Un ancien employeur a changé les renseignements relatifs à un membre du programme pour voyageurs fréquents d’Air Canada

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-292

(Principes 4.3, 4.7, 4.7.1, 4.10.3 et 4.10.4 de l’annexe 1)

Plainte

Une personne s’est plainte qu’Air Canada, qui à l?époque possédait et exécutait le programme Aéroplan, a communiqué ses renseignements personnels à son insu et sans son consentement. Elle a soutenu que son ancien employeur avait pu accéder à son compte personnel Aéroplan et y apporter des changements.

Il a fallu environ deux ans pour mener cette enquête à terme. Des interrogatoires étaient planifiés, mais n’ont pus avoir lieu parce qu’une avocate de la société voulait être présente (à ce stade, le plaignant avait intenté une poursuite civile) et qu’elle n?était pas disponible au moment prévu.

Peu de temps après, la Cour supérieure de justice de l’Ontario (Division commerciale) a émis une ordonnance qui suspendait toutes les instances contre Air Canada pour lui permettre d’obtenir une protection temporaire pendant que la restructuration de la société. Cette dernière a soutenu qu’aucune enquête ne pouvait avoir lieu avant que la protection de la loi sur la faillite ne prenne fin. Le Commissariat à la protection de la vie privée du Canada a demandé des explications à ce sujet à M. le juge Farley de la Cour supérieure de l’Ontario. Bien qu’il ait reconnu que l’ordonnance de suspension s’appliquait au Commissariat, il a également demandé avec insistance à Air Canada de travailler avec le Commissariat pour régler les plaintes. Air Canada a maintenu sa position, c’est-à-dire que cette enquête particulière ne pouvait pas avoir lieu – malgré le fait que le Commissariat ait pu régler toutes les autres plaintes contre Air Canada avant celle-ci. La société a déclaré qu’elle avait besoin de la participation de l’avocate et qu’elle n?était pas disponible à cause de la restructuration.

L’enquête a finalement été reprise à l’automne 2004 après que la protection de la loi sur la faillite eut pris fin.

Note : Pendant l’enquête sur cette plainte, le programme Aéroplan est devenu une personne morale distincte. La responsabilité des événements décrits dans cette plainte, de la réponse de l’organisme et des retards qu’a connus le Commissariat incombe à Air Canada, et non à Aéroplan.

Résumé de l'enquête

Le plaignant voyageait souvent alors qu’il travaillait pour son ancien employeur. L’agence de voyage à laquelle l’employeur avait recours avait son numéro Aéroplan dans son dossier. Au moment où l’incident en question a eu lieu, le plaignant ne travaillait plus pour la société.

Un jour, le plaignant a reçu par la poste un double de son relevé Aéroplan. Comme il ne l’avait pas demandé, il a communiqué avec Air Canada pour déterminer pourquoi on lui avait envoyé un double de son relevé. L’agent l’a informé que ce relevé avait été demandé et que le coût de production d’un relevé supplémentaire avait été porté à une carte de crédit. Toutefois, le numéro de carte de crédit ne correspondait pas à celui du plaignant. L’agent l’a informé que quelqu’un avait appelé la société la semaine précédente et avait demandé des renseignements sur ses voyages. La même personne avait également demandé et payé une copie du relevé du plaignant et avait remplacé l’adresse électronique sur son compte Aéroplan par celle de l’ancien employeur.

Le plaignant a ensuite parlé à un agent principal, qui lui a fourni le numéro du service de sécurité d’Air Canada. L’agent principal a réinscrit l’adresse électronique du plaignant et lui a suggéré d’ajouter un mot de passe pour protéger ses renseignements contre un accès non autorisé.

Le plaignant a parlé au service de sécurité et a expliqué qu’il soupçonnait une fraude. On lui a expliqué qu’il pouvait déposer par écrit une plainte au bureau de la sécurité, ce qu’il a fait. On lui a également suggéré de communiquer avec la police, une démarche qu’il a également faite. Au terme de l’enquête policière, on a conclu qu’on ne pouvait pas accuser l’ancien employeur du plaignant d’une infraction criminelle parce qu’il n’avait ni tenté de cacher son identité ni tenté de prendre celle du plaignant. Le plaignant a de nouveau communiqué avec le service de sécurité d’Air Canada et lui a fait part des conclusions du service de police. Selon le plaignant, Air Canada n’a pris aucune autre mesure.

Un différend opposait le plaignant et son ancien employeur. L’ancien employeur a cependant reconnu sans hésitation qu’il avait obtenu de l’information sur les itinéraires de voyage du plaignant à partir du système d’information téléphonique automatisé d’Aéroplan et qu’il avait pu le faire parce qu’aucun numéro d’identification personnel n?était nécessaire. Il nous a dit qu’il avait également appelé Air Canada, parlé à un agent, demandé une copie du relevé du plaignant et donné son numéro de carte de crédit. Il a indiqué que la société devait lui envoyer la copie par courrier électronique, mais qu’il n’avait jamais reçu le relevé. Cependant, le coût avait été porté à son compte de carte de crédit. D’après son souvenir, il n’a pas eu besoin de mot de passe, ni pour utiliser le système à distance ni pour parler à l’agent.

Le Commissariat a déterminé qu’au moment de l’incident, il était possible, par le biais du service téléphonique automatisé, d’obtenir des renseignements de voyage sur les cinq dernières opérations de voyage Aéroplan des titulaires de compte. Il était toutefois impossible de changer une adresse électronique ou de commander des copies de relevé sans parler à un agent. En parlant à un agent, ce dernier était censé demander à l’appelant de confirmer d’autres renseignements sur le dossier de compte ou, si le compte était protégé par un mot de passe, de demander le mot de passe pour authentifier l’appelant.

Air Canada a déclaré qu’un mot de passe protégeait à l?époque le compte du plaignant. Le plaignant ne se souvenait pas s’il en avait un. Cependant, il a déclaré que si tel était le cas, le mot de passe aurait été sa date de naissance – une information que son ancien employeur pouvait obtenir. Le Commissariat n’a pas pu déterminer si le plaignant avait un mot de passe à l?époque.

Actuellement, lorsqu’un client appelle le système automatisé, il n’a accès qu?à son nom, le nombre de milles récemment crédité au compte et le solde du compte. Cette information n’est pas protégée par un mot de passe. Le système automatisé indique que pour des raisons de confidentialité, il « ne fournit plus les renseignements suivants : villes de départ et de destination pour les crédits de vols ».

Nous avons examiné les relevés d’opération informatisés se rapportant à l?époque pertinente. Les notes à l?écran effectuées par l’agente principale confirmaient que l’adresse électronique avait été remplacée par celle de l’ancien employeur. Des frais de 10,70 $ ont été payés par carte de crédit pour régler le coût d’un relevé supplémentaire.

Le Commissariat a parlé à l’agente qui a apporté les changements au compte du plaignant, mais elle ne se souvenait pas de l’incident. Lorsqu’on l’a interrogée sur la formation en matière de protection de la vie privée, elle ne se souvenait pas d’avoir reçu de formation particulière. Notre enquête a établi qu’une personne qui appelle peut fournir, aux fins de paiement, un numéro de carte de crédit à n’importe quel nom; cependant, il incombe à l’agent de s’assurer qu’il a réellement affaire au titulaire de compte et ce dernier peut poser des questions si le compte de carte de crédit est à un nom différent. Lorsqu’on lui a demandé ce qui se passait lorsqu’il s’agissait de changer les renseignements associés à un compte si le nom et le numéro indiqué pour un paiement par carte de crédit étaient différents de ceux inscrits dans le dossier, elle a répondu qu’un « déclic se produisait », mais qu’elle ne se souvenait pas de cas où cela lui était arrivé.

Nous avons déterminé qu’aucun nom de titulaire de carte de crédit n’avait à être inscrit au dossier à cette époque. La facturation était imputée au numéro de carte. En cas de problème d’acceptation de la carte, les coûts étaient portés au compte et le membre ne pouvait plus utiliser les milles accordés avant que le montant ne soit réglé. Le plaignant a confirmé que le numéro de carte de crédit en question n?était pas le sien et que son compte n’avait pas été débité pour défaut de paiement.

Nous avons également interrogé la surveillante principale et elle a confirmé avoir examiné le compte du plaignant. Elle a remarqué qu’une entrée dans le compte du plaignant montrait que l’adresse électronique avait été remplacée par celle de l’ancien employeur, qui voulait qu’on lui envoie une copie du relevé. Étant donné qu’Air Canada ne disposait pas à l?époque de la technologie pour le faire, la société a posté le relevé à l’adresse municipale indiquée dans le dossier.

La surveillante principale a indiqué que les changements apportés au compte du plaignant n?étaient pas considérés comme une procédure normale. Elle a signalé l’incident au groupe de sécurité et a parlé à l’agente en question. La surveillance principale a déclaré qu’elle a rappelé à l’agente de ne pas changer l’information des membres si ce n’est pas le membre lui-même qui appelle. Elle a également fait un suivi pour s’assurer que le nouveau mot de passe du plaignant était inscrit au dossier et qu’on ne pouvait pas y accéder sans ce mot de passe.

La surveillante principale a déclaré qu’elle avait suivi une formation sur la protection de la vie privée et qu’elle recevait régulièrement des mises à jour sur les questions de protection de la vie privée.

Nous avons également parlé au responsable de la sécurité à Air Canada qui était chargé de l’affaire. Il a confirmé avoir suggéré au plaignant de communiquer avec la police étant donné que le plaignant avait l’impression qu’une infraction criminelle avait été commise. Après que le plaignant l’a informé des conclusions du service de police, l’agent de la sécurité a déclaré qu’il avait peut-être parlé à la surveillante principale, mais qu’il n’avait jamais pu déterminer qui avait parlé à l’ancien employeur et apporté les changements. Il a déclaré qu’il avait cependant demandé s’il y avait un moyen de le découvrir. Comme nous l’avons indiqué dans notre enquête, la surveillante principale connaissait l’identité de l’agente en question.

Le responsable de la sécurité a confirmé que le plaignant n?était pas entré dans le système. Il a déclaré qu’il pensait qu’aucune mesure n’avait été prise, mais que le compte avait été protégé par un mot de passe. Il a indiqué qu’il avait suivi une formation sur la protection de la vie privée et qu’il recevait des mises à jour périodiques.

Conclusions

Rendues le 6 avril 2005

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 indique que les renseignements personnels doivent être protégés au moyen de mesure de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées. Les organismes doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. Le principe 4.10.3 stipule que les organismes doivent informer les personnes qui demandent des renseignements ou qui déposent une plainte de l’existence de procédures de plainte pertinentes et qu’en vertu du principe 4.10.4, un organisme doit faire enquête sur toutes les plaintes.

La commissaire adjointe à la protection de la vie privée a débuté ses observations en notant qu’elle était dérangée par l’absence de coopération de la part d’Air Canada à propos de cette plainte. Malgré l’insistance de M. le juge Farley, Air Canada a refusé de coopérer lorsque le Commissariat a tenté de faire avancer l’enquête. Par conséquent, le traitement de cette plainte a été exagérément retardé, ce que la commissaire adjointe estime absolument inacceptable.

Ceci étant dit, elle poursuit l’exposé de ses délibérations ainsi :

  • Il apparaît clairement que l’ancien employeur a obtenu des renseignements sur le compte Aéroplan du plaignant d’Air Canada et qu’il a même modifié de l’information, ce qu’il a fait sans changer son identité ni tenter de prendre celle du plaignant.
  • À l?époque de la communication des renseignements, l’utilisation à distance du système permettait à toute personne possédant le numéro de compte d’avoir accès aux cinq dernières opérations effectuées dans le compte. Bien que les détails sur les vols spécifiques aient été retirés du système depuis, l’ancien employeur a pu facilement trouver ces renseignements puisqu’il possédait le numéro de compte du plaignant durant toute la période où le plaignant a travaillé pour lui. La commissaire adjointe, compte tenu du grand nombre de personnes ayant accès aux numéros des membres d’Aéroplan (employeurs, agents de voyage, employés des sociétés faisant partie de la famille Aéroplan), ne croit pas que le fait d’obtenir facilement les renseignements sur les comptes, sans aucune protection, constituait une sécurité appropriée.
  • En ce qui concerne l’agente qui a modifié le compte, il ne semble pas qu’elle ait demandé de renseignements pour confirmer l’identité de l’appelant. L’ancien employeur a donné son nom lorsqu’il a fourni son numéro de carte de crédit, mais le fait qu’elle ne parlait pas au titulaire du compte ne l’a pas intriguée. Elle ne semblait même pas consciente de l’importance de maintenir la confidentialité des renseignements personnels.
  • Dans l’ensemble, la commissaire adjointe a conclu à un clair manque de diligence de la part d’Air Canada concernant la façon dont la société traitait et protégeait les renseignements personnels des clients. La société n’avait pas mis en place de mesures de sécurité applicables à son système d’utilisation à distance et, bien que des mesures appropriées de sécurité aient pu exister lorsqu’un appelant parlait à un agent, l’agente ne les avait pas suivies dans ce cas. En réalité, l’agente n’a pas donné au Commissariat l’impression qu’elle était très préoccupée par l’importance de protéger les renseignements personnels des clients.
  • La mise en place de mesures de sécurité étant inappropriée ou indue, les renseignements personnels du plaignant ont été communiqués à son insu et sans son consentement. Par conséquent, la commissaire adjointe a conclu qu’Air Canada a contrevenu aux principes 4.7, 4.7.1, et 4.3.
  • En ce qui concerne le traitement de la plainte par Air Canada, à part le fait d’avoir conseillé au plaignant de communiquer avec la police, la société ne l’a pas renvoyé aux mécanismes internes de règlement des plaintes en matière de protection de la vie privée, malgré le fait que la société disposait des services d’un agent à la protection de la vie privée et de procédures en la matière. L’enquête du service de police devait se concentrer sur une activité criminelle éventuelle, ce qui ne devait pas empêcher la société d’effectuer une enquête interne pour déterminer ce qui s?était produit en l’occurrence.
  • En ce qui concerne les mesures prises par la société à la suite de cet incident, le système automatisé d’utilisation à distance a depuis été changé. Cependant, la plus grave violation de la vie privée s’est produite lorsque l’agente a parlé à l’ancien employeur. Rien ne prouve qu’un membre de l’organisme a abordé la question avec l’agente à part l’agente principale qui lui a verbalement rappelé de ne pas changer les renseignements relatifs au compte si l’appelant n’est pas le titulaire du compte. La commissaire adjointe a estimé qu’Air Canada n’a jamais satisfait à ses exigences en vertu des principes 4.10.3 et 4.10.4.

La commissaire adjointe a conclu que la plainte était fondée.

Autres considérations

La commissaire adjointe a conclu son rapport par des observations sur les changements apportés au système automatisé. Si une personne ayant accès à un numéro de compte appelle le système, elle devra maintenant posséder le nom du titulaire du compte, le nombre de milles récemment crédités au compte et le solde du compte. Ces renseignements ne sont pas protégés par un mot de passe. Bien que les renseignements sur les vols aient été retirés, la commissaire adjointe reste préoccupée par les questions d’accessibilité aux renseignements qui sont toujours dans le système. De nombreuses personnes ont une carte de crédit affiliée à Aéroplan. Toute personne ayant accès au numéro de compte Aéroplan peut connaître le nombre de milles crédités au compte et combien d’argent a été débité de la carte de crédit du titulaire du compte au cours d’un mois.

Aéroplan est maintenant une personne morale distincte. La commissaire adjointe a donc écrit à Aéroplan pour lui recommander de mettre en place des contrôles du mot de passe protégeant les renseignements des titulaires de compte qui peuvent être obtenus par le biais du système automatisé.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :