La demande d'accès à des renseignements personnels d'un ancien employé subit des retards

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-201

[Principes 4.1.4 et 4.9; paragraphes 8(3), 8(4) et 8(5)]

Plainte

Un ancien employé de banque s'est plaint lorsque son ex-employeur n'a pas donné suite à sa demande d'accès à des renseignements personnels.

Résumé de l'enquête

La réponse initiale de la banque à la demande écrite d'accès à des renseignements personnels du plaignant a été de le diriger vers sa succursale locale. Elle ne le reconnaissait pas comme un ex-employé, malgré la référence dans sa demande concernant son dossier personnel. Il n'a reçu aucun renseignement personnel.

Un échange de lettres s'en est suivi entre le plaignant et la banque. À la demande de la banque pour des précisions, le plaignant a fourni des renseignements supplémentaires. Environ sept semaines après la demande initiale du plaignant, la banque a avisé celui-ci qu'elle avait besoin d'un délai supplémentaire de 30 jours pour traiter sa demande. Puis, elle lui a ensuite fait parvenir à deux reprises des parties de l'information le concernant, soit 10 jours et deux semaines après le délai.

Pour répondre aux préoccupations du plaignant selon lesquelles certains des documents étaient illisibles, de qualité médiocre, incomplets et de nature sélective, la banque lui a envoyé de nouvelles copies des documents. En outre, la banque a trouvé des renseignements supplémentaires qu'elle lui a acheminés.

La banque a expliqué que les retards initiaux avaient été causés par son besoin de clarifier si le plaignant cherchait des renseignements relatifs aux clients ou aux employés. Une fois cette information reçue du plaignant et compte tenu des circonstances, elle juge avoir répondu à sa demande le plus rapidement possible.

Conclusions du commissaire

Rendues le 1^er août 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Cette plainte était du ressort du commissaire, puisqu'une banque est considérée comme une entreprise fédérale au sens de la Loi.

Application : Le principe 4.9 stipule qu'une organisation doit informer toute personne qui en fait la demande de l'existence de documents personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqué à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'intégralité des renseignements et d'y faire apporter les corrections appropriées. Le paragraphe 8(3) établit que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception.

Le paragraphe 8(4) établit qu'une organisation peut proroger le délai de traitement

1. d'une période maximale de 30 jours dans les cas où :
   1. l'observation du délai entraverait gravement l'activité de l'organisation;
   2. toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible le respect du délai;
2. de la période nécessaire au transfert des renseignements visés sur support de substitution.

Dans l'un ou l'autre cas, l'organisation fera parvenir au demandeur, dans les trente jours suivant la demande, un avis de prorogation l'informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissionnaire une plainte à propos de la prorogation.

Le paragraphe 8(5) établit que, faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande.

Le principle 4.1.4 établit que les organisations doivent assurer la mise en ouvre des politiques et des pratiques destinées à donner suite aux principes, y compris ce qui suit :

1. la mise en ouvre de procédures pour protéger les renseignements personnels;
2. la mise en place de procédures pour recevoir les plaintes et les demandes de renseignements, et y donner suite;
3. la formation du personnel et la transmission à celui-ci de l'information relative aux politiques et pratiques de l'organisation;
4. la rédaction de documents explicatifs concernant les politiques et les procédures de l'organisation.

La banque avait déjà excédé le délai de 30 jours lorsqu'elle a avisé le plaignant qu'elle avait besoin d'un autre délai de 30 jours pour traiter sa demande, délai qu'elle n'as pas respecté non plus. Elle a finalement fourni sur une période de plusieurs mois les renseignements auxquels le plaignant avait droit. Par conséquent, le commissaire a conclu que la banque ne s'était pas conformée aux obligations stipulées au 8(3) ou 8(4), et était donc réputée, en vertu du paragraphe 8(5), avoir refusé d'acquiescer à la demande, contrairement au principe 4.9. Le commissaire a toutefois établi qu'en vertu des résultats de l'enquête, le plaignant avait reçu tous les renseignements personnels auxquels il avait droit.

Bien que la banque ait soutenu que la demande nécessitait de nombreuses clarifications de la part du plaignant, l'enquête a révélé que le traitement de cette demande avait eu des problèmes depuis le début. Le processus de recherche comportait des lacunes en raison d'un manque de procédures formelles dans l'ensemble des services et des succursales de la banque. Par conséquent, le commissaire a conclu que la banque n'avait pas respecté toutes ses obligations en vertu du principe 4.1.4.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire a recommandé que la banque apporte des améliorations à sa procédure de traitement de demandes d'accès. Il l'a incitée à élaborer des politiques et des pratiques formelles qui seraient appliquées par l'ensemble des services et des succursales lorsqu'ils répondent à des demandes d'accès et effectuent des recherches pour des dossiers. De telles politiques et pratiques, a-t-il conseillé, doivent également être communiquées au personnel.