Un atelier de débosselage met en œuvre une politique de protection des renseignements personnels et apporte des changements à ses pratiques connexes

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-366

[Principes 4.1, 4.1.4, 4.3 et 4.3.1]

À la suite d’un accident d’auto, la plaignante a fait effectuer des travaux de débosselage sur sa voiture. Lorsqu’une question a été soulevée concernant la garantie, l’atelier de débosselage a communiqué avec le concessionnaire de la plaignante pour savoir si les travaux effectués étaient couverts. Au cours de notre enquête, nous avons appris que l’atelier de débosselage aurait dû suivre le processus en place dans la province, selon lequel les ateliers de débosselage effectuent les travaux déterminés par la société de l’assurance automobile de la province.

La commissaire adjointe à la protection de la vie privée a déterminé que certains renseignements ont été recueillis par l’atelier de débosselage à l’insu ou sans le consentement de la plaignante, malgré que l’on n’ait pu établir avec certitude que le document télécopié par l’atelier de débosselage était le contrat de vente de la plaignante. Elle a également constaté que l’atelier n’a pas mis en œuvre de politiques et de pratiques en matière de protection des renseignements personnels. Elle a recommandé que l’entreprise s’assure d’obtenir le consentement de ses clients avant de recueillir et d’utiliser des renseignements personnels et qu’elle élabore et mette en œuvre une politique de protection des renseignements personnels qui puisse être communiquée aux employés et aux clients. L’atelier de débosselage a approuvé ces recommandations.

Voici un résumé du déroulement de l’enquête et les conclusions de la commissaire adjointe.

Résumé de l’enquête

Une fois les travaux achevés sur sa voiture, la plaignante a remis en question certains de ces travaux parce qu’elle croyait qu’ils étaient sous garantie. En faisant le suivi de la question auprès de son concessionnaire, elle a appris que l’atelier de débosselage avait demandé une copie de son contrat de vente et que son concessionnaire la lui avait faxée. (La plaignante ne souhaitait pas déposer une plainte concernant la protection de la vie privée à l’endroit de son concessionnaire.) 

Le concessionnaire a confirmé avoir reçu un appel de l’atelier de débosselage, qui désirait savoir si la plaignante s’était munie d’une protection pour la peinture et d’une protection anticorrosion parce que l’atelier réappliquait ces couches de protection. Le représentant du concessionnaire avec lequel nous nous sommes entretenus a affirmé que l’atelier de débosselage n’aurait pas dû vérifier si la plaignante s’était munie de ces protections particulières. C’est à la société de l’assurance automobile de la province que revient la tâche de déterminer quels travaux doivent être effectués sur les voitures. 

Le processus de réclamation pour les réparations est le suivant : après avoir signalé les dommages causés à sa voiture, la personne concernée doit obtenir une estimation auprès de l’un des centres de réclamation de la société d’assurance publique. Un estimateur examine alors les dommages causés à la voiture et établit une liste des réparations à effectuer et des pièces à remplacer. L’estimateur remet ensuite un formulaire de réparation au client pour qu’il fasse réparer son auto et le client soumet ce formulaire à l’atelier de réparations de son choix.   

L’atelier de débosselage a fourni au Commissariat une liste des documents qu’il avait en sa possession concernant la plaignante. Le contrat de vente n’y figurait pas.

Au cours de l’enquête, nous avons également appris que l’atelier de débosselage n’avait pas d’agent de protection de la vie privée ni de politique de protection des renseignements personnels.

Conclusions

Rendues le 19 janvier 2007

Application : Selon le principe 4.1, une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés à l’annexe 1 de la Loi. Le principe 4.1.4 stipule que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.1 stipule qu’il faut obtenir le consentement de la personne concernée avant de recueillir des renseignements personnels à son sujet et d’utiliser ou de communiquer les renseignements recueillis. Généralement, une organisation obtient le consentement des personnes concernées relativement à l’utilisation et à la communication des renseignements personnels au moment de la collecte.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • En ce qui concerne la collecte de renseignements, il n’a pu être établi avec certitude que l’atelier de débosselage avait le contrat de vente de la plaignante en sa possession. Le concessionnaire en question a confirmé que l’atelier de débosselage avait téléphoné pour s’informer de la garantie de la plaignante, notamment pour vérifier si celle-ci s’était munie d’une protection pour la peinture et d’une protection anticorrosion. Le représentant du concessionnaire ne se souvient pas s’il a télécopié le contrat de vente à l’atelier de débosselage ou non, mais il se souvient lui avoir fait parvenir un document. Il a confirmé que le contrat de vente renfermerait les renseignements demandés par l’atelier.  
  • La commissaire adjointe a donc conclu que l’atelier de débosselage avait recueilli certains renseignements concernant la plaignante auprès du concessionnaire. Rien ne laissait supposer que l’atelier de débosselage avait demandé l’autorisation à la plaignante de recueillir ces renseignements.
  • L’atelier de débosselage croyait aider la plaignante et la société d’assurance automobile publique. Toutefois, la commissaire adjointe lui a fait remarquer que ses démarches n’étaient pas nécessaires puisqu’un processus officiel était déjà en place, selon lequel un estimateur employé par la société d’assurance automobile publique de la province détermine les travaux à effectuer. L’atelier de débosselage n’avait pour tâche que de réparer le véhicule. Toute question relative aux travaux à effectuer ou aux garanties obtenues aurait dû être acheminée à la société d’assurance. Selon la commissaire adjointe, les démarches entreprises par l’atelier de débosselage n’étaient pas conformes aux principes 4.3 et 4.3.1.  
  • En ce qui a trait à la responsabilité de l’atelier de débosselage en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, il est ressorti de l’enquête que l’atelier de débosselage ne s’était pas doté d’une politique de protection des renseignements personnels tel que requis selon les principes 4.1 et 4.1.4. Une telle politique, a insisté la commissaire adjointe, est déterminante pour assurer la protection des renseignements personnels des clients puisqu’elle donne des indications aux employés et des renseignements aux clients concernant les pratiques de traitement des renseignements personnels de l’entreprise.  
  • La commissaire adjointe a donc recommandé à l’atelier de débosselage de s’assurer d’obtenir le consentement de ses clients avant de recueillir et d’utiliser des renseignements personnels, et d’élaborer et de mettre en œuvre une politique de protection des renseignements personnels qui puisse être communiquée aux employés et aux clients.
  • L’atelier a envoyé des notes de service à ses employés pour leur rappeler d’obtenir le consentement des clients avant toute collecte de renseignements personnels. L’atelier a également informé la commissaire adjointe qu’il était en train d’élaborer une politique de protection des renseignements personnels qui sera communiquée à tous les employés ainsi qu’aux clients, sur demande.
  • Compte tenu de ces mesures, la commissaire adjointe est convaincue que l’atelier respecte maintenant ses obligations en vertu de la Loi.

Par conséquent, la commissaire adjointe a conclu que la plainte était fondée et résolue.

Date de modification :