Une banque communique de nouvelles directives et sensibilise ses employés après que des renseignements sur des clients eurent été envoyés par télécopieur au mauvais destinataire

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-332

(Principes 4.3 et 4.7.1 de l’Annexe 1)

Un client a indiqué que sa banque lui a communiqué le numéro et les relevés de compte d’autres clients à deux reprises. Il a ajouté que lorsqu’il a voulu faire part de ces incidents à sa banque, celle‑ci a fermé son compte et refusé de lui offrir ses services. La banque a admis que des télécopies avaient été transmises une fois par erreur au plaignant. Le Commissariat n’a pas été en mesure de prouver que l’incident s’était produit une deuxième fois, comme l’affirmait le plaignant, ni que la banque avait fermé son compte à la suite de l’incident.

Après l’incident, la banque a préparé un document sur ses directives et en a distribué des exemplaires à tous les employés. La commissaire adjointe à la protection de la vie privée a conclu que la plainte était fondée et résolue.

Voici la description du déroulement de l’enquête et les conclusions rendues par la commissaire adjointe.

Résumé de l’enquête

La banque a reconnu que les renseignements personnels de deux clients avaient été acheminés par erreur, par télécopieur, au plaignant. Plusieurs feuilles étaient restées prises ensemble lorsqu’on avait préparé l’envoi par télécopieur; elles n’avaient pas été séparées correctement par la suite, ce qui explique l’incident. Lorsque la banque a appris ce qui s’était produit, elle a pris des mesures pour sécuriser le compte de ses clients et les a informés de l'incident.

La banque a affirmé qu'au cours des entretiens téléphoniques, le plaignant semblait indiquer à la banque qu’il ne déposerait pas de plainte auprès du Commissariat à la protection de la vie privée si elle était d’accord pour arriver à un accord relativement à son compte, alors en souffrance. La banque a répondu que cette offre ne constituait pas une option envisageable. Elle lui a écrit pour lui indiquer que l’information qu’il avait reçue était confidentielle, qu’elle ne lui était pas destinée et qu’il devait la détruire immédiatement. Le plaignant n’a pas obtempéré puisqu’il voulait en fournir une copie au Commissariat.

La banque a affirmé qu’elle n’a trouvé aucune preuve permettant de conclure à un deuxième envoi par télécopieur de renseignements personnels de clients au plaignant. Le Commissariat a demandé à ce dernier de prouver son allégation, ce qu’il n’a pas fait.

Au moment de l’incident, la banque était dotée de directives sur la télécopie de renseignements de clients. Après l’incident, la banque a décidé de mieux informer les employés chargés des envois d’information par télécopieur. La banque a également entrepris l’examen de toutes ses pratiques à cet effet. Elle a analysé les directives de différents services et en a fait un document unique couvrant l’ensemble des activités de la banque. Les directives sur l’envoi d’information par télécopieur ont ensuite été distribuées aux employés.

Selon ces directives, de l’information ne peut être envoyée par télécopieur qu’en cas d’urgence démontrable ou lorsqu’il s’agit de la norme de communication avec un tiers. Dans la mesure du possible, les employés doivent envoyer l’information par courriel, une méthode plus sécuritaire, en particulier lorsque les renseignements personnels de clients sont en cause. Selon les directives, les employés sont également tenus de :

  • vérifier que le numéro composé correspond au bon numéro;
  • vérifier que les documents joints à la page d’acheminement sont bien ceux qui sont destinés aux personnes à qui ils sont envoyés et qu’ils correspondent à la description des documents transmis;
  • vérifier la page de confirmation pour s’assurer que l’envoi a été réussi;
  • veiller à ce que la description des télécopies envoyées à un client figure à son dossier de compte.

En ce qui concerne la fermeture du compte du plaignant, celle‑ci a eu lieu avant l’incident et n’a donc pas de liens avec l’objet de l’enquête.

Conclusions

Rendues le 12 avril 2006

Application  : Conformément au principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Conformément au principe 4.7.1, les mesures de sécurité prises doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. 

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • La banque n’a pas nié avoir transmis par télécopieur les renseignements personnels de deux clients au plaignant et a admis qu’il s’agissait d’une erreur humaine commise par un de ses employés. Rien n’a permis de prouver l’allégation du plaignant, qui affirmait que la banque lui avait transmis les renseignements personnels d’autres clients à une autre reprise.
  • Il est clair que la banque n’a pas protégé adéquatement les renseignements personnels de ses clients, comme elle y est tenue aux termes du principe 4.7.1, et que par conséquent, elle a communiqué les renseignements de deux clients sans leur consentement et à leur insu, ce qui contrevient au principe 4.3.
  • La commissaire adjointe a noté que la banque a pris des mesures appropriées pour remédier au problème relatif à la communication de renseignements de clients. La banque a également modifié ses directives concernant l’envoi d’information par télécopieur et a informé ses employés des procédures appropriées à suivre.

La commissaire adjointe a donc conclu que la plainte est fondée et résolue.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :