Un client s'objecte quand une compagnie lui annonce qu'elle a cédé son compte de courriel

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-41

[Principes 4.3, 4.7 et 4.7.1, Annexe 1; paragraphe 5(1)]

Plainte

Un client a déposé une plainte alléguant que son fournisseur de service Internet n'avait pas adopté de mesures de sécurité adéquates pour protéger ses renseignements personnels. Plus précisément, il alléguait que la compagnie, en réaffectant son adresse électronique à un autre client, avait permis à une tierce partie de consulter ses renseignements personnels sans que lui-même soit au courant et sans qu'il y consente.

Résumé de l'enquête

Le plaignant était abonné à deux services de base de la compagnie en question. En vertu des services Internet auxquels il avait droit, il disposait d'un compte de courriel principal et de deux comptes secondaires. Après une absence de plusieurs jours, il a constaté qu'il n'avait plus accès à l'un de ses comptes secondaires. Un représentant de service de la compagnie lui a alors appris que cette adresse électronique avait été réaffectée à un autre client. Un superviseur a confirmé qu'il y avait eu réaffectation et que cette action était permise en vertu du contrat de service à la clientèle que le plaignant avait signé. Lorsque le plaignant a protesté, le superviseur a accepté de lui rendre son compte de courriel.

Le plaignant était toujours inquiet de la possibilité que pendant que son compte avait été réaffecté, quelqu'un d'autre ait pu y accéder et intercepter ses courriels. Il a écrit des lettres à différents représentants de la compagnie en vue de déterminer, si tel était le cas, jusqu'à quel point sa vie privée avait été envahie. Comme il ne recevait pas de réponse convenable de la compagnie, il a déposé une plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques.

Après avoir fait une enquête interne, la compagnie annonçait que la réaffectation du compte du plaignant était due à une erreur matérielle. À l'occasion d'un déménagement, le plaignant avait demandé que le service soit transféré, mais la requête a été consignée plutôt comme une demande de débranchement. Le Commissariat à la protection de la vie privée a suggéré que cette explication ne semblait pas raisonnable pour deux raisons, soit : (1) le déménagement du plaignant et le transfert de son service Internet s'étaient produits trois bons mois avant l'interruption de service pour le compte en question et; (2) les deux autres comptes de courriel du plaignant n'ont pas subi d'interruption de service comme celle-là.

Après complément d'enquête, la compagnie a apporté une explication plus plausible, soit que le plaignant avait demandé quelque temps auparavant à être facturé une fois seulement pour les deux services de base auxquels il était abonné. La jonction de deux comptes pour fins de facturation implique une démarche technique complexe par laquelle les comptes de courriel sont isolés et mis en réserve en attendant la jonction des comptes de service principaux. Normalement, une fois la jonction accomplie, les comptes de courriel sont sortis de la « réserve » et réaffectés à l'abonné. Dans le cas du plaignant, deux de ses comptes de courriel ont été sortis de la « réserve » et lui ont été réaffectés, mais le troisième a été négligé et laissé dans la « réserve » jusqu'à ce que le plaignant s'enquière de son sort.

L'enquête a confirmé que c'est bien ainsi que les choses se sont passées, qu'il était impossible d'avoir accès au troisième compte tant qu'il était dans la « réserve » et qu'il n'avait jamais été réaffecté ou cédé à un autre client, malgré ce que contenait le rapport original du personnel des services à la clientèle.

Conclusions du commissaire

Rendues le 15 mars 2002

Compétence : Depuis le 1er janvier 2001, la Loi s'applique à toutes les entreprises fédérales. Le commissaire est compétent dans ce cas parce que les fournisseurs de service Internet sont des entreprises fédérales selon l'interprétation de la Loi.

Application : Le principe 4.3 de l'annexe 1, indique qu'une personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels et y consentir, à moins qu'il ne soit inapproprié de le faire. Le principe 4.7 de l'annexe 1 prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 décrète que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Le paragraphe 5(1) prévoit que toute organisation doit se conformer aux obligations énoncées dans l'annexe 1.

Le commissaire a été convaincu qu'il n'y a pas eu de communication inappropriée des renseignements personnels du plaignant. Il a déterminé que la compagnie n'a pas, par omission, permis à une tierce partie d'accéder aux renseignements personnels du plaignant. Comme le plaignant n'a démontré aucun manquement à la sécurité, il ne pouvait pas conclure que la compagnie avait négligé de prendre les mesures de sécurité appropriées. Non plus que les circonstances justifiaient qu'il examine s'il était en présence d'une situation où la personne devait être informée et consentante. Il a donc constaté que la compagnie n'avait pas été en contravention des principes 4.3, 4.7 et 4.7.1 et du paragraphe 5(1).

Le commissaire a conclu que la plainte était non fondée.

Autres considérations

Lors d'une rencontre avec les représentants de la compagnie, le plaignant a accepté l'explication de la compagnie et admis que ses renseignements personnels n'avaient pas été communiqués à une tierce partie. Il a également accepté les excuses de la compagnie pour la piètre qualité du service à la clientèle qu'il a d'abord reçu et qui, la compagnie a tenu à le préciser, ne reflétait pas le niveau de service habituel mais une manière de procéder bien en deçà de ses normes. Le plaignant était bien heureux du résultat de cette rencontre et considérait que sa plainte était ainsi réglée. Le commissaire était lui aussi heureux de le noter en prononçant ses conclusions.

Date de modification :