ÉDUCATION DES ÉTATS-UNIS. Bureau des Droits Civiques (BDC) Formulaire de plainte pour discrimination

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

Fonds de capital-risque étranger ou de capital-investissement important Formulaire de demande pour investisseur admissible

R È G L E M E N T I. Agence

(Ordonnance n 109/08) Efficace le 1 septembre, 2008 CODE DE DÉONTOLOGIE VISANT LES TRANSACTIONS D ACHAT DIRECT

Loi modifiant la Loi sur l assurance automobile

GUIDE DE DISTRIBUTION

Photos et Droit à l image

M. A M. B DÉCISION LA DEMANDE D EXAMEN DE MÉSENTENTE EN MATIÈRE D'ACCÈS

LA SOCIÉTÉ DE L ASSURANCE AUTOMOBILE DU QUÉBEC (S.A.A.Q.) DÉCISION

CONDITIONS GENERALES PRESTATIONS DE SERVICES

RÉGIME D OPTIONS D ACHAT D ACTIONS DE RESSOURCES MÉTANOR INC.

La garde de la personne dont l état mental présente Titre un danger pour elle-même ou pour autrui. Guide d application

La protection de vos données médicales chez l assureur

Le guide des parents

Convention de SERVICES

QUESTIONNAIRE DES LOCATAIRES CONNAISSEZ-VOUS VOS DROITS? 1. Le locateur peut entrer dans votre appartement en tout temps.

UV DIRECT MODALITÉS DU COMPTE

Loi sur la sécurité privée

Programme d assurance

Autorisation du soignant

X X. Demandeurs. Entreprise DÉCISION DEMANDE D EXAMEN DE MÉSENTENTE EN MATIÈRE D ACCÈS.

CONTRAT DE SOUS-LOCATION TABLE DES MATIÈRES

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

On a souvent entendu que l information c est le pouvoir. En fait, c est le pouvoir d agir.

GUIDE. de distribution. Assurance vie 50+ est un produit individuel d assurance

Que faire si on vous poursuit en justice? Guide pratique

BUREAU DES RÉGISSEURS Régie du bâtiment du Québec

Régime québécois d assurance parentale

DÉCISION DU TIERS DÉCIDEUR. SPRL LES COMPTABLES ET FISCALISTES ASSOCIES / SPRL EKITAS CONSULTING Affaire N : cfabelgium.be

Nouvelle demande de permis d agent ou de courtier d assurances I.A.R.D.

CONVENTION DE REPRÉSENTATION sur la protection des adultes et la prise de décisions les concernant, Partie 2

Bulletin en recours collectifs

Si le locataire ne paie pas le loyer

VU LA LOI SUR LES VALEURS MOBILIÈRES, L.N. B. 2004, c S 5.5. ET DANS L AFFAIRE DE FOREX CAPITAL MARKETS LLC ET FOREX CAPITAL MARKETS LTD.

LE CONTENU DES MODALITÉS DE SERVICE

Politique d enregistrement du.bzh

DENIS THIBAULT Demandeur. Entreprise. réclamée. Elle lui confirme que La Capitale, Compagnie d assurance générale (ci-après

La mise en œuvre du principe de participation du public défini à l article 7 de la charte de l environnement

ACCORD ENTRE LE GOUVERNEMENT DE LA PRINCIPAUTE DU LIECHTENSTEIN ET LE MATIERE FISCALE

BUREAU DE DÉCISION ET DE RÉVISION

REQUÊTE INTRODUCTIVE D'INSTANCE PRÉCISÉE

OFFICE BENELUX DE LA PROPRIETE INTELLECTUELLE. DECISION en matière d OPPOSITION Nº du 04 avril 2013

REGLES GENERALES DE CERTIFICATION HACCP

RENSEIGNEMENTS IMPORTANTS AU SUJET DE VOTRE FORMULAIRE DE DEMANDE D INDEMNITÉ

L OFFICE D INVESTISSEMENT DU RÉGIME DE PENSIONS DU CANADA

Consentement à la transmission électronique de documents (comptes bancaires)

Lignes. directrices. droits. d enfants. d accès. Pour l expertise en matière de garde. et des. février 2oo6

Table des matières. 1. Mesures législatives Loi sur la protection des personnes recevant des soins Généralités 3 Principaux éléments 3

Politique de confidentialité

Règle 63 DIVORCE ET DROIT DE LA FAMILLE

Loi fédérale contre la concurrence déloyale (LCD) du 19 décembre 1986

Accord négocié régissant les relations entre la Cour pénale internationale et l Organisation des Nations Unies. Préambule

Type d'action REQUÊTE pour ordonnance spéciale fondée sur l'article 158 de la Loi sur la faillite et l'insolvabilité. REJETÉE.

Droits et obligations des travailleurs et des employeurs

Organisme d arbitrage autorisé par la Régie du bâtiment : Centre canadien d arbitrage commercial (CCAC)

Atelier à l intention des intervenants, partie 1 : Documents déposés par écrit Projet d agrandissement du réseau de Trans Mountain

Loi modifiant la Loi sur la protection du consommateur et la Loi sur le recouvrement de certaines créances

FORMULAIRE DE POLICE D ASSURANCE AUTOMOBILE DU QUÉBEC (F.P.Q.)

Loi du 20 décembre 2002 portant protection des conseillers en prévention (MB )

Chapitre La structure de la police 4.2 Les dispositions générales 4.3 L analyse des formules et garanties

Inscription à l examen d agrément général 2015

POLITIQUE 4.4 OPTIONS D ACHAT D ACTIONS INCITATIVES

Formule de plainte relative à une demande d accès ou de rectification

Entente de reconnaissance mutuelle. entre. l Institute of Actuaries of Australia. l Institut canadien des actuaires

A S S U R A N C E V I E 5 0+ GUIDE. de distribution. Assurance vie 50+ est un produit individuel d assurance

POLITIQUE D ENREGISTREMENT EN.PARIS 1

(POSTES)...7 TABLE DES MATIÈRES PAGE DÉFINITION DES TERMES ET APPLICATION...3 LA CONSULTATION...6

Commission des Praticiens en Me decine Douce du Que bec

Les crédits à la consommation

Assurance de remplacement

La Lettre de la Conférence des Bâtonniers

Introduction à l infonuagique

2011 / 3 Directives concernant les placements fiduciaires

Conditions générales pour l'utilisation (CGU) de PARSHIP.be Etat au

Conditions générales Claim it

Téléphone : Télécopieur : ATS : info@ipc.on.ca

Recommandation sur les conventions concernant la distribution des contrats d assurance vie

CONDITIONS GÉNÉRALES D ACCÈS ET D UTILISATION (C.G.A.U.) DU SERVICE BIXI PAR LES ABONNÉS 1 AN OU 30 JOURS ARTICLE 1 OBJET DU SERVICE BIXI

FORMULAIRE DE RÉCLAMATION RECOURS COLLECTIF DPM SECURITIES LIMITED PARTNERSHIP

Politique d utilisation des médias sociaux et des technologies de l information

Juillet 2013 Recommandations de l ASB et de la COPMA relatives à la gestion du patrimoine conformément au droit de la protection des mineurs et des

RÈGLEMENT DE LA COUR

Conférence de clôture sur le cyber harcèlement Stratégies des syndicats d enseignants en matière de cyber harcèlement. Bratislava, 7 juin 2010

Compte rendu des délibérations, y compris les motifs de décision

HEBERG-24. Table des Matières. Heberg-24

La procuration. La procuration. isns

TRIBUNAL ADMINISTRATIF DE LA BANQUE AFRICAINE DE DÉVELOPPEMENT. QUORUM: Professeur Yadh BEN ACHOUR Président

LOIS SUR LES INVESTISSEMENTS ÉTRANGERS

Responsable de la demande pour une entreprise individuelle

Envoi et réception des documents sociaux par voie électronique

Politique d'enregistrement en.paris

PROTOCOLE D'ENTENTE ENTRE

RÈGLEMENT SUR LA NÉGOCIATION ÉLECTRONIQUE ET L ACCÈS ÉLECTRONIQUE DIRECT AUX MARCHÉS

Transcription:

COMMISSION D ACCÈS À L INFORMATION DU QUÉBEC Dossier : 1007083 Nom de l entreprise : Trans Union du Canada inc. Date : 16 février 2015 Membre : M e Diane Poitras DÉCISION OBJET PLAINTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé 1. [1] Le 13 mai 2013, la Commission d accès à l information (la Commission) est saisie de la plainte de M. (le plaignant) à l endroit de Trans Union du Canada inc. (l entreprise). [2] Cette plainte porte sur la communication à un tiers, par l entreprise, de renseignements personnels concernant le plaignant, plus précisément sa fiche de crédit, sans son consentement. [3] À la suite de cette plainte, la Commission a procédé à une enquête au sujet de ces allégations. LES FAITS [4] Selon cette enquête, le plaignant a demandé à l entreprise, le 23 mars 2013, accès à sa fiche de crédit. Le 8 avril suivant, il a reçu un appel d une personne qu il ne connaissait pas, l avisant qu elle avait reçu sa fiche de crédit par courrier. [5] Par la suite, le plaignant a téléphoné au service à la clientèle de l entreprise afin de signaler la situation et demander quelles mesures étaient 1 RLRQ, c. P-39.1, la Loi sur le privé.

1007083 Page : 2 prises pour protéger les renseignements personnels qu elle détient. Une employée du service à la clientèle a répondu qu il s agissait d une simple erreur et a laissé entendre qu il n y avait rien de grave. Selon le plaignant, la personne ayant reçu sa fiche de crédit par erreur aurait fait la même démarche et obtenu une réponse similaire. [6] L entreprise ne conteste pas les faits. Elle précise qu il s agit probablement d une erreur commise lors de l envoi du courrier : la lettre de transmission de la fiche de crédit n aurait pas été agrafée à la bonne fiche. Ses recherches indiquent qu une fiche de crédit et une lettre de transmission au nom de la tierce personne ayant reçu par erreur les renseignements concernant le plaignant ont été imprimées le même jour. OBSERVATIONS AU TERME DE L ENQUÊTE [7] L entreprise affirme avoir adopté des politiques lui permettant de se conformer à ses obligations réglementaires, dont la Loi sur le privé. Une équipe spécialisée s occupe de la réception et de l envoi du courrier et procède à l agrafage, à la mise sous enveloppe et à l affranchissement des envois postaux. Après la réception de la plainte, l entreprise a revu certaines procédures relatives à ses envois postaux. Elle précise les éléments suivants : Seuls les membres de l équipe spécialisée peuvent rassembler, trier, plier, agrafer et mettre sous enveloppe les lettres imprimées pour tout service du bureau de LavaI (bureau avec lequel le plaignant a communiqué); Ces personnes doivent vérifier que chaque fiche de crédit est agrafée à sa lettre correspondante, le cas échéant; Ils doivent vérifier une seconde fois, avant la mise sous enveloppe, que seuls les documents liés au consommateur ayant fait la demande sont bien dans l enveloppe; S ils constatent que les documents ne concordent pas, ils doivent vérifier les coordonnées dans le système interne afin de faire en sorte que les bons documents soient acheminés au bon consommateur; Ces directives sont également communiquées aux autres employés de la salle du courrier qui peuvent de temps à autre apporter leur aide pour faire ces tâches;

1007083 Page : 3 Les responsables du courrier, au bureau de Laval, ont confirmé par écrit à l entreprise qu ils comprenaient leurs responsabilités quant au processus de traitement du courrier. [8] L entreprise estime que le plaignant ne subira pas de conséquences négatives découlant de cette divulgation. Elle est disposée à offrir un boncadeau pour 6 mois de service illimité de surveillance du crédit afin de permettre au plaignant de surveiller sa fiche de crédit et d être à l affût de changements à cette dernière. [9] L entreprise ne semble pas avoir fait de démarches afin de récupérer les renseignements personnels concernant le plaignant transmis à un tiers par erreur. [10] Le 21 octobre 2014, la Commission transmet à l entreprise un avis d intention l informant qu à la lumière des informations contenues au dossier, elle pourrait conclure qu elle ne s est pas dotée de mesures de sécurité propres à assurer la protection des renseignements personnels qu elle détient, notamment d une procédure en cas d incident compromettant la confidentialité de renseignements personnels afin d éviter ou de limiter le préjudice que pourraient subir les personnes concernées par ces renseignements. [11] En conséquence, l avis précise que la Commission pourrait ordonner à l entreprise : De prendre des mesures de sécurité lorsque survient un incident compromettant la confidentialité des renseignements personnels qu elle détient, notamment lors d erreur dans le cadre de l envoi de renseignements personnels à la personne concernée; De se doter d une procédure de gestion de tels incidents. [12] La Commission n a reçu aucune observation supplémentaire à la suite de cet avis, reçu par l entreprise le 28 octobre 2014.

1007083 Page : 4 ANALYSE [13] La Loi sur le privé établit des règles relatives à la collecte, à l utilisation, à la détention et à la communication de renseignements personnels à l occasion de l exploitation d une entreprise 2. [14] L article 10 de la Loi sur le privé prévoit qu une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu elle détient : 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. [15] La Loi sur le privé prévoit également que, sauf dans les cas prévus par la loi, une entreprise ne peut communiquer à un tiers, sans le consentement de la personne concernée, des renseignements personnels qu elle détient au sujet de cette dernière : 13. Nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu il détient sur autrui ni les utiliser à des fins non pertinentes à l objet du dossier, à moins que la personne concernée n y consente ou que la présente loi ne le prévoie. [16] Soulignons également que l entreprise agit à titre d agent de renseignements personnels au sens de l article 70 de la Loi sur le privé : 70. Tout agent de renseignements personnels qui exploite une entreprise au Québec doit s'inscrire auprès de la Commission. Est un agent de renseignements personnels toute personne qui, elle-même ou par l'intermédiaire d'un représentant, fait le commerce de constituer des dossiers sur autrui, de préparer et de communiquer à des tiers des 2 Constitue l'exploitation d'une entreprise l'exercice, par une ou plusieurs personnes, d'une activité économique organisée, qu'elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services (art. 1 de la Loi sur le privé et 1525 du C.c.Q.).

1007083 Page : 5 rapports de crédit au sujet du caractère, de la réputation ou de la solvabilité des personnes concernées par ces dossiers. [17] Puisqu elle est appelée à transmettre de manière régulière des renseignements personnels à la personne concernée ou à des tiers, avec le consentement de celle-ci, l entreprise doit mettre en place des mesures spécifiques visant à s assurer de la confidentialité de ces renseignements lors de leur transmission. [18] L entreprise a identifié plusieurs mesures de sécurité qu elle a mises en place afin d assurer la confidentialité des renseignements personnels contenus dans une fiche de crédit lors de sa communication à la personne concernée. [19] Bien que des mesures de sécurité raisonnables contribuent à limiter les risques d utilisation ou de communication inappropriée de renseignements personnels, une perte ou un vol de ces renseignements peut survenir, mettant en cause leur confidentialité. [20] Ainsi, les mesures de sécurité que doit prendre une entreprise à l égard des renseignements personnels qu elle détient doivent également inclure des mesures en cas d incident compromettant leur confidentialité. En effet, lorsqu un tel incident survient, l entreprise doit prendre les moyens nécessaires pour éviter ou limiter le préjudice que les personnes concernées par les renseignements personnels peuvent subir et éviter qu un tel incident ne se reproduise. [21] En l espèce, des renseignements personnels concernant le plaignant ont été communiqués à un tiers sans son consentement, malgré les mesures de sécurité en place. L enquête démontre que l entreprise n a pas pris des mesures raisonnables pour assurer la protection des renseignements personnels qu elle détient en cas d incident compromettant leur confidentialité. [22] La Commission invite l entreprise à consulter l aide-mémoire intitulé «QUE FAIRE EN CAS DE PERTE OU DE VOL DE RENSEIGNEMENTS PERSONNELS?» disponible sur le site Internet de la Commission 3 pour des suggestions à ce sujet. 3 http://www.cai.gouv.qc.ca/documents/cai_fi_vol_rens_pers_org-ent.pdf.

1007083 Page : 6 CONCLUSION [23] Ainsi, à la lumière de l enquête et des observations de l entreprise fournies dans le cadre de celle-ci et en l absence d observations supplémentaires transmises à la suite de son avis d intention du 21 octobre 2014, la Commission conclut que celle-ci a contrevenu aux articles 10 et 13 de la Loi sur le privé. POUR CES MOTIFS, LA COMMISSION : [24] ORDONNE à l entreprise de se doter d une procédure de gestion des incidents compromettant la confidentialité des renseignements personnels qu elle détient, notamment lors de l envoi du courrier contenant des renseignements personnels à la personne concernée et ce, afin de limiter le préjudice subi par la personne concernée et d éviter que de telles situations ne se reproduisent; [25] ORDONNE à l entreprise d informer la Direction de la Surveillance de la Commission des mesures prises afin de respecter la présente décision, dans un délai de 90 jours de sa réception. Diane Poitras Juge administratif

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back