Communication inappropriée d'un diagnostic, mais la compagnie d'assurances maintient que ses politiques et ses pratiques concernant la protection des renseignements personnels sont transparentes

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-348

[Principes 4.3, 4.8 et 4.8.2]

Un jour, pendant qu’elle se trouvait dans le bureau d’une collègue qui était administratrice des avantages sociaux pour l’employeur de la plaignante, cette dernière a appris que des renseignements médicaux très confidentiels qui la concernaient avaient été laissés dans un message sur la boîte vocale de l’administratrice des avantages sociaux par une employée de la compagnie d’assurances qui verse des prestations au nom de l’employeur de la plaignante. L’employée de la compagnie d’assurances a immédiatement constaté son erreur et cette dernière a écrit à la plaignante pour s’en excuser et lui faire part des mesures qu’elle avait prises pour remédier à la situation. Cependant, la plaignante estimait qu’on aurait dû lui dire de porter la question à l’attention de l’agent de la compagnie d’assurances responsable de la protection des renseignements personnels et affirmait que la compagnie manquait de transparence dans ses politiques et pratiques concernant la protection des renseignements personnels.

La commissaire adjointe à la protection de la vie privée a convenu que la communication était inappropriée, mais elle a fait remarquer que la compagnie avait adopté plusieurs mesures pour corriger le problème. En outre, elle ne partageait pas l’opinion de la plaignante selon qui les politiques et les pratiques de la compagnie concernant la protection des renseignements personnels manquent de transparence.

Voici un aperçu détaillé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

La plaignante se trouvait dans le bureau de l’administratrice des avantages sociaux de son employeur, quand on lui a demandé d’écouter un message vocal concernant une réclamation qu’elle avait déposée un mois auparavant. L’administratrice des avantages sociaux trouvait que le message était difficile à comprendre et qu’on semblait faire état de dates qui ne coïncidaient pas avec celles de la dernière réclamation de la plaignante. Étant donné que celle‑ci se trouvait dans son bureau à ce moment‑là, l’administratrice a demandé à la plaignante d’écouter le message. La personne qui téléphonait semblait faire référence à une réclamation déposée un an auparavant. Cependant, tant la plaignante que l’administratrice des avantages sociaux avaient de la difficulté à la comprendre. Par la suite, les deux se sont rendu compte que la personne qui téléphonait faisait référence à un diagnostic concernant une réclamation antérieure. Les deux étaient renversées de constater que la personne qui téléphonait avait révélé de tels renseignements. L’administratrice des avantages sociaux s’est excusée auprès de la plaignante, lui disant qu’elle aborderait la question avec la compagnie d’assurances et lui promettait de ne communiquer les renseignements à personne d’autre. Elle a envoyé un courriel à une personne qu’elle connaissait à la compagnie d’assurances le jour ouvrable suivant et comme la personne qui connaissait l’administratrice des avantages sociaux n’avait pas besoin d’entendre le message, l’administratrice des avantages sociaux n’a pas produit de transcription du message et l’a effacé. Elle a confirmé que seulement elle et la plaignante avaient entendu le message téléphonique.

Selon l’administratrice des avantages sociaux, les communications entre la compagnie d’assurances et l’employeur de la plaignante se limitent habituellement au dévoilement, par l’administratrice des avantages sociaux à la compagnie d’assurances, de détails comme les dates d’embauche de l’employée, les dates d’invalidité et les dates de retour au travail. Les conversations téléphoniques ne portent pas en général sur le diagnostic, les traitements ou les médicaments.

La plaignante a porté la question à l’attention d’un cadre supérieur au travail. Cette personne a communiqué avec un cadre supérieur de la compagnie d’assurances qui a écrit à la plaignante pour s’excuser de l’incident, précisant que l’employée, même si elle était bien intentionnée, s’était rendu compte de son erreur après avoir fait l’appel téléphonique. Le cadre supérieur a informé la plaignante que l’employée comprenait tout à fait l’ampleur de son erreur. La responsable de la compagnie d’assurances a décrit les mesures que celle‑ci avait prises pour s’assurer qu’un tel incident ne se reproduise pas. Elle a décrit la politique et le code régissant la protection des renseignements personnels de la compagnie d’assurances, qui sont examinés avec le personnel responsable des demandes de pensions d’invalidité à divers moments au cours de l’année. Elle a précisé toutefois que par suite de l’erreur, la compagnie d’assurances revoyait actuellement sa politique avec la participation directe de tout le personnel. En outre, le programme de formation destiné au personnel de soutien a été amélioré pour que la formation sur la politique et le code concernant la protection des renseignements personnels soit examinée plus tôt et plus en détail qu’auparavant.

Peu de temps après, la plaignante a écrit au responsable de la protection des renseignements personnels de la compagnie d’assurances concernant la gravité de la communication. Ce qui l’inquiétait, c’est qu’on ne lui ait pas dit qu’elle aurait dû contacter cette personne responsable de la protection des renseignements personnels de la compagnie au sujet de la situation.

Ce dernier a écrit à la plaignante pour s’excuser de la communication. Il a admis que les renseignements médicaux n’auraient jamais dû être mentionnés dans le message vocal et que, « en tentant d’expliquer la raison pour laquelle on avait besoin de précisions sur les dates, l’information sur le diagnostic avait été révélée par erreur ».

Nous avons demandé des renseignements supplémentaires sur la façon dont la compagnie d’assurances a abordé l’incident à l’interne. L’employée en question a rencontré sa gestionnaire, qui a insisté à nouveau sur l’importance de la protection des renseignements personnels et sur la gravité du non‑respect de cette politique. Le tout a été suivi d’une réunion avec tous les membres de l’équipe que l’incident concernait. Les lignes directrices de la compagnie sur la protection des renseignements personnels ont été examinées. On a insisté sur la question de savoir à qui l’on doit s’adresser concernant les réclamations et quels renseignements doivent être révélés. Plus tard au cours du même mois, des réunions ont eu lieu avec les personnes responsables de la section des demandes d’invalidité et de la section de la formation pour discuter des documents de formation, afin de s’assurer qu’ils traitent bien des directives relatives à la protection des renseignements personnels, peu importe le contenu du document actuel de formation. Une réunion de suivi entre les représentants de ces deux groupes a confirmé que les formateurs insistent maintenant beaucoup plus sur les lignes directrices sur la protection des renseignements personnels.

Le Commissariat a examiné certains des documents de formation qui concernent la nature de la plainte. Ces documents concernent le consentement, la façon de traiter les incidents touchant la protection des renseignements personnels (comment acheminer les problèmes aux autorités supérieures et comment ces problèmes sont traités à cet échelon) et le code de conduite de la compagnie, que les employés doivent examiner et signer tous les ans. Le Code renferme les 10 principes concernant la protection des renseignements personnels inclus à l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. Les employés sont informés des règles concernant la protection des renseignements personnels, y compris des conseils pertinents, et peuvent faire un apprentissage interactif en ligne pour évaluer leurs connaissances.

La compagnie d’assurances a fait remarquer que sa politique et son code sur la protection des renseignements personnels se trouvent sur son site Web et qu’on y trouve aussi les coordonnées téléphoniques d’une personne‑ressource ainsi que l’adresse courriel de la personne responsable de la protection des renseignements personnels. Les clients reçoivent une brochure sur la question depuis 2003, soit directement du siège social, soit par l’entremise des partenaires de distribution de la compagnie d’assurances. Si une personne utilise le numéro de téléphone général de la compagnie concernant un problème spécifique sur la protection des renseignements personnels, la personne sera renvoyée à l’agent responsable de la protection des renseignements personnels de la section en question. Si la personne qui téléphone demande à parler à l’agent responsable de la protection des renseignements personnels, son appel sera transmis à cet agent.

La compagnie d’assurances fournit également des renseignements sur la protection des renseignements personnels (y compris son numéro de téléphone sans frais, son adresse postale, son adresse courriel et son site Web) dans les brochures destinées aux membres. Ces brochures servent de guide de référence pour les régimes d’avantages sociaux et les promoteurs doivent remettre une brochure à chaque membre du régime. L’employeur de la plaignante avait remis à celle‑ci un exemplaire de la brochure.

Conclusions

Rendues le 14 août 2006

Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.8 énonce qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Quant au principe 4.8.2, il stipule les renseignements qui doivent être fournis et précise que l’on doit inclure le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de l’organisation et à qui il faut acheminer les plaintes et les demandes de renseignements.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • En ce qui concerne la communication, il ne fait aucun doute que les renseignements personnels concernant la plaignante ont été communiqués et ce, en contravention du principe 4.3. Après avoir pris connaissance de la communication, la compagnie d’assurances a tout de suite écrit à la plaignante (deux lettres lui ont été envoyées) pour s’excuser de ce qui s’était produit. Dans ces lettres, la plaignante était informée des mesures que l’organisation prendrait pour s’assurer que ce genre d’incident ne se reproduise pas. Dans la lettre de la cadre supérieure (et non du responsable de la protection des renseignements personnels), la plaignante a été invitée à communiquer avec elle si elle estimait que d’autres questions n’avaient pas été réglées.
  • La commissaire adjointe a examiné les divers documents et politiques de formation de la compagnie, et elle est convaincue que dans la formation du personnel de première ligne, on insiste sur l’importance de préserver le caractère confidentiel de l’information sur les plaignants, surtout les renseignements médicaux confidentiels.
  • Elle est d’avis que la communication était une erreur commise par l’employée en tentant de préciser certaines dates de réclamation. La communication concernait seulement une personne, le message téléphonique a été effacé et il n’en existe aucune transcription. En outre, après avoir pris connaissance de la communication inappropriée, la compagnie d’assurances a immédiatement compris l’importance de cette communication et a offert des excuses par écrit. Les modalités internes de la compagnie d’assurances concernant la protection des renseignements personnels semblent raisonnables, et elle a pris les mesures appropriées pour empêcher qu’un tel incident ne se reproduise.

Compte tenu des éléments ci‑dessus, la commissaire adjointe a conclu que la plainte concernant la communication est fondée et résolue.

  • Quant à la plainte selon laquelle la compagnie d’assurances manque de transparence dans ses politiques et ses pratiques sur la protection des renseignements personnels, la commissaire adjointe exprime son désaccord. On trouve sur le site Web de la compagnie son code et sa politique sur la protection des renseignements personnels, ainsi que des renseignements que l’on peut obtenir par téléphone ou par courriel auprès de son agent responsable de la question.
  • La plaignante a eu l’occasion de discuter de ses préoccupations avec la cadre supérieure et on lui a remis le numéro de téléphone de cette dernière pour discuter de la question plus en détail. De toute évidence, il y avait plusieurs façons de s’informer des politiques de la compagnie d’assurances concernant la protection des renseignements personnels, et l’information nécessaire pour communiquer avec les personnes au sein de l’organisation lui a été transmise. En communiquant avec la cadre supérieure ou en appelant au numéro inscrit, la plaignante aurait pu se renseigner davantage sur le processus de traitement des plaintes ainsi que sur la façon de transmettre ses préoccupations à l’agente responsable de la protection des renseignements personnels.
  • De l’avis de la commissaire adjointe, la compagnie a respecté les obligations que lui confèrent les principes 4.8 et 4.8.2.

Par conséquent, la commissaire adjointe conclut que la plainte concernant la transparence est non fondée.

Date de modification :