Une banque envoie par erreur à une cliente, dans un courrier électronique, des renseignements personnels concernant des employés

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2006-360

[Principes 4.3, 4.7, 4.7.1 et 4.10.4]

Une banque a découvert que des renseignements concernant des employés, lesquels étaient destinés à un des consultants de la banque, ont été envoyés par erreur, dans un courrier électronique, à l’un de ses clients. La banque a avisé les employés concernés et fait part du problème au Commissariat. La cliente qui avait, par inadvertance, reçu ces renseignements personnels, les a par la suite supprimés de son ordinateur.

L’un des employés de la banque a déposé une plainte auprès du Commissariat.

On trouvera ci-dessous un résumé de l’enquête et les conclusions de la commissaire adjointe.

Résumé de l’enquête

Une femme a reçu un appel téléphonique de son employeur, une banque, l’avisant que la banque avait par inadvertance communiqué à l’un de ses clients, par courrier électronique, des renseignements personnels qui la concernaient, renseignements figurant dans une base de données sur les employés.

Le Commissariat a établi qu’une cliente de la banque avait envoyé un courrier électronique à l’ombudsman de celle-ci, pour l’informer qu’il y avait eu une atteinte à la protection de la vie privée. Ainsi, la banque a découvert qu’un employé avait envoyé une série de courriels à ce que cette personne estimait être l’adresse courriel de l’un des consultants de la banque. L’adresse courriel du consultant était très semblable à celle d’un des clients de la banque, et l’employé a mal tapé l’adresse. La cliente a donc reçu les courriels qui étaient destinés au consultant.

Les renseignements personnels que renfermaient les courriels incluaient le nom de la personne, son numéro d’employé, sa succursale, son salaire et les primes reçues, sa date de naissance, son évaluation de rendement et des renseignements à utiliser en cas de cessation d’emploi.

Après avoir été informée de cette atteinte à la vie privée, la banque a téléphoné aux employés dont les renseignements personnels avaient été communiqués pour leur faire part de la situation. La banque a également avisé le Commissariat.

La cliente, qui avait reçu par inadvertance les renseignements personnels, les a supprimés de son ordinateur et confirmé à la banque qu’elle n’avait pas transmis, copié ni autrement utilisé les renseignements.

Conclusions

Rendues le 14 novembre 2006

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.7 oblige toute organisation à protéger les renseignements personnels au moyen de mesures de sécurité correspondant à leur degré de sensibilité. En vertu du principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. Le principe 4.10.4 stipule qu’une organisation doit faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l’organisation doit prendre les mesures appropriées, y compris la modification de ses politiques ou pratiques au besoin.

Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :

  • La banque n’a pas réfuté le fait qu’elle avait envoyé des renseignements personnels sur l’une de ses employés à une adresse de courriel erronée, divulguant ainsi les renseignements sans le consentement et la connaissance de la personne, contrevenant ainsi au principe 4.3. La banque s’est empressée d’aviser cette femme de la communication des renseignements personnels, de l’informer des mesures qu’elle avait prises pour rectifier la situation et de lui indiquer tous les recours possibles à sa disposition. Le tout a été suivi d’une lettre d’excuses.
  • Les mesures de sécurité de la banque contre la transmission inadéquate de renseignements personnels se sont manifestement avérées insuffisantes. Elle n’a pas respecté les exigences des principes 4.7 et 4.7.1. La commissaire adjointe a noté que la banque a depuis pris d’autres mesures pour s’assurer que ses mesures de sécurité soient plus rigoureuses. La banque a amélioré la formation de ses employés concernant le traitement de renseignements personnels sur un employé, établissant de nouveaux protocoles de courriel et renforçant les procédures concernant le traitement des renseignements délicats.
  • La commissaire adjointe a également tenu compte du fait que la banque avait mené une enquête sur la plainte et pris les mesures nécessaires pour s’assurer qu’un incident semblable ne se reproduise pas. Elle s’est dite convaincue que la banque avait respecté les obligations que lui confère le principe 4.10.4. En outre, les renseignements personnels de la plaignante ont été supprimés de l’ordinateur auquel ils avaient été envoyés par erreur et la personne qui les avait reçus a affirmé qu’elle n’avait pas transmis, copié ou autrement utilisé l’information.

Par conséquent, la commissaire adjointe a conclu que la plainte était fondée et résolue.

 

Date de modification :