Une entreprise de gestion immobilière améliore sa politique de protection de la vie privée

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-301

(Principes 4.1, 4.1.2, 4.1.4 et 4.8)

Plainte

Une personne soutient que l'entreprise de gestion immobilière qui chapeaute la société de condominium à laquelle elle appartient ne lui a pas fourni de renseignements concernant sa politique de protection de la vie privée ni le nom de son responsable de la protection de la vie privée, ce qui est contraire aux dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).

Résumé de l'enquête

En février 2004, le plaignant a demandé aux responsables de l'entreprise de gestion immobilière de lui préciser les mesures et les procédures qu'ils avaient, eux-mêmes ou la société de condominium, mis en place pour assurer le respect de la Loi. On a alors répondu au plaignant que les renseignements personnels étaient protégés par la direction et que le conseil d'administration du condominium respectait entièrement la Loi. Insatisfait de cette réponse, le plaignant s'est adressé au Commissariat.

L'entreprise de gestion immobilière a remis au Commissariat un exemplaire d'une déclaration sur la protection des renseignements personnels datée du 2 janvier 2004. Celle-ci donnait un bref aperçu de la Loi, les raisons pour lesquelles l'entreprise et le conseil d'administration du condominium recueillaient des renseignements personnels, quels renseignements étaient recueillis, ainsi qu'une déclaration générale sur l'usage de ces renseignements et la sécurité. Le document indiquait également le nom de la personne responsable du respect de la Loi.

Cependant, la politique n'a pas été remise aux résidents immédiatement puisqu'elle n'avait pas encore été approuvée par le conseil d'administration du condominium. Après son adoption au printemps, une déclaration non datée a été remise aux résidents. Il s'agissait sensiblement de la même version que celle rédigée en janvier, mais le nom du responsable de la protection des renseignements personnels n'y figurait pas.

Le Commissariat a fait de nombreuses propositions en vue d'améliorer la politique. L'entreprise devait indiquer qu'elle recueillait des données financières et faire état des principes relatifs au consentement, à l'exactitude, à l'accès et à la possibilité de porter plainte à l'égard du non-respect des principes, conformément à l'annexe 1. L'entreprise a modifié sa politique en conséquence et en a remis une nouvelle version aux résidents à l'automne 2004.

Conclusions

Rendues le 22 mars 2005

Application : Le principe 4.1 précise qu'une organisation doit désigner une personne qui devra assurer le respect des principes énoncés à l'annexe 1 de la Loi; le principe 4.1.2 stipule qu'il doit être possible de connaître sur demande l'identité de cette personne; par ailleurs, le principe 4.1.4 précise qu'une organisation doit assurer la mise en oeuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la mise en oeuvre de procédures pour protéger les renseignements personnels, la mise en place de procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite, et la rédaction de documents explicatifs concernant les politiques et les procédures de l'organisation; enfin, le principe 4.8 indique qu'une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Dans le but de tirer ses conclusions, la commissaire adjointe à la protection de la vie privée a délibéré de la manière suivante :

  • Il est évident que la réponse donnée initialement au plaignant à la suite de sa demande d'information concernant les politiques et les procédures mises en place par l'entreprise et le conseil d'administration du condominium pour assurer le respect de la Loi était insatisfaisante. La commissaire adjointe a estimé que la déclaration était imprécise et a noté qu'on n'avait pas donné le nom de la personne à laquelle le plaignant pouvait faire part de ses préoccupations.
  • L'entreprise de gestion immobilière a admis qu'elle n'avait pas de politique au 1er janvier 2004, ni en février 2004 lors de la demande du plaignant. De même, quand la politique a été enfin distribuée aux résidents en avril 2004, elle ne contenait pas le nom de la personne responsable d'assurer le respect de la protection de la vie privée au sein de l'entreprise.
  • Dans l'ensemble, la commissaire adjointe a trouvé que l'entreprise ne respectait pas les principes de responsabilité et de transparence énoncés à l'annexe 1 de la Loi.
  • Cependant, en raison de la participation du Commissariat dans cette affaire, l'entreprise a fait des démarches pour améliorer sa politique et a distribué un énoncé de politique daté aux résidents dans lequel figurait le nom de la personne responsable.

Comme la commissaire adjointe était satisfaite des mesures adoptées par l'entreprise, elle a conclu que la plainte était résolue.

Date de modification :