Une compagnie utilise le NAS à des fins d'identification

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-146

[Article 2; principe 4.5 de l'annexe 1]

Plainte

Un employé d'une centrale nucléaire s'est plaint que son employeur utilisait son numéro d'assurance sociale (NAS) pour une fin à laquelle il n'avait pas consenti.

Résumé de l'enquête

À l'occasion d'une transaction commerciale avec une autre organisation, l'employeur a acquis un instrument Web qui permet aux employés de voir leur information personnelle liée à l'emploi sur le service intranet de la compagnie. Pour accéder à la partie du système contenant l'information relative à sa paie et à son compte bancaire, un employé doit entrer les quatre derniers chiffres de son NAS. Il n'a toutefois pas été nécessaire de charger les NAS séparément pour les besoins du système. En effet, le système invite plutôt l'employé à entrer les quatre derniers chiffres de son NAS, puis recherche ce nombre sur la liste de paie (où le NAS est déjà inscrit aux fins de l'impôt) pour le valider.

Le plaignant a essayé d'obtenir que l'employeur cesse d'utiliser le NAS comme mot de passe, mais en vain. La position du plaignant est qu'il a fourni son NAS seulement aux fins de l'impôt et du Régime de pensions du Canada, et non pour utilisation comme mot de passe.

Au début, la compagnie croyait avoir acquis seulement le droit d'utiliser le système, mais non celui de le modifier ou de le corriger. Elle avait depuis compris qu'elle pouvait modifier le système en ce qui concerne l'utilisation des quatre derniers chiffres du NAS comme mot de passe, et elle s'était entendue avec le plaignant et son syndicat pour apporter la modification demandée. Cependant, cela n'était pas encore chose faite et la question était toujours l'objet de discussions.

En dépit de cela, la position de la compagnie était que l'utilisation des quatre derniers chiffres du NAS ne compromettait aucunement la sécurité des renseignements personnels de l'employé. La compagnie estimait, en outre, que ce nombre ne pourrait pas servir d'identificateur personnel menant à d'autres renseignements personnels concernant l'individu, ni servir à trouver les cinq premiers chiffres pour compléter le NAS.

Conclusions du commissaire

Rendues le 7 avril 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, ouvrage, entreprise ou secteur d'activité fédéral. Le commissaire avait compétence dans cette cause, puisqu'une centrale nucléaire est considérée comme une installation, ouvrage, entreprise ou secteur d'activité fédéral.

Application : L'article 2 définit « renseignement personnel » comme étant « tout renseignement concernant un individu identifiable... ». Le principe 4.5 établit que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige.

Comme le NAS est clairement un renseignement personnel concernant un individu identifiable, le commissaire a déterminé que quatre chiffres du NAS constituent également un renseignement personnel pour l'application de la Loi. Il a également jugé que l'assertion de la compagnie voulant que l'utilisation de ces quatre chiffres ne compromette aucunement la sécurité des renseignements personnels de l'employé n'était pas pertinente. Car, à son avis, le point en litige dans ce cas est le consentement.

Comme la compagnie avait d'abord recueilli le NAS aux fins de l'impôt sur le revenu et du Régime de pensions du Canada, le commissaire a déterminé qu'elle utilisait le NAS de ses employés à une nouvelle fin, à savoir l'identification, sans avoir obtenu leur autorisation à cet effet. Il a donc conclu que l'employeur utilisait des renseignements personnels concernant ses employés, sans qu'ils y aient consenti, pour une fin autre que celles auxquelles ces renseignements ont été recueillis, en contravention du principe 4.5.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire a recommandé que la compagnie cesse d'exiger que ses employés se servent des quatre derniers chiffres de leur NAS comme mot de passe.

Date de modification :