Une entreprise de téléphonie sans fil améliore ses mesures de protection dans les cas de rupture entre les titulaires d'un compte conjoint

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-329

(Principes 4.3 et 4.7 de l’Annexe 1)

Un homme a déposé une plainte selon laquelle son ex-conjointe a obtenu sa nouvelle adresse et son nouveau numéro de téléphone cellulaire auprès d’une entreprise de téléphonie sans fil. Bien qu’il n’existe aucune preuve que l’entreprise a communiqué les nouvelles coordonnées du plaignant à son ex-conjointe, la commissaire adjointe à la protection de la vie privée a jugé que l’entreprise pouvait améliorer ses mesures de protection des renseignements personnels dans les cas de rupture entre les titulaires d’un compte conjoint. L’entreprise a accepté de mettre en œuvre de nouvelles procédures pour réagir à ce genre de situations.

Voici la description du déroulement de l’enquête et les conclusions rendues par la commissaire adjointe.

Résumé de l’enquête

Le plaignant et son ex-conjointe détenaient un compte conjoint de services de téléphonie sans fil qui leur donnait accès à deux numéros de téléphone cellulaire. Selon les dossiers de l’entreprise, le plaignant était l’utilisateur du numéro principal, et son ex‑conjointe, du second numéro. L’un et l’autre bénéficiait de tous les avantages du compte, c’est‑à‑dire qu’ils avaient tous les deux accès à toute l’information du compte et qu’ils pouvaient y apporter les changements qu’ils voulaient.

Le plaignant a affirmé s’être rendu à l’un des points de vente au détail de l’entreprise pour informer le représentant que lui et sa conjointe s’étaient séparés et qu’il souhaitait, selon ce qui était le plus approprié, soit annuler l’adhésion de sa conjointe soit mettre le compte au nom de celle‑ci. Le plaignant a aussi fourni sa nouvelle adresse et a demandé à ce que son numéro de téléphone cellulaire soit changé. Il a indiqué au Commissariat qu’il avait expressément demandé à l’entreprise de ne pas permettre à son ex-conjointe d’accéder à ses renseignements personnels. Le représentant a appelé l’entreprise pour que la demande du plaignant soit traitée, et celui‑ci a pu discuter de l’annulation du compte de son ex‑conjointe directement avec l’entreprise. Il faut compter 30 jours pour désactiver un compte.

Selon le plaignant, peu de temps après avoir effectué ces changements, une connaissance l’a informé que son ex-conjointe s’était elle aussi rendue à un point de vente de l’entreprise et qu’elle avait obtenu son nouveau numéro de téléphone et sa nouvelle adresse. Par la suite, le plaignant a reçu des appels de son ex-conjointe à son nouveau numéro de téléphone cellulaire.

Selon les dossiers de l’entreprise, le plaignant a obtenu un nouveau numéro de téléphone cellulaire après en avoir fait la demande, mais au titre du même compte auquel lui et son ex-conjointe avaient accès. Selon l’information inscrite au compte, son ex-conjointe aurait, quatre jours après la demande du plaignant, fait une demande relative à l’état du compte. Rien n’indique toutefois quelle information lui a été communiquée à ce moment. Le compte a été désactivé 30 jours après la demande du plaignant, conformément à l’entente de service. Néanmoins, durant cette période de 30 jours, l’ex-conjointe du plaignant avait pleinement accès au compte.

L’entreprise a affirmé que s’il y a eu communication de renseignements dans les 30 jours suivant la demande du plaignant, celui‑ci y avait indirectement consenti puisque son ex-conjointe avait toujours pleinement accès au compte. L’entreprise a indiqué que le plaignant l’avait appelée pour demander que la seconde ligne soit désactivée et pour changer son adresse de facturation. Bien qu’il ait informé le représentant qu’il souhaitait faire annuler la ligne secondaire parce qu’il s’était séparé de sa conjointe et qu’il ne voulait plus être responsable du compte de cette ligne, il n’a pas demandé à ce que son ex-conjointe n'ait plus accès au compte. Par conséquent, l’ex‑conjointe du plaignant a eu accès au compte jusqu’à la désactivation de ce dernier. L’entreprise a affirmé qu’elle ne pouvait pas conclure, lorsque quelqu’un dit se séparer d’une personne ou avoir des différends avec elle, qu’il s’agit d’une demande de retrait du droit de cette autre personne d’accéder au compte.

L’entreprise a écrit au plaignant pour exprimer ses regrets pour tout inconvénient entraîné par cette situation. Elle a semblé reconnaître qu’elle n’avait pas répondu aux demandes du plaignant de façon satisfaisante. À titre de mesure corrective, l’entreprise songe à offrir des séances de formation additionnelles à ses représentants du service à la clientèle pour les aviser que dans une situation comme celle qui est en cause, ils doivent souligner le fait que le nom de l’ex-conjoint figure toujours au compte et demander au client s’il souhaite que l’ex‑conjoint n’ait plus accès au compte. Dans ce genre de situation, les clients pourront aussi protéger leur compte grâce à un mot de passe, étant donné que leur ex‑conjoint pourrait sans doute répondre correctement aux questions généralement posées par le représentant du service à la clientèle afin de vérifier l’identité du titulaire du compte.

Conclusions

Rendues le 1er février 2006

Application  : Conformément au principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Conformément au principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • En ce qui concerne la plainte relative à la communication de renseignements, la commissaire adjointe n’a trouvé aucune preuve étayant l’affirmation du plaignant selon laquelle son adresse et son numéro de téléphone cellulaire auraient été communiqués à son ex-conjointe par un employé.
  • Par conséquent, elle n’a pas pu conclure que l’entreprise avait enfreint le principe 4.3. Elle a conclu que l’ex-conjointe du plaignant avait présenté une demande d’information relativement au compte, mais au moment de la demande, les dossiers de l’entreprise indiquaient qu’elle jouissait encore du statut de titulaire du compte. Ainsi, s’il y a eu communication de renseignements, celle-ci a eu lieu avec le consentement du plaignant, conformément à l’entente de services. 

La commissaire adjointe a donc conclu que la plainte relative à la communication de renseignements est non fondée.

  • En ce qui concerne la question des mesures de protection, l’entreprise a modifié ses procédures par suite de la plainte et de l’enquête subséquente. Désormais, on demandera au titulaire d’un compte si le nom de l’ex‑conjoint doit être retiré du compte. Il sera également possible de protéger les comptes grâce à un mot de passe. La commissaire adjointe a jugé que ces procédures seraient à même de mieux protéger les renseignements personnels détenus par l’entreprise et que les modifications apportées font en sorte que l’entreprise agit conformément au principe 4.7.

La commissaire adjointe a donc conclu que la plainte relative aux mesures de protection est résolue.

Date de modification :