L'envoi collectif d'un message entraîne la communication des adresses électroniques des participants à un concours

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2004-277

(Principes 4.3 et 4.7.1 de l'annexe 1)

Plainte

Onze membres d'un programme de fidélisation se sont plaints que la compagnie qui est responsable du programme n'a pas pris les mesures nécessaires pour protéger des renseignements personnels les concernant et, ce faisant, s'est trouvée à les communiquer à d'autres membres.

Résumé de l’enquête

Les plaignants ont participé à un concours de photographie commandité par l'entreprise. Lorsqu'ils ont reçu un courriel de celle-ci au sujet du concours - un courriel qui a été envoyé aux 618 participants, également membres du programme -, ils ont remarqué que leur adresse figurait dans le champ « À » et que, par conséquent, toutes les personnes ayant reçu le message avaient pu la voir.

La compagnie n'a pas contesté les allégations. Elle a indiqué que le sous-traitant, chargé de diffuser le message au nom de l'entreprise, a commis une erreur au moment de l'envoi. Le sous-traitant a eu recours à une application qui permet à l'utilisateur de créer un nom de courriel propre à un groupe et d'entrer, par la suite, les adresses électroniques individuelles des membres du groupe à des fins de distribution de messages à ces derniers en toute confidentialité.

La personne qui a préparé le courriel collectif n'avait jamais utilisé cette application. Il l'a testée à l'interne avant d'envoyer le message. Il a créé un groupe et enregistré les 618 adresses. Lorsqu'il a entré le nom du groupe dans le champ « À » pendant les essais, seul le nom du groupe est apparu. Toutes les adresses électroniques des membres étaient demeurées confidentielles.

Notre bureau et la même personne ont testé l'application, créant un groupe et entrant quelques adresses électroniques. Lors de l'envoi du courriel, seul le nom du groupe figurait et non les adresses individuelles. L'application aurait bien fonctionné pendant cet essai.

Le sous-traitant travaillait pour la compagnie depuis un certain nombre d'années; cependant, au moment de l'incident, aucune entente contractuelle officielle n'était en vigueur. L'entreprise a indiqué que le sous-traitant était bien au fait de sa politique de protection de la vie privée et qu'il lui avait fourni un certificat de conformité attestant sa capacité de respecter les normes de l'entreprise en matière de protection des renseignements personnels.

À la suite de l'incident, la compagnie a pris des mesures pour corriger la situation :

  • Elle a envoyé une lettre d'excuse aux membres touchés.
  • Elle a informé le sous-traitant qu'il ne serait plus autorisé à envoyer des communications collectives par voie électronique au nom de l'entreprise jusqu'à nouvel ordre.
  • Les employés de l'entreprise ont été mis au courant de la situation et ont reçu l'information dont ils avaient besoin pour répondre aux demandes de renseignements des clients ou des médias.

Conclusions

rendues le 2 septembre 2004

Application  : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il soit inapproprié de le faire . Q uant au principe 4.7.1, il énonce que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

La compagnie a reconnu que le sous-traitant avait, en son nom, envoyé par erreur un courriel à 618 membres qui ont pu voir les adresses des membres qui ont reçu le message. Même si la commissaire adjointe à la protection de la vie privée était convaincue que l'entreprise était dotée d'une politique de protection de la vie privée et qu'elle était déterminée à la respecter, tout comme l'était son sous-traitant, il n'en demeurait pas moins que des renseignements personnels des plaignants ont été communiqués à leur insu et sans leur consentement, ce qui va à l'encontre du principe 4.3.

Bien que l'enquête ait établi que le sous-traitant avait mis en place les mesures appropriées (l'application permettait d'assurer la confidentialité des adresses), il semblerait que ce soit l'employé qui n'ait pas utilisé correctement le logiciel ou que ce dernier n'a pas fonctionné comme il aurait dû. La commissaire adjointe a, par conséquent, conclu que l'entreprise ne s'était pas conformée aux exigences du principe 4.7.1.

Elle a conclu que les plaintes étaient fondées.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :