Une entreprise est accusée de ne pas avoir protégé les renseignements des participants à des concours en direct

Résumé de conclusions d'enquêtes en vertu de la LPRPDE n^o 2002-52

[Principes 4.5.2, 4.5.3, 4.7 et 4.7.1 de l'annexe 1]

Plainte

Un individu s'est plaint qu'une entreprise n'ait pas mis en place les mesures de sécurité appropriées pour protéger les renseignements recueillis des participants à des concours en direct.

Résumé de l'enquête

Plusieurs participants à des concours en direct administrés par l'entreprise en question ont reçu des appels téléphoniques d'une personne ou de personnes prétendant faussement représenter l'entreprise. Lors d'une enquête interne, l'entreprise n'a pu établir de quelle façon exacte des personnes non autorisées avaient eu accès aux renseignements personnels recueillis des participants aux concours, mais a formulé l'hypothèse que la base de données informatique où se trouvaient les renseignements ait pu être compromise. Une société externe a examiné le système, mais n'a pu déterminer comment la base de données avait été compromise, ni même si elle l'avait bel et bien été. Cependant, cette société a fait plusieurs recommandations visant à améliorer la sécurité des renseignements de l'entreprise. L'entreprise a adopté toutes les recommandations et a pris des mesures précises pour protéger physiquement les renseignements personnels des participants aux concours contre l'accès non autorisé.

Au moment de la plainte, l'entreprise n'avait pas de politiques de conservation et d'élimination des renseignements personnels. Sur l'avis du Commissariat, l'entreprise s'est aussi engagée à mettre en ouvre de telles politiques.

Conclusions du commissaire

Rendues le 13 juin 2002

Compétence : Depuis le 1er janvier 2001, la Loi s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que l'entreprise est une entreprise fédérale selon la définition de la Loi.

Application : Le principe 4.5.2 énonce que les organisations doivent élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels qui précisent les durées minimales et maximales de conservation. Le principe 4.5.3 énonce que les organisations doivent détruire, effacer ou dépersonnaliser les renseignements personnels dont elles n'ont plus besoin aux fins précisées, et qu'elles doivent élaborer des lignes directrices et appliquer des procédures à ces fins. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 énonce que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisée.

Le commissaire a fait remarquer que la réalité de l'accès non autorisé était incontestée, même s'il était impossible d'établir si la base de données avait bel et bien été compromise. Quelle que soit la façon dont l'accès a pu avoir lieu dans les circonstances, il ne faisait aucun doute que l'entreprise n'avait pas auparavant de mesures de sécurité appropriées en place pour la protection des renseignements personnels des participants aux concours. Il a donc conclu que l'entreprise avait manqué à ses obligations en vertu des principes 4.7 et 4.7.1.

Le commissaire a aussi établi que l'entreprise n'était pas auparavant dotée de politiques de conservation et d'élimination. Il a donc conclu que l'entreprise avait manqué à ses obligations en vertu des principes 4.5.2 et 4.5.3.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Dans sa lettre de conclusions, le commissaire a été heureux de noter que l'entreprise s'était déjà employée à prendre les mesures appropriées pour aligner ses politiques et ses pratiques sur les dispositions pertinentes de la Loi.