Conclusions en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

Rapport de conclusions en vertu de la LPRPDE no 2009-023

Courriel obtenu dans le cadre d’une plainte liée à la réparation d’un véhicule utilisé sans consentement à des fins de marketing

Une personne s’est plainte au Commissariat qu’un fabricant d’automobiles avait, sans autorisation, utilisé le courriel qu’il avait fourni dans le cadre d’un différend concernant des réparations effectuées sur son véhicule pour lui envoyer du matériel publicitaire.

Le plaignant fait également valoir que l’entreprise lui a refusé l’accès à ses renseignements personnels.

Les plaintes découlent d’un différend entre le plaignant et le fabricant d’automobiles et l’un de ses concessionnaires. Le plaignant a présenté une demande d’accès en vue de sa préparation pour les procédures devant la Cour des petites créances.

En réponse aux plaintes reçues par le Commissariat, le fabricant a fait valoir que ce cas n’était pas assujetti à la Loi sur la protection des renseignements personnels et les documents électroniques (la PRPDE).

De plus, l’entreprise a prétendu que le plaignant avait rempli un sondage à la clientèle dans lequel il était indiqué que ses renseignements personnels seraient utilisés à des fins de marketing. Elle a reconnu que le plaignant a fourni son courriel deux ans après avoir rempli le sondage, mais a allégué qu’il y avait consentement implicite.

S’agissant de la plainte concernant l’accès aux renseignements personnels du plaignant, l’entreprise a dit avoir donné une copie d’un imprimé du dossier du centre de service à la clientèle ainsi qu’un résumé des conversations téléphoniques avec les employés du centre d’appels.

Toutefois, l’enquête a révélé que ces dossiers étaient incomplets. Ils ne comprenaient pas une copie des deux lettres du plaignant ni les enregistrements audio des conversations téléphoniques. De plus, l’entreprise n’a pas fourni certains autres renseignements, dont les renseignements tirés de sa base de données qui assurent le suivi des renseignements sur les véhicules, de la production à la vente, ainsi que des renseignements provenant d’autres systèmes utilisés pour assurer le suivi d’informations liées aux garanties et aviser les propriétaires de véhicules des rappels.

L’organisation a allégué que ces renseignements ne constituaient pas des renseignements personnels. Elle a fait valoir que certains renseignements contenus dans le document demandé étaient établis au moyen de codes internes qui sont des renseignements commerciaux confidentiels et qu’ils ne pouvaient donc pas être divulgués.

L’entreprise a dit qu’elle était prête à fournir d’autres renseignements en retranchant certains détails, mais qu’elle le ferait moyennant des frais importants.

Nous avons conclu que les raisons données par l’organisation pour expliquer pourquoi les codes constituaient des renseignements commerciaux confidentiels étaient superficielles. Nous avons également conclu que le fabricant n’a pas eu raison de dire que le plaignant n’avait pas droit d’accéder à ses renseignements personnels parce que ces derniers avaient été ajoutés à des renseignements commerciaux confidentiels.

De plus, nous avons conclu que la proposition de l’organisation visant à imposer un montant exorbitant pour répondre à la demande d’accès était contraire à la LPRPDE.

Le Commissariat recommande que l’organisation :

  • fournisse au plaignant les renseignements personnels qu’il a omis, par inadvertance, de fournir, y compris les renseignements codés, dont les parties contenant des renseignements commerciaux confidentiels seront retranchées;
  • donne des explications sur les divers codes utilisés pour enregistrer les renseignements confidentiels du plaignant, à la condition que soient effectuées des suppressions appropriées;
  • s’engage à informer les gens présentant des demandes d’accès de l’existence de l’ensemble de leurs renseignements personnels;
  • cesse d’imposer des frais excessifs pour l’accès aux renseignements personnels.

L’organisation a également accepté d’appliquer l’ensemble des recommandations du Commissariat et d’arrêter d’envoyer des courriels au plaignant.

Par conséquent, nous avons conclu que les plaintes sont fondées et résolues.

Leçons apprises

  • En répondant à une demande d’accès, une organisation doit chercher dans tous ses dossiers et dans tout endroit possible pour obtenir les renseignements personnels demandés, et non seulement dans les endroits où se trouvent habituellement de tels renseignements.
  • Avant qu’une organisation refuse une demande d’accès pour ne pas révéler des renseignements commerciaux confidentiels ou des renseignements de tiers, elle doit déterminer si de tels renseignements peuvent être retranchés des dossiers. Si les renseignements commerciaux confidentiels peuvent être retranchés, l’accès aux renseignements personnels doit être accordé.
  • Si les renseignements personnels contiennent des codes, l’organisation doit expliquer clairement ceux-ci à la personne qui demande l’accès à ces renseignements.
  • L’accès aux renseignements personnels doit être donné à peu de frais, voire gratuitement, au demandeur.

Rapport des conclusions

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE)

1. Le plaignant a déposé deux plaintes contre le mis en cause, un fabricant d’automobiles.

Utilisation

2. Tout d’abord, le plaignant soutient que le mis en cause a obtenu son courriel, qu’il a fourni à l’entreprise dans le cadre d’une plainte au sujet de la réparation d’un véhicule, et que ce dernier l’a utilisé à des fins non autorisées. Le plaignant fait valoir que le mis en cause a utilisé son courriel pour lui envoyer du matériel publicitaire portant sur sa marque de voitures le 30 mai 2008 et que cet envoi a eu lieu après qu’il ait appelé le centre de service à la clientèle du mis en cause le 12 mai 2008 et ai demandé que son courriel ne soit pas utilisé à cette fin. Lors de cet appel, il a parlé à un représentant du service à la clientèle. Il s’est plaint que ses renseignements personnels étaient utilisés à son insu et sans son consentement.

Accès

3. Ensuite, le plaignant a écrit au mis en cause et a demandé d’avoir accès à ses renseignements personnels, qui, selon lui, comprenaient (sans nécessairement s’y limiter) des enregistrements de conversations téléphoniques ayant eu lieu les 12, 20, 21 et 28 mai, les 25 et 28 août et le 8 septembre 2008. Le plaignant prétend que le mis en cause lui a refusé l’accès à ses renseignements personnels.

Résumé de l’enquête

4. Ces plaintes découlent d’un différend entre le plaignant et le mis en cause et l’un de ses concessionnaires au sujet de réparations effectuées sur le véhicule automobile du plaignant. Le plaignant a présenté une demande d’accès vers le 1er décembre 2008 afin d’obtenir certains documents pour une conférence préparatoire devant la Cour des petites créances devant avoir lieu en février 2009.

5. Il n’est pas contesté que le mis en cause ait mis plus de 30 jours pour répondre à la demande d’accès du plaignant. Le mis en cause souligne que sa réponse a été retardée parce que les bureaux de l’entreprise ont été fermés pendant deux semaines durant la période des Fêtes.

6. La principale position du mis en cause en réponse à ces plaintes était que celles‑ci n’étaient pas assujetties à la LPRPDE. Le mis en cause s’est appuyé sur une décision précédente de la commissaire adjointe, qui devait déterminer si la cueillette d’informations au moyen d’enregistreurs de données routières (EDR) dans les automobiles contrevenait à la LPRPDE. La commissaire adjointe a conclu, [traduction] « au vu des faits de l’espèce », que le fabricant d’automobiles ne recueillait pas lui-même les renseignements personnels dans le cadre d’une activité commerciale et que la LPRPDE ne s’appliquait donc pas. L’activité de collecte dans cette affaire avait lieu dans le cadre d’accidents ou de situations où un accident était évité de peu où l’EDR s’enclenche automatiquement et enregistre la vitesse de l’automobile, le nombre de tours par minute du moteur, l’abaissement du niveau des pédales d’accélération et de frein et l’utilisation des ceintures de sécurité et des feux de détresse sans retransmettre ces renseignements au fabricant.

7. Selon le mis en cause, il n’exerçait pas une activité commerciale parce qu’il n’avait pas vendu ni fourni des biens ou des services à des clients en échange d’une contrepartie monétaire. Le mis en cause a fait valoir que le plaignant a acheté son véhicule et obtenu des services d’entretien auprès de ses concessionnaires agréés, et non du mis en cause, et que le véhicule en cause était fabriqué à l’extérieur du Canada par la société mère du mis en cause.

8. L’enquête du Commissariat a permis de révéler les éléments suivants au sujet des activités du mis en cause :

  1. le mis en cause fabrique des moteurs et assemble des véhicules automobiles qui sont vendus aux consommateurs canadiens par des concessionnaires agréés;
  2. le mis en cause est un grossiste de véhicules automobiles et de pièces de véhicules automobiles qui sont vendus aux consommateurs canadiens par des concessionnaires agréés;
  3. le mis en cause génère ses revenus grâce à la vente de ses véhicules et des pièces à des concessionnaires agréés;
  4. les résultats financiers du mis en cause sont ajoutés à ceux de sa société mère, dont les actions sont cotées en bourse et négociées sur certaines bourses étrangères;
  5. la relation entre le mis en cause et ses concessionnaires est régie par des ententes contractuelles (notamment des contrats de franchise), qui régissent ou encouragent la vente des produits du mis en cause dans des circonstances précises;
  6. le mis en cause aide les concessionnaires dans le cadre de ses opérations commerciales, et les aide entre autres en matière de vente, de service et de commercialisation, de plans comptables normalisés, de systèmes informatisés pour les réclamations au titre de la garantie, de formation et de financement en matière de commercialisation;
  7. le mis en cause agit à titre d’importateur canadien pour fins douanières dans le cadre de l’importation de véhicules au Canada;
  8. le mis en cause acquiert le titre (c.-à-d. prend en charge le droit de propriété) des véhicules dans le cours des opérations commerciales où les véhicules portant sa marque sont introduits au Canada et vendus aux consommateurs;
  9. le mis en cause achète des publicités à la télévision et à la radio ainsi que des publicités imprimées qui sont conçues pour mettre de l’avant sa marque et augmenter l’appréciation de ses produits par les consommateurs canadiens;
  10. le mis en cause exploite un centre de service à la clientèle s’adressant aux consommateurs qui ont acheté des véhicules automobiles de sa marque.

9. Le mis en cause a également fait valoir d’autres arguments en réponse a ces plaintes dans l’éventualité où la LPRPDE serait jugée applicable.

10. S’agissant de la première plainte concernant l’utilisation du courriel du plaignant, le mis en cause a souligné que le plaignant a rempli un sondage sur papier en août 2006 dans lequel il était indiqué que les renseignements personnels de ce dernier seraient utilisés à des fins commerciales.

11. Le sondage en question portait sur des réparations qui ont eu lieu le 11 août 2006 et qui ont été complétées peu après cette date. Le mis en cause a reconnu que le plaignant n’a pas fourni son courriel dans ce sondage auprès de la clientèle en 2006.

12. Le mis en cause a obtenu le courriel du plaignant dans le cadre de réparations qui ont eu lieu quelque temps plus tard, soit environ deux ans plus tard, vers le 29 avril 2008.

13. Selon le mis en cause, le plaignant a consenti implicitement à l’utilisation de son courriel en remplissant le sondage et en donnant son courriel en 2008. De plus, le mis en cause a fait valoir qu’il a cessé d’envoyer des courriels de publicités au plaignant lorsque ce dernier l’a avisé qu’il ne voulait plus les recevoir.

14. S’agissant de la deuxième plainte concernant la demande d’accès du plaignant, le mis en cause a affirmé avoir donné au plaignant des copies d’un imprimé de son dossier du centre de service à la clientèle ainsi qu’un résumé des conversations téléphoniques que ce dernier a eues avec des représentants du service à la clientèle.

15. L’enquête révèle néanmoins que la divulgation des dossiers du centre de service à la clientèle était incomplète du fait que le mis en cause a omis, par inadvertance, de fournir au plaignant des copies de deux lettres qu’il avait écrites et qu’il a fourni des résumés d’enregistrements audio plutôt que les enregistrements eux-mêmes. De plus, le mis en cause n’a pas fourni au plaignant les renseignements se trouvant à d’autres endroits dans l’entreprise. Le Commissariat a été informé que les types de renseignements suivants n’ont pas été fournis au plaignant :

  1. Les renseignements tirés du « System W » du mis en cause, un système utilisé par le mis en cause pour les communications sortantes à des personnes comme le plaignant;
  2. Les renseignements tirés « System X » du mis en cause, une base de donnée interrogeable qui assure le suivi de renseignements sur les véhicules, de la fabrication à la vente d’un véhicule à un consommateur par un concessionnaire;
  3. Les renseignements tirés du « System Y » du mis en cause, que le mis en cause utilise pour informer les propriétaires des rappels et d’autres programmes d’avis aux propriétaires de voitures;
  4. Les renseignements tirés du « System Z » du mis en cause, que les concessionnaires utilisent pour donner des renseignements sur les garanties et les historiques des réclamations au titre de réparations au mis en cause et qui enregistre également les montants que le mis en cause paie aux concessionnaires pour ces réparations.

16. Le mis en cause soutient que les renseignements enregistrés dans ses System X et System Y ne constituent pas des renseignements personnels, mais qu’il s’agit plutôt de renseignements sur la fabrication de véhicules, les livraisons de véhicules et les programmes relatifs aux véhicules. Le mis en cause a également fait valoir que les renseignements tirés de son System Z ne sont pas des renseignements personnels du fait qu’ils concernent essentiellement des paiements entre le mis en cause et ses concessionnaires.

17. Le mis en cause a informé le Commissariat qu’il consentirait à fournir les renseignements suivants au plaignant, en retranchant certaines parties, mais qu’il imposerait des frais pour la préparation de ces documents. Le mis en cause a fait savoir ce qui suit :

  1. Les renseignements tirés du System W pourraient être fournis moyennant des frais d’environ 200 $;
  2. Les renseignements tirés du System X, du System Y et du System Z pourraient être fournis à un tarif de 50 $ de l’heure, soit des frais qui totaliseraient normalement entre 100 $ et 200 $;
  3. Le plaignant devrait payer 400 $ pour les copies des documents omis.

18. Le Commissariat s’est informé sur les raisons motivant la perception de ces frais et sur les motifs du retranchement proposé de certaines parties.

19. S’agissant de la question des parties retranchées, le mis en cause a affirmé que le System X, le System Y et le System Z contiennent des renseignements confidentiels très délicats, dont les prix liés à la vente de véhicules et à la prestation de services. Le mis en cause a affirmé que les renseignements retranchés sont connus uniquement de certaines personnes au sein de l’entreprise et de ses concessionnaires. Les employés ayant accès à ces renseignements doivent en respecter la confidentialité conformément à des ententes prévues dans leur contrat de travail.

20. S’agissant de la question des frais, le mis en cause a affirmé que les frais reflètent le coût qu’une demande d’accès à des renseignements personnels représente en temps de travail des employés (y compris le montant de la cotisation horaire des employés pour la pension et les avantages sociaux).

21. Le mis en cause a affirmé que mis à part le plaignant, jamais personne sollicitant l’accès à ses renseignements personnels n’est allé jusqu’à demander les dossiers détenus par l’entreprise.

22. Ces dossiers contiennent environ 200 pages; le mis en cause cherchait donc à se faire rembourser un montant équivalant à environ deux dollars par page.

Application

23. Pour tirer mes conclusions, j’ai appliqué les paragraphes 2(1) et 9(1) et l’alinéa 9(3)b) de la LPRPDE ainsi que les principes 4.3, 4.3.1, 4.9 et 4.9.4 de l’annexe 1.

24. Aux termes du paragraphe 2(1) de la LPRPDE, par activité commerciale, on entend toute « activité régulière ainsi que tout acte isolé qui revêtent un caractère commercial de par leur nature ».

25. Le principe 4.3 de la LPRPDE prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Selon le principe 4.3.1, généralement, une organisation obtient le consentement des personnes concernées relativement à l’utilisation et à la communication des renseignements personnels au moment de la collecte. Le principe reconnaît que, dans certains cas, une organisation peut obtenir le consentement concernant l’utilisation ou la communication des renseignements après avoir recueilli ces renseignements, mais avant de s’en servir.

26. Selon le principe 4.9, une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Le principe 4.9.4 prévoit qu’une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.

27. Certaines parties de la LPRPDE donnent des précisions sur les obligations d’une organisation en vertu du principe 4.9. Le paragraphe 8(3) prévoit que l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. L’alinéa 9(3)b) mentionne qu’une organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels si la communication révèle des renseignements commerciaux confidentiels. Toutefois, le paragraphe 9(3) prévoit également que si les renseignements commerciaux confidentiels peuvent être retranchés du document en cause, l’organisation est tenue de faire la communication en retranchant ces renseignements.

Conclusions

Le 10 décembre 2009

28. Le 14 août 2009, j’ai publié un rapport d’enquête dans lequel j’ai conclu que les mesures du mis en cause ne respectaient pas les diverses dispositions de la LPRPDE et j’ai donc formulé des recommandations au mis en cause en vue d’aider l’organisation à respecter ses obligations. Le mis en cause a répondu aux recommandations.

29. Les points suivants constituent le texte original du rapport d’enquête :

[traduction]

Compétence

30. Je conclus que le mis en cause a obtenu et utilisé les renseignements personnels du plaignant dans le cadre d’une activité commerciale. La définition d’activité commerciale prévue dans la LPRPDE est large et n’exige pas, comme le prétend le mis en cause, l’existence d’une vente directe entre le plaignant et le mis en cause.

31. Il ressort clairement de la preuve et d’autres renseignements recueillis dans le cadre de la présente enquête que le mis en cause se livrait à une activité qui revêtait un caractère commercial de par sa nature. Bien que les concessionnaires sont les personnes morales qui vendent les automobiles et les pièces de voitures directement aux consommateurs, ils le font en vertu de contrats (c.-à-d. des contrats de franchise) conclus avec le mis en cause. C’est par l’entremise de cette « activité », laquelle est décrite de façon plus détaillée dans la partie ci-dessus portant sur le résumé de l’enquête, que le mis en cause gagne ses revenus, lesquels sont jumelés à ceux de sa société mère et distribués à ses actionnaires.

32. Bien qu’un lien direct entre le mis en cause et le plaignant n’est pas requis pour que la LPRPDE s’applique, il y en a un en l’espèce. Le mis en cause fait de la publicité pour sa marque d’automobiles qui s’adresse directement au public et a un centre de service à la clientèle où les employés ont des rapports directs avec des personnes comme le plaignant. Le mis en cause établit ces rapports directs pour réaliser ses objectifs commerciaux auprès des consommateurs canadiens.

Utilisation

33. Le courriel du plaignant constitue un de ses renseignements personnels (voir p. ex. le résumé de conclusions d’enquête en vertu de la LPRPDE no 2005-287). Les principes 4.3 et 4.3.1 prévoient que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent.

34. Certes, le plaignant a rempli un sondage dans lequel le mis en cause l’avisait que ses renseignements personnels serviraient à des fins de marketing. Or, je ne peux conclure que le plaignant a consenti à ce que le mis en cause utilise son courriel à des fins de marketing.

35. Le sondage en cause portait sur des réparations qui ont eu lieu le 11 août 2006 et qui ont été complétées peu de temps après. Le mis en cause a obtenu le courriel du plaignant dans le cadre de réparations ultérieures, soit environ deux ans plus tard, vers le 29 août 2008. Le mis en cause a confirmé que le plaignant n’a pas fourni son courriel lorsqu’il a rempli le sondage en 2006. J’estime qu’on ne peut raisonnablement affirmer que le plaignant a consenti implicitement à ce que son courriel soit utilisé à des fins de marketing dans les présentes circonstances. Le plaignant a également dit que ces courriels lui ont été envoyés, malgré le fait qu’il avait demandé au mis en cause de cesser de lui en envoyer.

36. Le mis en cause a toutefois arrêté d’envoyer des courriels au plaignant.

Accès

37. Le principe 4.9 prévoit qu’une organisation doit informer toute personne qui en fait la demande de l’existence de documents personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter.

38. Le paragraphe 2(1) définit les renseignements comme étant « tout renseignement concernant un individu identifiable ». Dans Gordon c. Canada (Ministre de la Santé) (2008), 79 Admin. L.R. (4th) 258 (C.F.), le juge Gibson de la Cour fédérale était d’accord avec la commissaire à la protection de la vie privée pour dire que les renseignements seront des renseignements concernant un « individu identifiable » lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources.

39. Je suis convaincue que certains documents non communiqués au plaignant qui étaient contenus dans le System W, le System X, le System Y et le System Z du mis en cause répondent à cette exigence et constituent des renseignements personnels du plaignant. Plus particulièrement, certains de ces dossiers contiennent des renseignements personnels portant sur les bilans démographiques, la formation, les revenus, le nombre d’enfants, les titres de propriété, les hypothèques, les adresses, les numéros de téléphone et les véhicules ainsi que des renseignements détaillés au sujet des réparations de véhicules qui ont été effectuées. Bien que les renseignements concernant le plaignant ne portent pas sur tous ces éléments, le mis en cause est manifestement susceptible de détenir ce type de renseignements puisque les acheteurs de véhicules ont la possibilité de les lui fournir.

40. Je ne suis pas d’accord que l’enchevêtrement des renseignements personnels du plaignant avec les renseignements commerciaux confidentiels du mis en cause prive le plaignant de l’accès à ses renseignements personnels.

41. Toutefois, j’estime que le mis en cause a le droit de retrancher de ces dossiers les renseignements le concernant portant sur les prix de gros et le prix des garanties. Le prix des pièces, ainsi que d’autres renseignements échangés entre le mis en cause et ses concessionnaires, sont distincts et peuvent être retranchés des documents contenant les renseignements personnels du plaignant. Compte tenu de l’exception prévue à l’alinéa 9(3)b) de la LPRPDE, le mis en cause n’est pas tenu de communiquer ces renseignements malgré le principe 4.9.

42. Certains des renseignements contenus dans ces documents sont imprimés au moyen de codes.

43. Si les renseignements personnels sont communiqués à l’intéressé en utilisant de tels codes, celle-ci pourrait ne pas comprendre les renseignements que le mis en cause recueille. Le principe 4.9.4 de la LPRPDE exige que les renseignements demandés soient fournis sous une forme généralement compréhensible. Par conséquent, lorsque de tels codes sont utilisés pour enregistrer les renseignements personnels d’une personne, le mis en cause doit fournir les explications nécessaires au demandeur. Ces explications doivent être claires et permettre à la personne de comprendre la nature des renseignements recueillis par le mis en cause.

44. Ayant été avisé de la possibilité que le Commissariat lui recommande de déchiffrer les renseignements codés, le mis en cause a présenté des observations additionnelles dans lesquelles il a précisé que certains codes sources contenaient des renseignements commerciaux confidentiels.

45. Mon analyse de la question liée aux renseignements codés est appuyée par les conclusions tirées du résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-63, enquête dans laquelle on devait déterminer si la banque était tenue de communiquer certains renseignements internes concernant des cotes de crédit. Trois principes ont été établis en vertu de ces conclusions. Premièrement, l’utilisation du mot « révélerait » à l’alinéa 9(3)b) est importante. Cette disposition prévoit qu’une organisation n’est pas tenue de communiquer à l’intéressé des renseignements personnels si la communication « révèle » des renseignements commerciaux confidentiels. Comme l’a souligné la commissaire, cela « place la barre très haute pour qui voudrait justifier le refus de communiquer des renseignements personnels ». Deuxièmement, l’incidence de la communication sur le milieu bancaire et le public doit être prise en compte. Selon moi, ce facteur est pertinent puisque la commissaire a examiné les conséquences liées à la communication de tels renseignements sur le public et le milieu bancaire canadien dans cette affaire. Troisièmement, en dernière analyse, mon devoir consiste à conserver un équilibre raisonnable entre les droits à la vie privée des personnes et les intérêts légitimes des organisations.

46. Les autres observations du mis en cause concernant le déchiffrage sont insuffisantes pour me permettre d’identifier les codes que le mis en cause propose de ne pas communiquer au plaignant. Dans ses autres observations, le mis en cause a retranché les renseignements qu’il considère comme étant de nature délicate, rendant ainsi l’examen de chaque code impossible. Dans ses observations, le mis en cause regroupe les codes ensemble, ce qui rend encore plus difficile notre capacité à évaluer le bien-fondé des revendications du mis en cause. Enfin, à l’exception de son observation concernant les codes relatifs aux prix internes de l’entreprise, les raisons données par le mis en cause pour expliquer pourquoi ses codes sont des renseignements commerciaux confidentiels sont superficielles et ne sont pas suffisamment détaillées pour me permettre de conclure que l’exception aux termes de l’alinéa 9(3)b) a été invoquée à bon droit.

47. Je désire également souligner dans sa lettre du 19 janvier 2009 écrite en réponse à la demande d’accès du plaignant, le mis en cause n’a pas informé le plaignant qu’il détenait des renseignements personnels additionnels le concernant dans son System W, son System X, son System Y et son System Z, comme il a été décrit précédemment.

48. J’estime que la non-communication contrevient au principe 4.9, qui exige qu’une organisation informe toute personne qui en fait la demande de « l’existence » de renseignements personnels qui la concernent. De façon semblable, le principe 4.9.1 prévoit qu’une organisation doit informer la personne qui en fait la demande du fait qu’elle possède des renseignements personnels à son sujet, le cas échéant, et est invitée à indiquer la source des renseignements.

49. De plus, le mis en cause reconnaît ne pas avoir répondu à la demande d’accès du plaignant dans un délai de 30 jours. Il est possible de demander de proroger d’une période de 30 jours le délai de 30 jours dans les circonstances prévues au paragraphe 8(4) de la LPRPDE. Or, une organisation doit envoyer un avis de prorogation au demandeur étant donné que ce dernier peut s’y opposer.

Droits d’accès

50. Le principe 4.9.4 indique entre autres qu’une organisation qui reçoit une demande de communication de renseignements doit y répondre et ne peut exiger, pour ce faire, que des droits minimes. Dans le résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-70, le commissaire a conclu que l’imposition de frais de 200 $ pour une demande d’accès contrevenait au principe 4.9.4. De façon similaire, dans le résumé de conclusions d’enquête en vertu de la LPRPDE no 2002-111, l’imposition de frais de 150 $ a été jugée comme contrevenant au principe 4.9.4. Dans le résumé de conclusions d’enquête en vertu de la LPRPDE no2004-285, la commissaire adjointe a indiqué que le principe 4.9.4 autorise tout au plus des frais « symboliques » qui n’auront pas d’effet dissuasif à l’égard des demandes d’accès. Même des frais de 25 $ ont été jugés excessifs en vertu du principe 4.9.4 (voir le résumé de conclusions d’enquête en vertu de la LPRPDE no2004-283).

51. Le mis en cause affirme avoir reçu 22 demandes d’accès en 2008. Aucun de ces demandeurs, ni aucun demandeur au cours des années précédentes, n’ont accepté de payer les frais proposés par le mis en cause, ce qui donne à penser que la politique qui consiste à imposer des frais pour l’accès aux renseignements personnels a un effet dissuasif.

52. La proposition formulée par le mis en cause visant à récupérer le coût théorique du temps où les employés ont travaillés à répondre aux demandes d’accès entraînerait des frais exorbitants ce qui, selon moi, contrevient au principe 4.9.4. Contrairement aux observations du mis en cause, il n’y a rien dans la législation qui prévoit que les coûts de traitement des demandes d’accès doivent être entièrement ou même en grande partie assumés par les demandeurs. Par ailleurs, il semble que ces coûts résultent, en partie, du coût théorique que doit assumer le mis en cause pour retrancher ses renseignements commerciaux confidentiels des renseignements personnels du plaignant. Un tel retranchement est autorisé, mais n’est pas requis en vertu du paragraphe 9(3) de la LPRPDE. Étant donné que le mis en cause retranche ces renseignements pour servir ses propres intérêts commerciaux, il doit assumer les coûts s’y rapportant.

Recommandations au titre du rapport préliminaire

53. Dans mon rapport préliminaire, j’ai fait quatre recommandations.

54. S’agissant de la demande d’accès, j’ai recommandé que le mis en cause :

  1. fournisse au plaignant les renseignements personnels qu’il a omis, par inadvertance, de fournir, les enregistrements audio de ses appels au centre d’appels du mis en cause ainsi que des copies des renseignements personnels tirés du System W, du System X, du System Y et du System Z du mis en cause, contenant le retranchement des renseignements commerciaux confidentiels dont il a été question précédemment.
  2. donne au plaignant des explications pour les divers codes utilisés pour enregistrer ses renseignements personnels, dont certaines parties seront retranchées raisonnablement en vertu de l’alinéa 9(3)b) et fournisse au Commissariat un tableau indiquant, dans des colonnes distinctes, pour chaque code :
    1. le code qui a été retranché;
    2. le déchiffrage de ce code en langage clair;
    3. les raisons expliquant pourquoi ce code constitue des renseignements commerciaux confidentiels compte tenu des principes énoncés au paragraphe 39 ci-dessus;
  3. s’engage à informer toute personne qui en fait la demande de l’existence de l’ensemble des renseignements personnels qui la concernent tirés de son System W, de son System X, de son System Y et de son System Z, mette à jour ses politiques et les formations des employés à cet égard et fournisse l’accès à de tels renseignements sur demande;
  4. cesse d’imposer des frais excessifs aux personnes qui demandent d’avoir accès aux renseignements personnels qui les concernent tirés de son System W, de son System X, de son System Y et de son System Z et modifie sa politique en matière de renseignements personnels afin qu’elle tienne compte de ce changement.

55. J’ai demandé de recevoir, dans un délai de 30 jours à compter de la date du rapport préliminaire, une confirmation attestant que le mis en cause a fourni les documents et les renseignements susmentionnés au plaignant. J’ai également demandé de recevoir, dans un délai de 30 jours de la date du rapport préliminaire, la réponse écrite du mis en cause, dans laquelle il doit préciser de quelle façon il prévoit mettre en œuvre les recommandations.

Les réponses du mis en cause aux recommandations

56. Le mis en cause a demandé une prorogation de délai pour sa réponse; le Commissariat a accordé la demande et a repoussé le délai de quatre semaines supplémentaires. Le mis en cause a répondu le 13 octobre.

57. S’agissant des recommandations a) et b), le mis en cause a informé le Commissariat que le 13 octobre 2009, il a fourni gratuitement au plaignant un paquet contenant les renseignements suivants :

  • les enregistrements audio des appels faits au centre de service à la clientèle du mis en cause et d’autres documents;
  • le dossier tiré du System W;
  • le dossier tiré du System X;
  • le rapport tiré du System Y;
  • le rapport tiré du System Z;
  • des documents expliquant les codes utilisés par les systèmes (le retranchement est limité aux renseignements commerciaux confidentiels et aux renseignements personnels de tiers).

58. Le 30 octobre 2009, le plaignant a confirmé au Commissariat qu’il avait reçu les renseignements personnels le concernant de la part du mis en cause.

Le Commissariat a également reçu et examiné les copies des documents.

59. S’agissant de la recommandation c), le mis en cause affirmait qu’il prévoyait revoir ses politiques en matière de renseignements personnels et donner davantage de formations aux employés afin que les employés traitant les demandes d’accès soient au courant que les systèmes de données susmentionnés peuvent contenir des renseignements personnels. Par ailleurs, le mis en cause nous a informé que le nom et l’adresse des clients seraient retranchés du System Z étant donné que ces renseignements ne sont pas requis aux fins de l’utilisation du système.

60. S’agissant de la recommandation d), le mis en cause a affirmé qu’il n’impose pas de frais pour communiquer les renseignements personnels dans le cadre de demandes d’accès, et qu’il ne prévoit pas le faire.

Conclusion

61. Par conséquent, la plainte concernant l’utilisation sans consentement est résolue, tandis que la plainte concernant l’accès est fondée et résolue.

Divers

62. Le plaignant a également fait valoir que le 8 septembre 2008, un des employés du centre d’appels du mis en cause s’est énervé devant sa persistance à vouloir mener à terme ses plaintes et lui a dit que s’il continuait à s’entêter à obtenir ses renseignements personnels, il finirait par devoir rembourser certains coûts liés à des réparations qui étaient couverts par la garantie de son véhicule.

63. Le Commissariat a interrogé le plaignant et l’employé du centre d’appels au sujet de cette allégation. L’employé du centre d’appels a nié avoir menacé le plaignant de la sorte. Or, selon notre enquêteur, le récit du plaignant semblait plausible tandis que le récit de l’employé du centre d’appels était vague et quelque peu évasif.

64. Le service juridique du mis en cause nous a affirmé que le mis en cause a pris ces allégations très au sérieux. Le mis en cause a mené une enquête qui a révélé que la seule preuve directe concernant les événements du 8 septembre provenait de l’employé du centre d’appels, du plaignant et de son épouse (qui a participé à l’appel); aucun enregistrement audio n’a été fait ou, du moins, conservé. Le mis en cause a également présenté une preuve de moralité et une preuve circonstancielle qui ont eu une incidence sur la vraisemblance des allégations.

65. Bien que je ne sois pas disposée à me prononcer sur les éléments de preuve contradictoires sur ce point en particulier, je tiens à dénoncer avec insistance l’utilisation de tactiques visant à dissuader les gens à déposer des plaintes en matière de protection de la vie privée. Les menaces et les mesures dissuasives ne sont tout simplement pas acceptables et les organisations doivent agir avec circonspection pour former leurs employés et pour gérer la conduite de tout employé ou représentant du public qui ne respecte pas la LPRPDE puisqu’ils sont responsables des actes de ceux-ci.