Communication présumée de renseignements personnels sans consentement, à des fins commerciales secondaires, par la société de télécommunications « A »

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-244

[Principes 4.3, 4.2.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1]

Plainte

Une personne se plaint qu'une société de télécommunications recueille, utilise et communique des renseignements personnels sans le consentement des clients visés, à des fins commerciales secondaires.

Plus précisément, selon le plaignant, la société en question n'informe pas ses clients qu'elle a l'habitude d'échanger des renseignements à des fins commerciales secondaires avec des entreprises affiliées. Elle n'indique pas clairement à ses clients comment les renseignements échangés à leur propos peuvent être utilisés par d'autres entreprises et elle ne donne pas l'occasion de refuser de telles utilisations et communications des renseignements qui les concernent.

En quelques mots, la position du plaignant se résume comme suit :

  • Il convient de toujours informer les clients et d'obtenir leur consentement avant de communiquer des renseignements à des fins commerciales secondaires.
  • Les entreprises et les clients potentiels ne partagent pas les mêmes vues quant au consentement qu'il convient d'obtenir.
  • Les entreprises devraient non seulement indiquer par écrit, dans leurs politiques, les motifs des échanges de renseignements personnels, mais également porter cette pratique à l'attention de chaque client et lui donner la possibilité de s'y soustraire.
  • Les entreprises ne respectent pas cette obligation à plusieurs égards :
    1. Elles se fondent sur un document qui n'est pas fourni au client et l'obligent ainsi à trouver lui-même ce document.
    2. Elles enfouissent l'information en petits caractères dans de longs documents.
    3. Elles n'ont pas recours à un style simple et clair pouvant être compris d'une personne ordinaire.
    4. Elles n'indiquent pas au client de façon suffisamment détaillée dans quelle mesure et à quelles fins les renseignements personnels échangés pourraient être utilisés par d'autres entreprises.
    5. Elles n'offrent pas au client de marche à suivre simple de refus de toute communication.

Résumé de l'enquête

L'enquête, qui a porté sur les documents et les mécanismes que la société de télécommunications utilise pour porter à l'attention de ses clients sa politique et ses pratiques concernant les renseignements personnels, a permis de constater ce qui suit :

  • La société de télécommunications a, relativement à la confidentialité, un code de conduite et une politique qui sont facilement accessibles dans son site Web.
  • Ce code et cette politique exposent en détail les motifs pour lesquels les renseignements personnels peuvent être recueillis, utilisés et communiqués, motifs qui comprennent notamment la commercialisation d'autres produits et services. Ils indiquent que le client a le droit de refuser que les renseignements personnels qui le concernent soient utilisés ou communiqués à ces fins.
  • Toutefois, au moment où les nouveaux clients de la société demandent ses services pour la première fois, son personnel n'est pas tenu de leur faire prendre connaissance de sa politique relative à la confidentialité ou des conditions rattachées aux services qu'elle offre. Elle leur distribue un livret de bienvenue et un mode d'emploi, qui contiennent tous les deux de l'information sur ses pratiques relativement à la confidentialité, mais ceux-ci n'ont pas de table des matières. Donc, à moins que le client ne les lise attentivement d'un bout à l'autre, il risque de ne jamais voir les passages sur la confidentialité.

La société de télécommunications estime pour sa part que sa politique et son code de conduite relativement à la confidentialité suffisent pour que le client consente ou non en toute connaissance de cause à ce que des renseignements personnels à son sujet soient recueillis, utilisés et communiqués. Elle estime qu'en demandant à son personnel de prendre le temps de parler de la confidentialité, elle gênerait les clients, qui veulent pouvoir passer des commander facilement et rapidement.

Conclusions

Rendues le 7 novembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. La commissaire adjointe à la protection de la vie privée a compétence dans ce cas parce que les sociétés de télécommunications sont des entreprises fédérales aux termes de la Loi.

Application : Le principe 4.2.3 stipule qu'on devrait préciser à la personne auprès de laquelle on recueille des renseignements, avant la collecte ou au moment de celle-ci, les fins auxquelles ils sont destinés. Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. De plus, pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.4 stipule que la forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Le principe 4.3.5 stipule que, dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.

La commissaire adjointe est d'avis que les attentes du client décrites dans sa plainte sont raisonnables et conformes à la Loi.

La commissaire adjointe constate par ailleurs que la société de télécommunications ne fait pas tous les efforts raisonnables qu'elle devrait pour faire connaître à ses clients les motifs pour lesquels elle recueille des renseignements personnels. Même si le livret de bienvenue et le mode d'emploi abordent les pratiques de la société concernant la confidentialité, aucun index ne permet de retrouver rapidement cette information. Le nouveau client est susceptible de ne pas la trouver. Au moment de l'achat des services, les vendeurs n'attirent pas l'attention des nouveaux clients sur les pratiques de leur société de télécommunications relativement à la confidentialité. Cependant, la commissaire adjointe constate que la société ne communique aucun renseignement personnel sensible pour des motifs secondaires de commercialisation. La formule du refus de consentement retenue par la société pour les clients qui ne souhaitent pas que les renseignements personnels à leur sujet soient utilisés est donc tout à fait appropriée.

Les politiques et les pratiques de la société figurent sur son site Web. Selon la commissaire adjointe, l'information en question est claire. De plus, elle se trouve dans un format légèrement différent, dans le livret de bienvenue et le mode d'emploi distribués à tous les nouveaux clients mais sans qu'on n'attire leur attention à ce sujet. Et comme ces documents ne contiennent aucun index, l'information relative à la confidentialité est difficile à localiser.

En fin de compte, la commissaire adjointe estime que les pratiques de la société de télécommunications relativement à la confidentialité ne tiennent pas compte des attentes raisonnables de ses clients, comme l'exige le principe 4.3.5 de l'annexe 1 de la Loi et qu'elle contrevient aussi aux principes 4.2.3, 4.3.2 et 4.3.5 de la Loi, ainsi qu'au principe 4.3.

Par conséquent, la commissaire adjointe conclut que la plainte contre la société de télécommunications A est fondée.

Autres considérations

La commissaire adjointe demande à la société de télécommunications de porter à l'attention de ses clients, au moment de prendre leur abonnement ou leur commande et d'enregistrer des renseignements personnels, les motifs dûment énoncés dans ses politiques pour lesquels ces renseignements sont recueillis ainsi que les choix qui s'offrent aux clients en ce qui concerne leur utilisation.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :