Une entreprise demande le NAS d'une cliente en vertu d'une politique

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2001-22

[principes énoncés aux articles 4.3.3 et 4.4.1 de l'annexe 1, et paragraphe 5(3)]

Plainte

Une particulière s'est plainte qu'une entreprise de télécommunications ait indûment recueilli des renseignements personnels la concernant, à savoir son numéro d'assurance sociale (NAS).

Résumé de l'enquête

L'entreprise de télécommunications en question avait demandé le NAS de la plaignante au moment de la conclusion d'une entente de service de connexion Internet avec elle. Aux dires de la plaignante, le représentant de l'entreprise avec qui elle s'était entretenue lui avait signifié que « sans NAS, pas de connexion », de sorte qu'elle s'était sentie obligée de donner son numéro pour recevoir le service. La collecte du NAS des clients éventuels était prévue par la politique écrite de l'entreprise. Cette politique visait à éviter que des similarités dans les noms des clients ne prêtent à confusion. Néanmoins, selon cette politique, l'entreprise ne devait pas insister pour connaître le NAS des clients qui refusaient de le divulguer, et l'entreprise avait signalé à son personnel que la collecte n'était pas obligatoire.

Conclusions du commissaire

Rendues le 5 novembre 2001

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Cette plainte était du ressort du commissaire parce que les entreprises de télécommunications sont des entreprises fédérales au sens de la Loi.

Application : Le principe énoncé à l'article 4.3.3 de l'annexe 1 précise qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Le principe énoncé à l'article 4.4.1 précise que les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Le paragraphe 5(3) stipule que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

En ce qui concerne le principe énoncé à l'article 4.4.1, le commissaire a établi que, conformément à la politique de l'entreprise, la collecte des NAS n'était pas obligatoire et que, pour ce motif, elle n'était pas nécessaire pour réaliser les fins légitimes et explicitement indiquées. Par conséquent, il a jugé que la collecte était arbitraire et que l'entreprise contrevenait à ce principe.

En ce qui concerne le principe énoncé à l'article 4.3.3, le commissaire était d'avis qu'on avait nettement donné l'impression à la plaignante que la divulgation de son NAS était une condition du service. Par conséquent, il a jugé que l'entreprise contrevenait à ce principe.

En ce qui concerne le paragraphe 5(3), le commissaire s'est penché attentivement sur une position défendue depuis longtemps au Commissariat, selon laquelle il ne faudrait pas recourir au NAS comme à un identificateur universel et les citoyens ne devraient pas divulguer leur NAS à moins que la loi ne les y oblige pour la réalisation des fins d'un certain nombre de programmes fédéraux qui sont en droit de recueillir ces renseignements. Il était d'avis qu'une personne raisonnable s'opposerait à la collecte de NAS pour un service de connexion Internet. Par conséquent, il a jugé que l'entreprise contrevenait aux dispositions du paragraphe 5(3).

Le commissaire a observé que l'entreprise avait supprimé le NAS en cause du dossier de la plaignante et qu'elle en était à modifier sa politique afin que les NAS ne soient plus demandés.

Le commissaire a donc conclu que la plainte était fondée et résolue.

Autres considérations

Le commissaire a également recommandé que l'entreprise mette en oeuvre une démarche d'examen de ses dossiers et qu'elle supprime tous les autres NAS ayant été inutilement recueillis auprès de ses clients.

Date de modification :