Une compagnie aérienne est accusée de recueillir trop de renseignements pour les autorités américaines

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-128

[Principes 4.2, 4.4, 4.7, annexe 1; paragraphe 5(3)]

Plainte

Un membre d'équipage d'une compagnie aérienne s'est plaint que son employeur :
(1) avait recueilli plus de renseignements personnels que cela n'était nécessaire pour se conformer aux besoins de l'United States Aviation and Transportation Security (ATS) Act;
(2) n'avait pas utilisé des mesures de sécurité adéquates pour protéger ces renseignements.

Résumé de l'enquête

En décembre 2001, en vertu de la loi américaine ATS Act, la compagnie aérienne a été obligée de recueillir certains renseignements de tous les membres de son équipage sur une période de deux semaines. On devait utiliser les renseignements afin de sélectionner les membres d'équipage se rendant aux États-Unis. Afin de satisfaire les exigences énoncées dans la loi américaine, la compagnie a recueilli et photocopié des passeports, des cartes d'employé et des cartes délivrées par le « ministère des Transports » (TC). Même si les trois cartes d'identité étaient représentées comme une « exigence » de l'observation de l'ATS Act, les renseignements inscrits dans le passeport auraient été suffisants pour satisfaire l'exigence d'information énoncée dans la loi elle-même.

Le plaignant s'est demandé si la collecte des cartes d'employé et des cartes émises par TC avait été nécessaire aux besoins énoncés. Il a également mis en question les méthodes de collecte, laissant entendre que la compagnie aérienne, dans sa hâte, aurait négligé de mettre en place des mesures de protection adéquates des renseignements personnels. Il était particulièrement préoccupé par le fait que la collecte n'avait pas été effectuée par un employé du bureau, mais plutôt par un collègue membre d'équipage, que les documents personnels avaient été photocopiés et compilés dans un endroit trop public et que les photocopies inutilisées avaient été laissées dans la poubelle.

La compagnie aérienne a expliqué qu'elle avait besoin de recueillir les cartes d'employé précisément pour les fins pour lesquelles les cartes existaient, soit pour identifier les personnes comme employés à l'occasion de la collecte. Ce ne sont donc pas les autorités américaines qui ont exigé les renseignements personnels pour ces cartes, mais c'est plutôt la compagnie aérienne elle-même, et ce, afin de confirmer que les personnes étaient des employés de bonne foi qui se qualifiaient pour la collecte de première main et pour la sélection subséquente exigée par la nouvelle loi américaine. Pour ce qui est des cartes émises par TC, dont le but particulier consiste à accorder l'accès à certains endroits, la compagnie a reconnu que ces documents avaient été recherchés pour des fins administratives distinctes, qui n'ont aucun rapport avec les exigences de la ATS Act.

Compte tenu du caractère urgent et du délai relativement court accordé pour la collecte, la compagnie aérienne a fait appel aux services du personnel disponible au centre de communication, où la collecte a eu lieu. Certains de ces employés étaient des membres d'équipage au sol, affectés temporairement au centre pour cause de grossesse ou de handicap. La compagnie aérienne a considéré que ces employés affectés à la collecte étaient pleinement qualifiés, en ce sens que tous les employés, lors de leur embauche, doivent lire et signer une disposition sur la confidentialité des renseignements personnels.

Le centre de communications lui-même a été considéré comme inaccessible aux personnes non autorisées et un endroit raisonnablement sûr pour la collecte et l'entreposage de renseignements personnels. Toutefois, les allégations selon lesquelles des photocopies de piètre qualité se sont retrouvées à la poubelle se sont avérées exactes. Si l'on admet qu'une telle pratique était inacceptable, la compagnie aérienne a accepté d'acheter des machines servant à détruire les documents pour les copies inutilisées à l'avenir. La compagnie a également entrepris d'apporter plusieurs autres améliorations à ses méthodes.

Conclusions du commissaire

Rendues le 4 mars 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à tous les ouvrages, entreprises et secteurs d'activités fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une banque est une entreprise fédérale selon la définition de la Loi.

Application : Le principe 4.2 établit que les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l'organisation avant la collecte ou au moment de celle-ci. Le principe 4.4 énonce que l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite. Le principe 4.7 établit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Selon le paragraphe 5(3), l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Sur le premier chef de plainte, le commissaire a délibéré comme suit :

  • la photocopie des passeports des membres d'équipage était conforme aux fins énoncées pour la collecte, soit l'observation de la ATS Act. Toutefois, pour déterminer si l'on peut dire la même chose pour les cartes d'employé et les cartes émises par TC, il faut examiner les fins ordinaires de chacun;
  • l'usage normal de la carte d'employé consiste à identifier une personne comme étant un employé de la compagnie aérienne lorsqu'une telle identification est justifiée. Compte tenu des répercussions graves sur le plan de la sécurité, l'identification de l'employé était de toute évidence justifiée dans les circonstances de la collecte. Aucun membre d'équipage n'aurait dû être surpris ou offensé qu'on lui demande de vérifier son lien avec la compagnie lors d'une initiative d'une telle importance prise par la compagnie;
  • plus encore, même si la carte d'employé n'était pas spécifiquement requise pour l'observation de la loi américaine, on peut comprendre que la compagnie aérienne elle-même ait considéré l'identification de l'employé comme un élément intégral de l'exercice général de conformité, et, ainsi, elle a représenté ce besoin en conséquence;
  • en résumé, une personne raisonnable aurait considéré la collecte des cartes d'employé comme conforme et appropriée aux fins énoncées dans les circonstances;
  • par contre, la compagnie aérienne a admis avoir photocopié les cartes émises par TC pour d'autres motifs internes non précisés. Sans explication particulière de ces motifs, un membre d'équipage habitué à présenter sa carte selon l'usage normal peut très bien s'être demandé quel rapport cette demande avait avec l'exigence en matière de renseignements imposée par les Américains et si la collecte était légitime;
  • le but de la collecte des cartes émises par TC aurait dû être précisé pour ce qu'il était. Dans les circonstances actuelles, alors que le but était tout autre, une personne raisonnable n'aurait pas estimé acceptable la collecte de ces cartes.

Le commissaire a donc conclu que, pour ce qui est des cartes émises par TC, la compagnie aérienne ne s'était pas conformée aux principes 4.2 et 4.4 et au paragraphe 5(3).

Sur le deuxième chef, même s'il était convaincu que, dans l'ensemble, la compagnie aérienne disposait de mesures de protection adéquates en place pour les renseignements personnels recueillis, le commissaire a déterminé que l'élimination des photocopies inutilisées dans une poubelle représentait une exception inexcusable. Il a précisé qu'il s'agissait une pratique inacceptable en vertu de la Loi parce qu'elle représentait des risques graves de communication de renseignements personnels de nature délicate à des tiers non autorisés. En se fondant sur cette exception, le commissaire a conclu que la compagnie aérienne contrevenait au principe 4.7.

Il a conclu que la plainte était fondée.

Autres considérations

En terminant, le commissaire a fait remarquer qu'il était heureux des améliorations apportées par la compagnie aérienne à ses méthodes de collecte et de protection des renseignements personnels concernant les employés.

Date de modification :