Une entreprise de production de déclarations de revenus envoie des renseignements personnels aux mauvais clients

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-337

(Principes 4.3, 4.7)

Le Commissariat a déposé une plainte après avoir appris qu’une entreprise de production de déclarations de revenus a envoyé des avis de cotisation aux mauvaises personnes. L’entreprise a affirmé que, en raison d’une erreur survenue dans le traitement des données, certains renseignements personnels, comme les noms, adresses, numéros d’assurance sociale et renseignements financiers de personnes ont été communiqués indûment. 

Après l’incident, l’entreprise a pris des mesures pour corriger le problème, avisé les personnes concernées et mis en œuvre de nouvelles mesures d’assurance de la qualité pour éviter que le problème ne se reproduise. La commissaire adjointe à la protection de la vie privée a conclu que la plainte était fondée et résolue.

Voici un résumé du déroulement de l’enquête et les conclusions rendues par la commissaire adjointe.

Résumé de l’enquête

Le Commissariat a appris qu’une entreprise de production de déclarations de revenus a envoyé des avis de cotisation aux mauvais clients. La commissaire a donc déposé une plainte de son propre chef.

L’entreprise a confirmé que, en raison d’une erreur survenue dans le traitement des données, des avis de cotisation avaient été envoyés aux mauvais clients. Par conséquent, des renseignements comme les noms, adresses, numéros d’assurance sociale et renseignements financiers de ces personnes ont été communiqués indûment. L’avis de cotisation est envoyé avec une Annexe 2, soit le « RC72 Avis du montant du remboursement d’impôt réel », qui contient certains des renseignements personnels de l’avis de cotisation, soit le nom, l’adresse, le numéro d’assurance sociale et le montant du remboursement d’impôt de la personne concernée.

L’entreprise a fourni au Commissariat la description détaillée de l’incident. Elle a notamment expliqué le contexte et le processus de production des avis de cotisation, déterminé l’ordre chronologique des événements ayant mené à l’incident et défini les mesures correctives prises subséquemment. L’entreprise a recours aux services d’une tierce partie, qui recueille de l’information sur les clients, comme la documentation de l’entreprise, ainsi que les avis de cotisation de l’Agence du revenu du Canada. Dans le cadre du processus de collecte de renseignements, la tierce partie produit et imprime l’avis RC72, qui est ensuite envoyé au client en même temps que son avis de cotisation.

En raison d’une erreur survenue dans le traitement des données, les données de certains clients ont été associées aux mauvaises personnes. Trois types d’erreurs de concordance ont eu lieu : 

  1. des clients ont reçu leur propre avis de cotisation et leur propre RC72, ainsi que l’avis de cotisation et le RC72 de quelqu’un d’autre; leur adresse figurait toutefois sur le RC72 qui ne leur était pas destiné;
  2. des clients ont reçu l’avis de cotisation et le RC72 de quelqu’un d’autre, mais les documents étaient adressés à la bonne personne;
  3. deux séries d’avis de cotisation et de RC72 ont été envoyées à un seul destinataire à une seule adresse, quoique les numéros d’assurance sociale des avis différaient. (Incident ayant touché des personnes apparentées habitant à la même adresse.)

L’entreprise a notamment pris les mesures correctives suivantes :

  • elle a avisé par écrit les clients concernés;
  • elle a chargé une coopérative de crédit d’aviser les fournisseurs de crédit de l’incident et de fournir aux clients concernés des services de détection de fraudes et de surveillance de bases de données;
  • elle a apporté des changements de programme au processus de couplage des données de façon à ce qu’ait lieu une vérification automatique des données afin de détecter toute mauvaise concordance.

Conclusions

Rendues le 9 juin 2006

Application : Conformément au principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Conformément au principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • L’entreprise de production de déclarations de revenus n’a pas nié avoir envoyé des avis de cotisation aux mauvais destinataires par suite d’une erreur survenue dans le traitement des données. Par conséquent, les renseignements personnels de certains de ses clients ont été communiqués à leur insu et sans leur consentement, ce qui contrevient au principe 4.3.
  • Les mesures de sécurité prises par l’entreprise étaient, de toute évidence, inefficaces; l’entreprise a donc contrevenu au principe 4.7.
  • L’entreprise a pris des mesures correctives appropriées pour atténuer les répercussions de la communication indue de renseignements et pour éviter que le problème ne se reproduise.

La commissaire adjointe conclut donc que la plainte est fondée et résolue .

Date de modification :