Une preuve non concluante de communication de renseignements incite un club de santé à clarifier sa politique sur la protection de la vie privée à l’intention de ses clients et de son personnel

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-357

[Principes 4.1, 4.1.4, 4.5, 4.8 et 4.10 de l’annexe 1]

Deux membres d’un club de santé, qui étaient également des amies, ont eu maille à partir avec le club. Elles ont toutes deux été avisées que le club pourrait confier leur compte à une agence de recouvrement. Selon l’une des membres, la directrice du club lui a dit que les comptes d’autres membres, y compris celui de son amie, avaient été confiés à une agence de recouvrement. Elle a informé son amie de la prétendue communication, et les deux ont déposé une plainte au Commissariat. 

La première plaignante craignait que la directrice puisse communiquer des renseignements personnels la concernant et son amie, la deuxième plaignante, était fâchée de voir que des renseignements la concernant avaient déjà été communiqués sans son consentement. La directrice du club a nié l’accusation et affirmé que c’était la première plaignante qui avait mentionné le nom de son amie, pas elle.

La commissaire adjointe à la protection de la vie privée a constaté que la preuve était contradictoire et insuffisante pour justifier la plainte déposée contre le club de santé. Cependant, elle se demandait si le club respectait la Loi et a recommandé des changements à sa politique et à ses procédures sur la protection de la vie privée. La question a été réglée lorsque le club a fait siennes ses recommandations.

On trouvera ci-dessous un résumé de l’enquête et les constatations de la commissaire adjointe.

Résumé de l’enquête

Un membre d’un club de santé a décidé de ne pas renouveler son abonnement. Après avoir communiqué avec le club par courrier électronique au sujet de l’annulation, il s’est produit un différend entre elle et le club au sujet de son compte. La cliente affirmait que la directrice du club lui avait téléphoné et l’avait menacée de confier son compte à une agence de recouvrement comme elle l’avait fait pour d’autres membres avant. Selon la plaignante, la directrice avait également donné le nom d’un autre membre (la deuxième plaignante) et déclaré que son compte avait déjà été confié à une agence de recouvrement. Cet autre membre était l’amie de la plaignante. En outre, le membre a déclaré que la directrice lui avait demandé si elle voulait connaître la situation de quelqu’un d’autre. La plaignante a alors soupçonné que si la directrice lui transmettait des renseignements sur un tiers, elle pouvait donc communiquer ses renseignements personnels à d’autres.

Cependant, la directrice du club de santé a nié avoir communiqué les renseignements personnels concernant la seconde plaignante. Elle a soutenu que c’était la personne elle-même qui avait soulevé le nom de la deuxième plaignante lors de l’appel téléphonique, pas elle. La directrice a fourni au Commissariat des notes électroniques documentant leur conversation et déclaré qu’elle écrivait ces notes durant ses conversations téléphoniques avec des membres du club. Elle a ajouté qu’elle pouvait modifier ultérieurement le texte des notes au besoin; cependant, en l’espèce, elle dit ne pas avoir modifié le texte. Selon les notes, la directrice a dit au membre que le solde de son compte devait être payé dans 30 jours sinon le dossier serait confié à une agence de recouvrement. Elle l’a également informée que chaque cas était traité selon la politique de l’entreprise et que le sien n’était pas différent. D’après les notes de la directrice, c’était la première plaignante qui avait nommé la deuxième en disant que la directrice avait libéré tout le monde, y compris son amie. Selon les notes de la directrice, elle a assuré cette personne que le dossier était traité comme celui de tous les autres.

La seconde plaignante, elle aussi membre du club de santé, a été impliquée dans un conflit distinct avec le club concernant son compte. Elle a indiqué que la directrice l’avait informée que si elle ne payait pas son compte en souffrance à telle date, le compte serait confié à une agence de recouvrement.

Cette personne, membre du club, a indiqué que la première plaignante lui avait téléphoné pour dire que la directrice du club de santé l’avait informée que son compte avait été confié à une agence de recouvrement. La première plaignante a également allégué que la directrice lui avait demandé si elle voulait avoir des renseignements sur quelqu’un d’autre. Le Commissariat s’est entretenu avec la fille de la deuxième plaignante qui avait entendu la conversation en question de la première plaignante, qui était une collègue. La fille a corroboré ce que la première plaignante a déclaré au Commissariat. Elle n’était pas certaine si sa mère avait appris la transmission de ces renseignements par elle ou par l’entremise de la première plaignante.

Conclusions

Rendues le 16 novembre 2006

Application : Le principe 4.1 stipule qu’une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une personne ou des personnes qui devront s’assurer du respect des principes de l’annexe 1 de la Loi. Le principe 4.1.4 exige que les organisations assurent la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant les politiques et procédures de l’organisation.

Le principe 4.5 stipule que les renseignements personnels ne doivent être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige.

Le principe 4.8 oblige une organisation à faire en sorte que des renseignements précis sur ses politiques et pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Le principe 4.10 stipule que toute personne doit être en mesure de se plaindre du non-respect des principes ci-dessus en communiquant avec la personne ou les personnes responsables de les faire respecter au sein de l’organisation.

Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :

  • Les comptes rendus des conversations sont contradictoires. L’un des membres du club de santé a déclaré que la directrice du club avait transmis des renseignements personnels concernant un autre membre, alors que la directrice a affirmé que c’était la personne elle-même qui avait signalé le nom de l’autre personne et qu’elle n’avait pas discuté de renseignements personnels.
  • La personne, membre du club, dont l’information a été supposément communiquée, n’a pas été témoin de la conversation en question.
  • La commissaire adjointe a signalé que la preuve était contradictoire et insuffisante pour appuyer l’allégation. Par conséquent, le principe 4.5 n’a pas été enfreint.

La commissaire adjointe a conclu qu’en ce qui concerne la communication des renseignements, les plaintes étaient non fondées.

Durant l’enquête, il est devenu évident qu’il y avait certains doutes concernant le respect de la Loi. La commissaire adjointe a déclaré en outre ce qui suit :

  • Le Commissariat a eu de la difficulté à identifier la personne responsable de la protection de la vie privée au sein de l’organisation. Au départ, cette personne était la directrice qui était au cœur de la plainte. La situation a changé par la suite; cependant, le Commissariat a été informé par le propriétaire du club qu’aucun autre membre du personnel n’avait été désigné pour la remplacer. La commissaire adjointe n’était pas convaincue que les exigences du principe 4.1 étaient respectées.
  • Même si le club avait une politique sur la protection de la vie privée, il semble que la formation à cet égard n’avait pas été donnée à son personnel à cet endroit, ce qui contrevient au principe 4.1.4.
  • La commissaire adjointe n’a décelé aucune preuve que le club avait informé ses clients au sujet de sa politique et de ses pratiques sur la protection de la vie privée, autrement dit, sur les renseignements personnels qu’il recueille, les raisons pour lesquelles il le fait, comment les renseignements sont utilisés et à qui ils sont communiqués. Le principe 4.8 n’a donc pas été respecté.
  • En outre, contrairement au principe 4.10, le club ne semblait pas indiquer à ses clients comment traiter les questions concernant la protection de la vie privée qu’ils pourraient avoir à l’égard de l’organisation.
  • Bref, la commissaire adjointe a soutenu que le club semblait avoir fait peu d’efforts pour respecter la Loi, mis à part une politique sur la protection de la vie privée qui n’en portait que le nom.
  • Avant de faire connaître ses conclusions dans la présente plainte, la commissaire adjointe a formulé les recommandations suivantes :
    • le club de santé doit transmettre au Commissariat le nom de la nouvelle personne responsable de la protection de la vie privée et de la conformité de l’organisation à la Loi;
    • le club doit s’assurer que le personnel reçoit la formation nécessaire pour assumer ses responsabilités touchant la protection, la collecte, l’utilisation et la communication des renseignements personnels, y compris la façon de recevoir les plaintes et les demandes de renseignements et d’y donner suite;
    • le club doit rédiger des documents pour informer ses clients au sujet de ses politiques et pratiques concernant la protection de la vie privée, y compris donner le nom de l’agent désigné à cet égard, comment obtenir accès à ses propres renseignements personnels, quel genre de renseignements personnels le club conserve, à quelles fins ils sont utilisés et quels renseignements personnels sont communiqués à des organisations connexes;
    • le club doit élaborer des procédures de traitement des plaintes faciles à suivre pour les clients et les rendre aisément accessibles.
  • Après avoir examiné la réponse du club à ses recommandations, la commissaire adjointe était convaincue qu’il respecte maintenant la Loi.

La commissaire adjointe a conclu que les allégations concernant la responsabilité, la transparence et la non-conformité étaient fondées et résolues.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :