Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Une compagnie de télécommunications est accusée de ne pas protéger un compte contre l'accès non autorisé

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-137

[Principe 4.7 de l'annexe 1]

Plainte

Une personne s'est plainte lorsque son ex-conjoint a eu accès à son compte de téléphone cellulaire sur Internet, sans sa permission.

Résumé de l'enquête

Le compte de téléphone cellulaire de la plaignante était protégé par deux mots de passe et contenait une note à l'effet que son mari ne devait pas avoir accès au compte. Elle n'avait jamais utilisé l'Internet pour avoir accès aux renseignements relatifs au compte, préférant plutôt utiliser le téléphone. Cependant, son mari a eu accès à son compte via l'Internet et a imprimé des copies de l'activité du compte. Il avait accès au domicile de la plaignante et elle avait raison de croire qu'il avait lu son relevé de compte et l'avait utilisé pour avoir accès électroniquement à son compte.

La compagnie a confirmé qu'il était possible d'établir l'accès au compte par Internet en se servant des renseignements qui figurent sur le relevé de compte. Le client devrait créer un profil de client, qui exigeait le nom du client, le code postal et soit le numéro d'identification personnelle (NIP) utilisé pour l'accès par téléphone ou le solde du dernier relevé. À l'exception du NIP, que la plaignante n'avait jamais confié à son mari, tous ces renseignements figuraient sur le relevé de compte.

L'enquête a confirmé qu'il était impossible de créer un profil sans avoir les renseignements requis pour confirmer l'identité d'une personne en tant que client. Étant donné que le mari avait accès au domicile de la plaignante, il avait accès à tous les identificateurs personnels requis pour se faire passer pour la plaignante.

Dès qu'elle a été informée de ce qui était arrivé, la compagnie a donné un nouveau compte à la plaignante, qui est protégé et renferme une note à l'effet duquel le mari ne devrait pas avoir accès aux renseignements.

Conclusions du commissaire

Rendues le 6 mars 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tous les ouvrages, entreprises ou secteurs d'activités fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une compagnie de télécommunications est un ouvrage, une entreprise ou un secteur d'activités selon la définition de la Loi.

Application : Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Même si le commissaire était d'avis que le mari avait probablement utilisé le relevé pour avoir accès au compte et qu'une organisation est responsable de la protection des renseignements personnels contre l'accès non autorisé, il ne croyait pas que la compagnie puisse avoir pris des mesures supplémentaires pour prévenir la situation où un mari se faisait passer pour sa femme afin d'avoir accès à son compte. Il était satisfait que, dans des circonstances normales, la seule façon dont l'accès Internet pouvait être établi pour le compte cellulaire était de fournir des renseignements relatifs au compte dont uniquement le client et la compagnie seraient au courant. Par conséquent, il a conclu que la compagnie avait respecté ses obligations en vertu du principe 4.7.

Le commissaire a conclu que la plainte était non fondée.

Date de modification :