Une banque envoie des bulletins de paie de clients à la mauvaise personne

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2002-28

[principes 4.3 et 4.7 de l'annexe 1; et paragraphe 5(3)]

Plainte

Des époux se sont plaints qu'une banque ait indûment communiqué leurs renseignements personnels, et plus particulièrement des bulletins de paie, à une tierce personne par la poste.

Résumé de l'enquête

Les plaignants avaient soumis à la banque en question certains documents, dont des bulletins de paie, dans le cadre d'une demande de réduction de dette en vertu du Programme canadien de prêts aux étudiants. Quelques semaines plus tard, ils ont reçu un appel d'une personne inconnue de leur part d'un autre coin de la province, les informant qu'une lettre qu'il avait lui-même reçue de la banque était accompagnée des bulletins de paie. Après avoir ainsi avisé les plaignants, cette personne leur a retourné les bulletins de paie.

La banque n'a pas contesté l'allégation des plaignants, mais a plutôt expliqué que les documents avaient été mal acheminés à cause de l'erreur d'un employé de bureau. Un commis avait par inadvertance inséré les bulletins de paie des plaignants dans l'enveloppe destinée à l'autre personne. La banque a adressé des excuses aux plaignants et à la tierce partie et, en guise de geste de bonne volonté envers les plaignants, a dispensé le mari d'une mensualité de remboursement du prêt aux étudiants. Les plaignants étaient satisfaits de cette réponse de la banque.

Conclusions du commissaire

Rendues le 4 janvier 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir. Le principe 4.7 énonce que les renseignements personnels doivent protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le paragraphe 5(3) énonce que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Les faits n'étant pas contestés, le commissaire a établi que la banque avait fait une communication inappropriée des renseignements personnels des plaignants, quoique par inadvertance, à une tierce partie et n'avait donc pas protégé les renseignements au moyen de mesures de sécurité appropriées. Il était aussi d'avis qu'une personne raisonnable n'aurait pas estimé la communication acceptable dans les circonstances. Il a donc conclu que la banque avait contrevenu aux principes 4.3 et 4.7 et au paragraphe 5(3) de la Loi.

Le commissaire a conclu que la plainte était fondée.

Autres considerations

Pour prévenir d'autres erreurs du même genre, la banque en question a institué ce qu'elle appelle un « processus de double vérification » pour le traitement des documents à envoyer par la poste à ses clients. Au départ, la personne responsable du rassemblement des documents effectue un contrôle pour vérifier que les bons documents ont été attribués aux bons destinataires. Puis, dans la salle du courrier, après avoir mis une enveloppe d'adresse sur une enveloppe donnée, mais avant de sceller l'enveloppe, on effectue un deuxième contrôle pour être sûr que les bons documents sont dans la bonne enveloppe.

Date de modification :