Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Une banque met en œuvre des mesures importantes après qu'un employé se permet accès aux renseignements sur une cliente à des fins non commerciales

Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-011

Le 20 juillet 2015

Après avoir fait bloquer son compte afin de restreindre l'accès à ses renseignements financiers des employés en dehors de sa succursale bancaire, une cliente s'est inquiétée de la possibilité qu'une employée d'une autre succursale ait eu un accès inapproprié à ses données financières. L'employée en cause était un membre de la famille de la cliente avec qui celle ci était en conflit, et la cliente craignait que l'employée puisse avoir communiqué son information financière à un tiers.

Au terme de l'enquête interne menée par la banque, les registres d'accès ont révélé qu'une employée avait bel et bien consulté de manière inappropriée les renseignements sur le compte, et ce à quatre reprises. La banque a confirmé que l'employée a été en mesure de retirer temporairement le blocage et d'accéder aux numéros, aux soldes, à l'historique des opérations, aux cartes d'accès et aux coordonnées du compte. Même si la banque n'a pas été en mesure de conclure que les renseignements consultés ont par la suite été communiqués à un tiers, elle a confirmé que l'employée avait été réprimandée.

Au cours de l'enquête du Commissariat à la protection de la vie privée du Canada, la banque a décrit les mesures de sécurité qu'elle avait mises en place pour empêcher l'accès non autorisé, y compris des contrôles de sécurité physique, un système d'ouverture de session et de surveillance pour les employés, et un programme de gestion de la protection des renseignements personnels établi. La banque a également confirmé qu'elle avait un code d'éthique établissant clairement l'importance de la protection des renseignements sur les clients, et que celui ci renferme des règles strictes concernant l'accès aux renseignements sur les clients ainsi que leur utilisation et leur communication. De plus, la banque a renseigné le Commissariat sur son programme de formation des employés, qui comprend de la formation axée sur les rôles et une évaluation des connaissances relatives à la protection des renseignements sur les clients.

Notre enquête a révélé que les renseignements personnels de la plaignante ont été consultés de façon inappropriée et utilisés à des fins autres que celles pour lesquelles ils ont été recueillis. Toutefois, nous n'avons pu démontrer que les renseignements ont été divulgués à un tiers.

En outre, l'enquête du Commissariat a révélé que la banque n'avait pas mis en place les mesures appropriées pour protéger les renseignements personnels de la plaignante contre tout accès non autorisé par les employés. Plus précisément, les mesures en place étaient insuffisantes pour sensibiliser les employés à la gravité de l'accès non autorisé aux renseignements sur les clients et de la violation de la confidentialité des clients. Le Commissariat a également conclu que la banque n'avait pas les mesures de protection techniques appropriées, compte tenu de la facilité avec laquelle le blocage installé par la cliente a été contourné et du fait que cette atteinte à la vie privée n'a pas été détectée.

Au cours de notre enquête, la banque a volontairement révisé son programme de formation sur la protection des renseignements personnels tout comme elle a renforcé l’examen des activités des employés ayant déjà consulté les renseignements sur les clients de façon inappropriée. Elle a aussi revu sa façon de communiquer avec les clients dont les renseignements bancaires ont été consultés ou communiqués sans autorisation, et veillé à ce que ses employés puissent accéder plus facilement à l'information sur la protection des renseignements personnels par le truchement de son site intranet. La banque a également mis en œuvre l'exigence voulant qu'un gestionnaire approuve tout changement apporté aux blocages imposés par les clients. Enfin, la banque a également convenu de mettre en place des mesures pour décourager et détecter de façon proactive l'accès non autorisé par les employés.

Par conséquent, le Commissariat a conclu que la plainte était fondée et conditionnellement résolue.

Après la conclusion de l'enquête, le Commissariat a confirmé que la banque avait mis en œuvre des mesures proactives pour décourager et détecter de façon proactive l'accès non autorisé par les employés, et qu'elle continuera d'explorer la possibilité d'adopter des mesures additionnelles.

Leçons apprises

  • Les renseignements personnels doivent être consultés seulement par les personnes autorisées, et ne doivent pas être utilisés ou communiqués à des fins autres que celles pour lesquelles ils ont été recueillis.
  • Les employés des institutions financières, en tant qu'utilisateurs autorisés des systèmes de celles ci, représentent un risque pour la protection des renseignements personnels des clients, car ils ont la possibilité d'abuser de leurs privilèges d'accès. Les organisations doivent cerner ces risques et mettre en œuvre des mesures de sécurité qui sont justifiées dans les circonstances (notamment quand il s'agit de protéger les renseignements de nature délicate) afin d'éliminer ou de réduire ces risques.
  • Des mesures proactives, comme des vérifications, sont essentielles pour protéger les renseignements financiers de nature délicate, pour décourager et détecter l'accès non autorisé à des renseignements personnels, et pour maintenir l'intégrité et la confidentialité des renseignements financiers personnels entreposés dans les systèmes d'information électroniques.
  • Les organisations doivent veiller à ce que leurs employés comprennent bien l'importance de maintenir la confidentialité des renseignements des clients, ainsi que les conséquences que peut entraîner la consultation des renseignements personnels d'un client lorsque cela ne répond à aucune utilité sur le plan professionnel ou qu'aucune autorisation n'a été obtenue à cet égard.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE » ou la « Loi »)

  1. La plaignante prétend que la banque aurait utilisé et communiqué ses renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis. Plus précisément, elle allègue qu'une employée de la banque aurait consulté les renseignements sur son compte bancaire pour des raisons non professionnelles. Elle soutient également que l'employée de la banque aurait divulgué ces renseignements personnels à un tiers et que la banque n'aurait pas pris de mesures pour veiller à ce que cela ne se reproduise plus.
  2. La plaignante allègue également que la banque n'aurait pas mis en place les mesures appropriées pour protéger ses renseignements personnels contre l'accès non autorisé. Plus précisément, la plaignante prétend que la banque n'aurait pas protégé les renseignements sur son compte bancaire contre tout accès non autorisé par l'une de ses employés, malgré le blocage installé sur le compte, et que la banque n'aurait pas adopté de mesures de sécurité pour veiller à ce que cela ne se reproduise plus.
  3. La banque a confirmé qu'une de ses employés a accédé au compte bancaire de la plaignante sans raison professionnelle valable.
  4. Le Commissariat conclut que la banque a utilisé les renseignements personnels de la plaignante à des fins autres que celles pour lesquelles ils ont été recueillis, et qu'elle n'a pas mis en place les mesures adéquates pour protéger les renseignements personnels de la plaignante contre tout accès non autorisé par son employée. Cependant, les éléments probants ne démontrent pas que l'employée de la banque a divulgué les renseignements personnels de la plaignante à un tiers.
  5. En réponse à notre enquête, la banque a apporté des changements importants à son programme de protection des renseignements personnels et a entrepris de mettre en œuvre d'autres changements pour empêcher l'accès non autorisé par ses employés.
  6. Nous avons donc conclu que la plainte était fondée et conditionnellement résolue.

Résumé de l'enquête

Échéancier

Voici la chronologie des événements qui se sont produits sur sept mois au cours d'une période d'un an :
  1. La plaignante a fait imposer un blocage sur son compte bancaire parce qu'elle craignait qu'une employée de la banque, qui est un membre de sa famille avec qui elle est en conflit, accède à son compte de façon inappropriée.
  2. Ce blocage, qui consiste en une mesure de protection de préférence de confidentialité que les clients peuvent obtenir sur demande, restreint l'accès au profil du client de façon à ce que seulement certains groupes au sein de la banque aient accès aux renseignements sur le compte du client, dont le solde. Dans le cas de la plaignante, seule la succursale où elle avait son compte avait accès aux renseignements sur celui?ci (y compris au solde); les autres succursales avaient seulement accès au nom de la plaignante et aux autres renseignements non financiers la concernant.
  3. La plaignante a été avisée par sa succursale locale qu'un employé de la banque travaillant dans une autre succursale avait accédé à son compte aux fins d'« entretien ».
  4. La plaignante a déposé une plainte auprès de la banque deux mois plus tard.
  5. Par la suite, un gestionnaire des services à la clientèle de la banque a informé la plaignante qu'au terme d'une enquête, la banque pouvait confirmer que ses renseignements personnels avaient été consultés par un employé de la banque sans raison professionnelle valable. La banque a indiqué qu'elle regrettait la situation et qu'elle avait pris les mesures correctives appropriées.
  6. La plaignante a envoyé un courriel à la banque afin de lui faire part de ses préoccupations.
  7. La plaignante a reçu une lettre de la part d'un vice-président régional de la banque.
  8. La plaignante était insatisfaite des réponses fournies par la banque, parce que celle-ci refusait (i) de lui mentionner l'identité de l'employé qui avait consulté son compte bancaire; (ii) de l'informer de la durée et de la portée de l'accès inapproprié; (iii) de lui indiquer la façon dont ses renseignements personnels avaient été utilisés par l'employé fautif; et (iv) de lui fournir l'assurance que cela ne se reproduirait plus.
  9. La plaignante a envoyé un courriel décrivant ses préoccupations au bureau de l'ombudsman de la banque.
  10. Le bureau de l'ombudsman de la banque a envoyé une lettre à la plaignante afin lui faire part de ses conclusions, mais la plaignante n'était pas satisfaite de celles ci.
  11. Trois mois plus tard, le Commissariat a accepté la plainte de la plaignante.
  12. Compte tenu de ses antécédents de conflit avec un certain membre de sa famille qui est également une employée de la banque, la plaignante croit que cette personne est l'employée de la banque qui a consulté son compte bancaire de façon inappropriée. De plus, en raison de cette situation de conflit, la plaignante croit que l'employée de la banque a divulgué ses renseignements personnels à un tiers.

Utilisation et communication des renseignements personnels à des fins autres que celles pour lesquelles ils ont été recueillis

  1. En réponse à la plainte, la banque nous a fourni une copie de son rapport d'enquête, de ses registres d'accès et de ses notes d'entrevue. La banque a confirmé que l'une de ses employés a apporté des modifications au profil de la plaignante afin de retirer temporairement le blocage, et a accédé à quatre dates différentes aux écrans affichant le numéro, le solde et l'historique des opérations du compte de la plaignante, ainsi que l'adresse, le numéro de téléphone, l'adresse de courriel et le numéro de carte d'accès (carte de débit) de celle ci.
  2. Dans le cadre de son enquête, le service des ressources humaines de la banque a mené une entrevue avec l'employée en cause, qui avait terminé son attestation annuelle et qui a confirmé être au courant de ses obligations en vertu du code de conduite de la banque. Plus précisément, l'employée a indiqué qu'elle comprenait l'obligation de protéger les renseignements sur les clients en vertu du code de conduite.
  3. Le Commissariat a reçu copie des notes sur cette entrevue. Ces notes indiquent que l'employée de la banque a nié avoir accédé au compte de la plaignante, même après avoir été informée que les registres d'accès démontrent le contraire. Selon la banque, il n'y avait aucun élément de preuve permettant de conclure que l'employée avait divulgué les renseignements personnels de la plaignante à un tiers.
  4. La banque a avisé son employée que toute autre violation de ses obligations en vertu du code de conduite de la banque ou de la politique sur la confidentialité de celle ci entraînerait immédiatement son licenciement pour un motif valable. Selon la banque, l'employée a reconnu ces obligations tant de vive voix que par écrit, et a confirmé avoir lu et compris ces politiques.
  5. La banque soutient qu'elle a réprimandé son employée en conformité avec le droit du travail canadien, en tenant compte d'un certain nombre de facteurs, y compris l'ancienneté de l'employée et ses antécédents en matière de discipline. La banque a été en mesure de confirmer que son employée n'a pas accédé au compte de la plaignante après avoir été réprimandée.

Mesures de sécurité

a) Mesures physiques
  1. La banque a confirmé qu'elle a mis en place des mesures de sécurité physique, dont des mesures de contrôle de la sécurité physique ainsi que des politiques et procédures régissant le contrôle des locaux, afin de garantir la sécurité de ses biens matériels et des renseignements personnels qu'ils contiennent.
b) Mesures organisationnelles
i. Structure de gouvernance
  1. La banque soutient qu'elle a un programme général de gestion de la protection de la vie privée qui vise à protéger les renseignements personnels et à atténuer les risques d'atteinte à la vie privée de façon proactive. Elle a un comité de protection de la vie privée qui tient des réunions trimestrielles ainsi qu'un réseau de personnes désignées, dans ses secteurs d'activité, qui soutiennent et promouvoient une culture de respect de la vie privée au sein de son organisation.
ii. Code de conduite de la banque
  1. La banque a indiqué que son code de conduite fait partie intégrante de ses conditions d'emploi, et que tous ses employés sont tenus chaque année de passer en revue le code et d'attester qu'ils y adhèrent. Elle mentionne que le respect du code de conduite est une condition d'emploi, et que l'inobservance de cette condition peut entraîner la prise de mesures disciplinaires allant jusqu'au licenciement pour un motif valable. Le code de conduite de la banque est examiné et mis à jour annuellement afin d'aborder les modifications réglementaires et l'évolution des pratiques exemplaires, ainsi que d'aider les employés à mieux comprendre les exigences liées à leur poste.
  2. Plus particulièrement, l'article du code de conduite portant sur la protection des renseignements sur les clients mentionne ce qui suit :

    [Exclu]
  3. Le code de conduite traite également de la sécurité des systèmes informatiques, et décrit l'approche adoptée par la banque relativement à l'accès basé sur les rôles et à la surveillance. Plus particulièrement, le code de conduite mentionne ce qui suit :

    [Exclu]
iii. Formation
  1. La banque soutient que tous les employés sont tenus de suivre une formation sur la protection des renseignements personnels dès leur embauche, ainsi qu'une formation de recyclage annuelle en la matière comprenant un test de maîtrise du contenu exigeant une note de passage. Les taux d'achèvement sont consignés de façon centralisée et font l'objet d'un suivi au niveau des gestionnaires. Cette formation comprend des scénarios « réels » fondés sur les activités quotidiennes, ainsi que des exercices interactifs visant à souligner l'engagement de la banque à l'égard de la protection des renseignements sur les clients et à présenter les méthodes permettant de garantir cette protection.
  2. La banque a expliqué que sa formation en ligne sur la protection des renseignements personnels est mise à jour chaque année, afin de tenir compte des changements dans les lois et dans les politiques internes ainsi que de refléter les tendances dans le domaine. La banque a été en mesure de confirmer que l'« accès inapproprié » est un sujet abordé dans sa formation obligatoire sur la protection des renseignements personnels depuis plusieurs années.
  3. Une formation axée sur les rôles est également fournie annuellement aux agents de la banque responsables de la conformité, de la gestion du risque et du règlement des plaintes des clients.
iv. Communication
  1. La banque communique avec ses employés à l'aide de diverses méthodes, afin de promouvoir une culture où la protection des renseignements personnels est primordiale. À titre d'exemple, les employés de la banque peuvent consulter le site intranet de celle ci consacré à la protection des renseignements personnels afin d'y obtenir des ressources, dont les bulletins d'information de la banque sur la protection des renseignements personnels et un feuillet d'information visant à aider les employés à mieux comprendre leurs obligations lorsqu'ils accèdent au compte d'un client.
c) Mesures techniques
  1. La banque a un programme sur les contrôles d'accès visant à établir et à renforcer les politiques et normes de protection contre l'accès inapproprié des employés en fonction du « besoin de savoir ».
  2. La norme de la banque sur l'ouverture de session et la surveillance prévoit également des contrôles appropriés pour l'examen et la protection des systèmes de l'institution, ainsi que pour veiller à ce que les registres d'accès de celle ci soient tenus de façon adéquate. Dans cette politique, on informe les employés de ce qui suit :

    [Exclu]

Application de la Loi

  1. Dans son analyse des faits, le Commissariat a appliqué les principes 4.5, 4.7, 4.7.1, 4.7.3 et 4.7.4 de l'annexe 1 de la Loi.
  2. Le principe 4.5 stipule que les renseignements personnels ne doivent être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige.
  3. Le principe 4.7 établit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 stipule en partie que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Plus précisément, le principe 4.7.3b) indique que les mesures de sécurité devraient comprendre des mesures administratives, comme des autorisations sécuritaires et un accès sélectif, tandis que le principe 4.7.3c) mentionne que les mesures de sécurité devraient également comprendre des mesures techniques.
  4. Le principe 4.7.4 établit que les organisations doivent sensibiliser leur personnel à l'importance de protéger le caractère confidentiel des renseignements personnels.

Analyse

Utilisation des renseignements à des fins autres que celles auxquelles ils ont été recueillis

  1. La première considération consiste à déterminer si l'employée de la banque a utilisé les renseignements personnels de la plaignante à des fins autres que celles pour lesquelles ils ont été recueillis.
  2. L'employée de la banque a consulté le compte bancaire de la plaignante de façon inappropriée, et en raison d'une faiblesse dans la mesure de protection de préférence de confidentialité de la banque, elle a été en mesure de contourner le blocage et d'avoir accès aux renseignements personnels de la plaignante. À l'instar des résultats de l'enquête menée par la banque, les éléments probants démontrent que l'employée n'avait pas de motif valable pour accéder au compte bancaire de la plaignante et que, par conséquent, les renseignements personnels consultés ont été utilisés à des fins autres que celles pour lesquelles ils ont été recueillis.
  3. Le Commissariat conclut que la banque a contrevenu au principe 4.5.

Communication des renseignements à des fins autres que celles auxquelles ils ont été recueillis

  1. La deuxième considération consiste à déterminer si l'employée de la banque a communiqué les renseignements personnels de la plaignante à des fins autres que celles pour lesquelles ils ont été recueillis.
  2. Au cours de son enquête, la banque n'a trouvé aucun élément prouvant que l'employée ait divulgué les renseignements personnels de la plaignante à un tiers. Même si la plaignante a mentionné être très préoccupée par la possibilité que l'employée de la banque, avec qui elle a un conflit, ait divulgué ses renseignements personnels à un tiers, aucune preuve additionnelle n'a été fournie à l'appui de cette allégation. De plus, l'enquête menée par le Commissariat n'a révélé aucun élément prouvant que les renseignements personnels de la plaignante aient été communiqués à un tiers.
  3. Sans preuve réelle de communication, le Commissariat n'est pas en mesure de conclure que la banque a contrevenu au principe 4.5.

Mesures de sécurité

  1. La dernière considération consiste à déterminer si la banque avait mis en place des mesures adéquates pour protéger les renseignements personnels de la plaignante contre l'accès non autorisé de ses employés, et si elle avait sensibilisé ses employés à l'importance de protéger la confidentialité des renseignements personnels.
a) Mesures organisationnelles et importance de la protection de la confidentialité
  1. Même si l'employée de la banque a affirmé qu'elle connaissait et comprenait ses obligations relatives à la protection des renseignements sur les clients en vertu du code de conduite, et même si elle a obtenu son attestation annuelle, les preuves démontrent clairement qu'elle a délibérément changé la préférence de confidentialité, retiré le blocage et consulté le compte bancaire de la plaignante à plusieurs reprises.
  2. L'employée de la banque a clairement fait fi des mesures mises en place par la banque pour protéger les renseignements personnels contre l'accès non autorisé, et elle a réussi à accéder aux renseignements personnels de la plaignante sans autorisation. Dans toute organisation, la création d'une culture de confidentialité dépend du niveau de sensibilisation des employés au-delà des politiques et de la formation; les employés doivent très bien comprendre les conséquences de tout accès non autorisé ainsi que l'importance de préserver la confidentialité des renseignements personnels.
  3. Le Commissariat conclut que, même si la banque a mis en place des mesures organisationnelles, celles ci ne lui ont pas permis de sensibiliser suffisamment ses employés à la gravité et aux conséquences de l'accès non autorisé aux renseignements sur les clients ainsi que du manquement aux principes 4.7.3b) et 4.7.4 en ce qui a trait à la confidentialité des renseignements personnels.
b) Mesures techniques
  1. Notre enquête a révélé que, même si la banque avait un mécanisme permettant aux clients de bloquer l'accès aux renseignements sur leur compte pour les employés des autres succursales, l'employée fautive a quand même été en mesure de contourner ce blocage en changeant les préférences de confidentialité de la plaignante. La capacité de changer les préférences de confidentialité des clients n'était pas bloquée par des mesures de sécurité correspondant au degré de sensibilité des renseignements, compte tenu de la facilité avec laquelle ces préférences ont pu être modifiées par l'employée fautive, ainsi que du fait que celle ci a agi seule sans faire l'objet d'une surveillance appropriée.
  2. Les vérifications sont des mesures techniques essentielles pour protéger les renseignements financiers de nature délicate, pour décourager et détecter l'accès non autorisé à des renseignements personnels, et pour préserver l'intégrité et la confidentialité des renseignements financiers personnels entreposés dans les systèmes d'information électroniques. Même si la banque tient des registres d'accès, qui indiquent de façon précise les renseignements consultés par les employés, la banque n'applique pas actuellement de mesure technique pour détecter de façon proactive l'accès non autorisé par les employés. Le Commissariat est d'avis qu'en soi, la vérification réactive en réponse à une allégation d'accès non autorisé ne permet pas à la banque de respecter ses obligations en vertu de la Loi.
  3. Le Commissariat conclut que la banque n'avait pas les mesures techniques appropriées pour protéger les renseignements personnels de la plaignante, conformément au principe 4.7.3c).
  4. Par conséquent, le Commissariat conclut que la banque a contrevenu aux principes 4.7 et 4.7.1, puisqu'elle n'avait pas les mesures de sécurité appropriées pour protéger les renseignements personnels de la plaignante contre tout accès non autorisé par ses employés. Les employés de la banque, en tant qu'utilisateurs autorisés des systèmes de celle ci, représentent un risque pour la protection des renseignements personnels des clients, car ils ont la possibilité d'abuser de leurs privilèges d'accès. Les institutions financières doivent cerner ces risques, et mettre en œuvre des mesures de sécurité qui sont justifiées dans les circonstances et qui correspondent au degré de sensibilité des renseignements afin d'éliminer ou de réduire ces risques. De plus, les mesures de sécurité offertes par une institution financière, comme les mesures de protection des préférences de confidentialité de la banque (blocage), devraient respecter les choix effectués par les clients en ce qui concerne la façon dont leurs renseignements personnels sont contrôlés et faire comprendre aux employés l'importance de préserver la confidentialité des renseignements personnels des clients.

Améliorations au programme de confidentialité de la banque

  1. Au cours de l'enquête du Commissariat, la banque a entrepris volontairement d'améliorer son programme de confidentialité et a apporté des modifications, qui sont expliquées en détail ci dessous. En vue de mettre en œuvre ces améliorations, la banque a mis sur pied un groupe de travail, qui se réunit sur une base régulière et est composé d'employés de divers départements de la banque dont les fonctions sont liées à la gestion des fraudes, des enquêtes et des ressources humaines.
a) Formation organisationnelle révisée sur la protection des renseignements personnels
  1. La banque a révisé son cours de formation obligatoire sur la protection des renseignements personnels, puis a lancé la version révisée en 2014; elle a confirmé que pratiquement tous ses employés ont suivi leur formation annuelle sur la protection des renseignements personnels. Dans la version révisée, on présente un exemple d'accès inapproprié aux renseignements sur les clients, et on indique clairement que les employés peuvent seulement consulter et utiliser les renseignements sur les clients s'ils ont une raison professionnelle valable de le faire. On y explique également que le respect du code de conduite est une condition d'emploi et que l'inobservation de cette condition peut entraîner des mesures disciplinaires allant jusqu'au licenciement pour un motif valable (sans indemnité).
  2. Au cours de cette enquête, la banque nous a fourni le nouveau contenu ajouté à son cours de formation sur la protection des renseignements personnels, y compris une liste de rappels utiles lorsque les employés manipulent des renseignements sur les clients et les employés, ainsi que des exemples de questions et réponses utilisées dans le cadre de son test de maîtrise du contenu.
b) Mise en œuvre d'un système de surveillance accrue des employés qui ont déjà consulté des renseignements sur les clients de façon inappropriée
  1. La banque a indiqué qu'elle avait amélioré ses examens des employés qui ont déjà consulté des renseignements sur les clients de façon inappropriée (dans les cas où ils n'ont pas été licenciés). La banque a fourni au Commissariat des détails sur le contenu de ces examens et sur la façon dont elle les effectue.
c) Examen des réponses aux clients à la suite d'une enquête sur une allégation d'accès non autorisé
  1. La banque a également entrepris d'examiner la façon dont elle communiquait avec un client dont les renseignements bancaires ont été consultés ou communiqués par un employé sans autorisation, afin de trouver un équilibre entre le besoin de savoir du client et le droit à la confidentialité de l'employé. À la suite de cet examen, la banque a apporté des changements à la lettre qu'elle envoie au client afin de lui fournir des détails supplémentaires et de faire montre d'une plus grande transparence au sujet de l'accès non autorisé, y compris en ce qui concerne la durée et la portée de celui ci, et de mieux lui expliquer les circonstances dans lesquelles l'employé a consulté ou communiqué ses renseignements de façon inappropriée.
  2. Au cours de l'année qui a suivi la plainte au Commissariat, la banque a envoyé une lettre à la plaignante afin de lui fournir des renseignements supplémentaires concernant l'accès inapproprié, y compris les dates et les heures où l'employée fautive a consulté ses renseignements personnels ainsi que le type de renseignements auxquels celle ci a accédé.
d) Mise en œuvre de mesures additionnelles visant à sensibiliser encore davantage les employés de la banque à la protection des renseignements personnels dans l'intranet
  1. La banque a mis en œuvre des mesures additionnelles visant à sensibiliser ses employés à la protection des renseignements personnels dans son site intranet. À titre d'exemple, la banque a placé des bannières sur la page l'accueil de son site intranet afin de sensibiliser les employés de ses diverses succursales à la protection des renseignements personnels.
e) Tenue d'une séance visant à souligner l'importance de la protection des renseignements personnels
  1. Au cours de la même année, une séance visant à souligner l'importance des processus et contrôles de protection des renseignements personnels, à laquelle a participé l'agent principal de la conformité de la banque, a eu lieu; la séance peut maintenant être visionnée par tous les employés de la banque sur le site intranet de cette dernière. D'autres séances, lors desquelles des membres des équipes de la haute direction et du leadership en matière de conformité donneront des présentations sur l'importance de la protection des renseignements personnels, doivent normalement être achevées en 2015.
f) Amélioration de la mesure de protection de préférence de confidentialité de la banque (blocage)
  1. La banque a cherché des façons dont elle pourrait améliorer sa mesure de protection de préférence de confidentialité, étant donné que dans ce cas ci, son employée a été en mesure de retirer le blocage du compte bancaire de la plaignante et d'accéder ainsi aux renseignements financiers personnels de cette dernière. La banque a confirmé que tout employé voulant changer la préférence de confidentialité d'un client doit désormais obtenir l'approbation d'un gestionnaire.

Recommandations formulées dans le rapport d'enquête préliminaire

  1. Le Commissariat reconnaît que la banque a pris d'importantes mesures positives pour répondre aux préoccupations soulevées à la suite de cette enquête, telles que décrites ci dessus. Le Commissariat se réjouit que ces mesures aient été prises afin de sensibiliser les employés à la gravité et aux conséquences de l'accès non autorisé aux renseignements sur les clients, ainsi qu'à la gravité et aux conséquences de ne pas préserver la confidentialité des renseignements personnels des clients. Le Commissariat fait également remarquer que la banque continue de déployer des efforts à cet égard.
  2. Le Commissariat a produit un rapport d'enquête préliminaire recommandant à la banque de :
    1. mettre en œuvre des mesures pour effectuer des vérifications proactives de l'accès des employés aux systèmes d'information électroniques de la banque (en plus des vérifications réactives actuelles) et pour mener des enquêtes plus poussées lorsque les résultats des vérifications l'exigent;
    2. prolonger la mesure de surveillance accrue des employés de façon à ce que la surveillance débute dès la réception d'une plainte de la part d'un client alléguant que l'on a accédé à ses renseignements sans autorisation.

Réponse au rapport d'enquête préliminaire

  1. En réponse à notre première recommandation, la banque a indiqué qu'elle avait mis en œuvre des mesures visant à cerner de façon proactive les cas les plus flagrants de comportements inadmissibles des employés; les systèmes de la banque peuvent maintenant détecter les cas d'accès inhabituel aux fins d'enquête.
  2. À titre d'exemple, en ce qui concerne l'envoi de dossiers à l'extérieur de l'organisation, la banque a indiqué qu'elle avait mis à niveau sa technologie de prévention des pertes de données, de façon à ce que tout courriel envoyé à l'extérieur de la banque par un employé et renfermant un grand nombre de numéros de carte de crédit génère automatiquement un signal. La banque a indiqué qu'elle continue d'améliorer son processus et sa technologie de prévention de la perte de données, et qu'elle fournira une mise à jour au Commissariat en janvier 2016.
  3. La banque a donné un autre exemple de sa surveillance des employés, en indiquant qu'elle avait mis en œuvre un nouvel indicateur de « consultation hors province » pour certains employés, ce qui lui permet d'être avisée immédiatement lorsqu'un employé consulte le dossier d'un client de l'extérieur de la province et d'entamer une enquête sur une possible consultation excessive ou à première vue non autorisée. La banque a indiqué qu'elle fournira au Commissariat une mise à jour sur le déploiement et l'efficacité de cet indicateur en janvier 2016.
  4. Elle a aussi fait savoir que son groupe de travail continue de chercher des mesures supplémentaires permettant de vérifier de façon proactive l'accès de ses employés à ses systèmes d'information électroniques. La banque a expliqué en détail le mandat et le processus de ce groupe au Commissariat.
  5. En réponse à notre deuxième recommandation, la banque a expliqué qu'elle doit tenir compte de nombreux facteurs avant de surveiller ses employés, car elle doit trouver un équilibre entre les facteurs liés au droit relatif à l'emploi et au respect de la vie privée. Étant donné la nécessité d'un tel équilibre et l'engagement de la banque à enquêter rapidement sur les plaintes des clients alléguant que l'on a accédé à leurs renseignements sans autorisation, le Commissariat est satisfait de la mise en œuvre d'une surveillance accrue de l'accès des employés à la suite d'une enquête, plutôt que seulement après la réception d'une plainte d'un client.
  6. La banque a également indiqué qu'elle avait conclu une entente mutuellement acceptable avec la plaignante.

Conclusion

  1. La banque a accepté de fournir au Commissariat une mise à jour, en janvier 2016, sur les mesures mises en œuvre afin de vérifier de façon proactive l'accès de ses employés à ses systèmes d'information électroniques. Le Commissariat demande également à la banque de lui fournir une mise à jour, en janvier 2016, sur toute mesure additionnelle mise en œuvre ou envisagée. Nous sommes convaincus que la mise en œuvre de ces mesures permettra à la banque de respecter les recommandations du Commissariat.
  2. Par conséquent, nous estimons que cette plainte est fondée et conditionnellement résolue.

 

Date de modification :