L’impression des renseignements relatifs à la carte de crédit sur les billets d’avion constitue une mesure de sécurité inadéquate; transfert des renseignements personnels au grossiste mis en cause

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-386

[Principes 4.1.3, 4.3, 4.3.2, 4.7 et 4.8]

Leçons apprises

  • Les organisations doivent s’assurer que les tiers fournisseurs de services offrent un degré comparable de protection aux renseignements personnels qui leur sont transférés.
  • Les organisations ne sont pas tenues d’offrir à leurs clients la possibilité de refuser la communication de leurs renseignements personnels si le tiers offre des services directement liés aux fins primaires pour lesquelles les renseignements personnels ont été recueillis.
  • Seuls les quatre derniers chiffres du numéro de carte de crédit du client figurent sur le billet électronique du passager. L’IATA a annoncé qu’à partir du 1er juin 2008, tous les billets seront électroniques.

Un client d’une agence de voyages a eu la mauvaise surprise de constater, après avoir acheté un billet d’avion, que les renseignements relatifs à sa carte de crédit étaient transférés à une autre entreprise (un grossiste en voyages) pour le parachèvement de la transaction. De plus, il n’a guère aimé voir que le numéro et la date d’expiration de sa carte de crédit figuraient intégralement sur le billet d’avion.

La commissaire à la protection de la vie privée a relevé des lacunes dans l’information que l’agent de voyages a fournie au plaignant en ce qui concerne le transfert de ses renseignements personnels au grossiste. L’agence a entrepris d’améliorer l’information que les clients reçoivent au sujet de la pratique. La commissaire a constaté qu’un contrat liant l’agence et le grossiste prévoyait des clauses relatives à la protection des renseignements personnels. Cependant, il a été difficile d’obtenir des renseignements détaillés de la part du grossiste sur ses pratiques en matière de traitement des renseignements personnels. La commissaire a recommandé que l’agence de voyages se renseigne sur les pratiques du grossiste; l’agence a par la suite fait savoir au Commissariat qu’elle ne faisait plus affaire avec le grossiste en question.

Au sujet de l’impression des renseignements relatifs à la carte de crédit sur les billets papier, la commissaire a convenu que la pratique ne favorisait pas la protection des renseignements personnels. Elle reconnaît que l’agence ne peut rien, pour le moment, quant aux données qui figurent sur les billets d’avion (la question relève de l’IATA), mais précise que le client peut choisir d’obtenir un billet électronique qui ne porte aucun renseignement relatif à la carte de crédit. Cette option n’a toutefois pas été offerte au plaignant. La commissaire a recommandé qu’aussi longtemps que des billets papier seront émis, soit jusqu’au 31 mai 2008, l’agence doit expliquer que les renseignements relatifs à la carte de crédit sont imprimés sur les billets papier et doit offrir aux consommateurs l’option du billet électronique. L’agence y a consenti.

Le Commissariat a également reçu une plainte d’une autre personne, contre une autre agence de voyages, au sujet de l’impression des renseignements relatifs à la carte de crédit sur les billets papier. Les conclusions relatives à cette pratique sont les mêmes que celles énoncées plus haut.

Voici un résumé du déroulement de l’enquête et les conclusions de la commissaire.

Résumé de l’enquête

Transfert des renseignements relatifs à la carte de crédit

Lorsque le plaignant a reçu son billet, il a remarqué que son numéro de carte de crédit figurait intégralement sur le billet, de même que le nom d’une autre entreprise. Il a communiqué avec l’agence de voyages, qui lui a fait savoir qu’elle avait transféré les données relatives à la carte de crédit pour effectuer le paiement du consommateur au fournisseur. Le plaignant estimait que le transfert des données n’était pas nécessaire et que la pratique contrevenait à la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).

L’agence de voyages a mentionné que son bureau national a conclu une entente contractuelle avec l’autre entreprise (un grossiste en voyages) pour la prestation de services comme des tarifs négociés entre les agences de voyages et les transporteurs aériens de même que des forfaits de voyage personnalisés.

Le contrat entre le bureau national de l’agence et le grossiste comporte une entente de confidentialité et une clause type selon lesquelles les renseignements personnels ne seront divulgués à des tiers que si le client y a consenti et que le tiers a mis en œuvre une politique sur la protection des renseignements personnels conforme à la portée et à l’objet de la Loi. En dépit de l’entente, l’agence a communiqué avec le grossiste pour connaître ses pratiques exactes concernant les renseignements relatifs aux cartes de crédit qu’elle lui fournit. Le Commissariat a également tenté d’obtenir cette information de la part du grossiste. Toutefois, ni l’agence ni le Commissariat n’ont reçu de réponse définitive.

L’agence a fait savoir que son manuel de service ne précise pas quels renseignements doivent être transmis par l’agent de voyages à ses clients lorsque les transactions concernent un fournisseur ou un grossiste en voyages, dont le fait que les renseignements relatifs à la carte de crédit des clients sont transmis au grossiste pour le parachèvement de la transaction. Selon le manuel de formation de l’agence, les agents doivent donner une description juste et exacte des services de voyage acquis, dont les noms des grossistes qui fournissent les services de voyage, s’il y a lieu, conformément aux règlements du Conseil de l’industrie du tourisme de l’Ontario (CITO).

Dans le cas présent, l’agent de voyages a inscrit sur la facture le nom du grossiste, le montant versé à celui‑ci et les frais de service, conformément à l’article 32 de la Loi sur le secteur du voyage de l’Ontario. L’agent n’avait pas reçu comme consigne d’expliquer aux clients que c’est le grossiste qui traite les paiements des billets ni que les renseignements relatifs à leur carte de crédit sont transmis au grossiste pour le parachèvement de la transaction. L’agent a également omis d’informer le plaignant que le grossiste est un fournisseur, en vertu d’un contrat conclu avec le bureau national de l’agence de voyages.

À la suite de la plainte, l’agence de voyages a pris des mesures correctives. Elle a modifié l’itinéraire (ou facture) remis aux clients pour que celui‑ci mentionne que les renseignements relatifs à leur carte de crédit peuvent être transmis au fournisseur ou au grossiste en voyages pour effectuer les réservations de voyage. Elle a aussi révisé ses procédures de sorte que les agents doivent dorénavant aviser les clients lorsque les renseignements relatifs à leur carte de crédit sont transmis à un fournisseur ou à un grossiste pour le traitement des paiements.

Le Commissariat a examiné la politique sur la protection des renseignements personnels de l’agence de voyages, qui fait état des circonstances dans lesquelles elle pourrait transmettre les renseignements personnels des clients à des tiers sans le consentement des intéressés. La politique prévoit que l’agence peut transmettre des renseignements à un entrepreneur autorisé qui fournit un service au client.

Mesures de sécurité

En ce qui concerne l’impression du numéro de carte de crédit au complet sur les billets papier, l’agence de voyages a renvoyé aux conditions énoncées par l’IATA. Elle a souligné que l’information sur le mode de paiement est nécessaire pour que le détenteur du billet puisse être remboursé, pour qu’il puisse procéder à un échange ou modifier ses plans de voyage lorsqu’il est à l’extérieur du pays.

L’IATA est une association internationale faisant office d’organisme de réglementation pour l’établissement de règlements applicables au transport aérien international. Ses règlements prévoient l’établissement de normes pour l’émission des billets d’avion. L’IATA contrôle la majeure partie de la production et de la distribution de billets d’avion pour les voyages internationaux par l’entremise d’un réseau composé de plus de 60 000 agents de voyages. Les normes et marches à suivre se rapportant aux formes que peuvent prendre les billets d’avion sont créées et mises à jour par le Ticketing Committee de l’IATA, dont les bureaux sont situés à Genève (Suisse). Le comité voit à l’élaboration de normes applicables aux billets d’avion, qu’il publie sous forme de résolutions et de pratiques recommandées.

Les billets d’avion sont offerts en deux formats : le billet papier (ce qu’a reçu le plaignant) et le billet électronique. Soixante pour cent des billets d’avion utilisés à l’heure actuelle sont des billets papier, le reste (40 %) étant des billets électroniques.

Les billets électroniques ne portent pas le numéro intégral de la carte de crédit. Seuls les quatre derniers chiffres du numéro figurent sur le reçu destiné au passager, ce qui est possible parce que chaque coupon est imprimé séparément, contrairement aux billets papier, qui sont carbonés. La billetterie électronique permet d’émettre des billets, d’effectuer un suivi et de documenter leur utilisation, de sorte qu’il n’est plus nécessaire de produire et de remettre des billets papier. Les données relatives au voyage du passager sont stockées dans un fichier conservé dans la base de données du transporteur aérien émetteur.

Le billet papier est en réalité un carnet de coupons. Chaque coupon est reproduit à l’aide de carbones et présente, par conséquent, les mêmes inscriptions que les autres. Les coupons servent à différentes fins, comme la comptabilité et la prévention de la fraude, et aident les préposés à l’enregistrement des transporteurs aériens pour l’émission des cartes d’embarquement. Le billet type de l’IATA est utilisé dans le monde entier par pratiquement tous les transporteurs aériens et agences de voyages; les tirages se chiffrent à des millions d’exemplaires. Pour ces raisons, la modification du format du billet nécessite de très longs délais.

Le Commissariat a examiné l’article 14.10.1 du Manuel BSP (Billing Settlement Plan) à l’usage des agents de l’IATA, qui concerne les ventes par carte de crédit – marches à suivre et pratiques locales. Selon les marches à suivre, les agents doivent inscrire le code d’identification de deux lettres de la compagnie de carte de crédit suivi du numéro de la carte de crédit dans la case relative au mode de paiement sur le document de transport.

Le Commissariat a parlé à des responsables de l’IATA au sujet du masquage des numéros de carte de crédit. Il a appris que la question fait depuis longtemps l’objet de discussions parmi les membres de l’Association. Bien que l’IATA ait exploré diverses solutions, aucune ne permettait le masquage du numéro de carte de crédit sur le coupon que le client reçoit puis remet au transporteur le jour du décollage. Étant donné que l’IATA oblige ses membres à utiliser des modèles de billet normalisés, les systèmes informatiques des agences de voyages et des transporteurs aériens nécessitent la saisie intégrale du numéro et de la date d’expiration de la carte de crédit, sans quoi le billet ne sera pas imprimé. Aucun moyen technique ne permet à l’heure actuelle de masquer le numéro de carte de crédit sur le billet papier. L’IATA précise qu’elle encourage les clients à choisir le billet électronique s’ils ne veulent pas que le numéro intégral de carte de crédit figure sur leur billet.

Le Commissariat a demandé s’il était possible de permettre aux agents de voyages de masquer le numéro de carte de crédit sur les billets papier d’un trait de crayon-feutre. Voici ce que l’Association a répondu :

[Traduction]
…en raison de l’importance du billet, toute modification d’un billet rend celui‑ci invalide en vertu de la Passenger Services Conference Resolution 722, paragr. 3.1.12, selon laquelle il est interdit en tout temps de modifier les inscriptions figurant sur le billet (une fois que celui‑ci a été émis par l’imprimante de l’agent ou de la compagnie aérienne), sauf dans les circonstances prévues par la Résolution 727. La Résolution 727 porte sur la modification des données relatives au vol et la revalidation. Les changements en question sont apportés au moyen de collants dont la forme correspond aux cases prévues sur le billet. Les changements manuscrits, comme les traits au crayon-feutre, seraient interdits.

L’IATA a déclaré publiquement l’abandon des billets papier après le 31 mai 2008. À partir du 1er juin 2008, seuls les billets électroniques seront utilisés, ce qui réglera la question de l’impression du numéro intégral de la carte de crédit sur les billets.

Conclusions

Rendues le 22 mai 2007

Application : Selon le principe 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. De plus, le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 met en lumière la connaissance et le consentement; il prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Enfin, le principe 4.8 prévoit qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Transfert des renseignements personnels à une tierce partie

Pour rendre sa décision, la commissaire s’est appuyée sur les considérations suivantes :

  • Le premier point abordé portait sur la terminologie. Le plaignant a qualifié le transfert des renseignements relatifs à sa carte de crédit au grossiste de « communication ». Or, il ne s’agissait pas, de l’avis de la commissaire, d’une « communication » selon la définition qu’en donne le Commissariat, mais bien d’une « utilisation », étant donné que l’agence est responsable des renseignements qu’elle recueille. Nonobstant les termes utilisés, le plaignant s’est opposé au transfert de ses renseignements personnels et estimait que le transfert avait eu lieu à son insu ou sans son consentement.
  • La commissaire a souligné que les organisations qui ont recours à tiers fournisseurs de services sont tenues, en vertu du principe 4.1.3, de fournir un degré comparable de protection aux renseignements. Dans le cas qui nous concerne, l’agence s’est acquittée de son obligation par un contrat conclu entre son bureau national et le grossiste, contrat prévoyant des clauses sur la protection des renseignements personnels.
  • Cependant, en dépit des efforts qu’elle a déployés pour savoir ce qu’il advient des renseignements qu’elle transmet au grossiste, l’agence n’en sait pas plus. Bien que la commissaire reconnaisse qu’il est tout à fait possible que le grossiste traite les renseignements personnels que l’agence lui fournit conformément aux dispositions de la Loi, il reste que l’agence n’a pas été en mesure de confirmer que c’était bien le cas. La commissaire a donc conclu que l’agence contrevenait au principe 4.1.3.
  • Quant à la question du consentement, elle a souligné que le Commissariat a de longue date adopté la position voulant que les entreprises ne sont pas tenues d’offrir à leurs clients le choix de s’opposer à la communication de leurs renseignements personnels si le tiers offre des services directement liés aux fins primaires pour lesquelles les renseignements personnels ont été recueillis. Dans le cas présent, le client avait consenti aux utilisations primaires de ses renseignements personnels lorsqu’il a fait l’achat d’un voyage. Le tiers offre des services à titre de grossiste en voyages qui sont directement liés aux fins primaires pour lesquelles les clients fournissent leurs renseignements personnels (c’est-à-dire l’achat d’un billet d’avion ou d’un forfait de voyage). Lorsque le client fournit ses renseignements, il consent en fait à leur transfert au grossiste. S’il ne veut pas que les renseignements soient transférés, il est libre de transiger avec une autre agence de voyages.
  • Quoi qu’il en soi, la commissaire a aussi rappelé à l’agence que les organisations doivent déployer des efforts raisonnables pour informer les clients sur l’utilisation ou la communication de leurs renseignements personnels. Dans le but de préciser davantage ses pratiques en matière de transfert de renseignements personnels au grossiste, l’agence de voyages a revu son manuel de service et a modifié la formulation de certaines phrases imprimées sur ses factures de manière à indiquer que les renseignements relatifs à la carte de crédit sont fournis au grossiste. La commissaire estime que les mesures prises répondent aux conditions énoncées dans les principes 4.3.2 et 4.3.
  • La commissaire a recommandé que l’agence se renseigne auprès du grossiste quant à la façon dont il traite les renseignements personnels qu’elle lui transmet.
  • L’agence a répondu qu’elle avait cessé de faire affaire avec le grossiste en question. La commissaire estime qu’il n’est plus nécessaire de maintenir la recommandation ou de poursuivre l’instruction de l’affaire.

Par conséquent, pour ce qui est du transfert des renseignements personnels, la commissaire conclut que la plainte est fondée et résolue.

Mesures de sécurité

[Les conclusions et recommandations de la commissaire concernant la pratique consistant à imprimer les renseignements relatifs à la carte de crédit sur les billets papier ont été transmises aux deux agences de voyages contre lesquelles le Commissariat avait reçu des plaintes au sujet de la pratique.]

  • La commissaire a convenu que la pratique consistant à imprimer le numéro et la date d’expiration de la carte de crédit au complet sur les billets papier ne favorise pas la protection des renseignements personnels. Le client reçoit le billet de l’agent de voyages, avec son numéro de carte de crédit figurant intégralement sur les coupons, qu’il doit remettre au personnel du transporteur aérien au moment de l’enregistrement.
  • L’inscription du numéro et de la date d’expiration de la carte de crédit constitue une condition actuelle, prescrite par un organisme de réglementation qui énonce le protocole relatif à l’émission des billets, servant à confirmer le paiement. Cependant, les préposés à l’enregistrement des passagers n’ont pas besoin de connaître le numéro de carte de crédit du client – seuls l’agence de voyages et le transporteur aérien ont besoin de ces renseignements pour l’achat du billet.
  • Bien qu’il n’existe à l’heure actuelle aucun moyen de masquer les numéros de carte de crédit qui figurent sur les billets papier, la commissaire s’inquiète du risque que représente cette communication inutile des renseignements personnels des clients. Vu la prolifération du vol d’identité, elle estime que cette pratique constitue une mesure de sécurité tout à fait inadéquate et contrevient au principe 4.7.
  • Le seul choix qui s’offre aux consommateurs est l’achat de billets électroniques, qui masquent l’information en question. Cependant, cette option n’a pas été offerte aux plaignants, et on ne leur a pas non plus fait savoir, au moment de l’achat, que leur numéro de carte de crédit figurerait sur le billet papier. Les organisations doivent, en vertu de la Loi, faire montre de transparence en ce qui concerne leurs politiques et pratiques, ce que n’auraient pas fait les agences de voyages dans ces deux cas.
  • La commissaire recommande donc que les agences :
  • informent les clients au moment de l’achat que le numéro et la date d’expiration de leur carte de crédit figureront intégralement sur le billet papier;
  • informent les clients qu’ils peuvent choisir le billet électronique, sur lequel ne figurent que les quatre derniers chiffres du numéro de la carte de crédit.
  • Les deux agences ont accepté de mettre en œuvre les recommandations. Tout en faisant remarquer que ce ne sont pas tous les transporteurs aériens et destinations qui offrent des billets électroniques, les agences disent encourager leurs clients à recourir aux billets électroniques lorsque c’est possible, ou à d’autres modes de paiement, dans le cas contraire. Une des agences a aussi ajouté sur ses factures une mention avertissant les clients que si un billet papier est émis, le numéro et la date d’expiration de leur carte de crédit apparaîtront sur le billet.

Convaincue que les mesures prises sont conformes aux conditions relatives aux mesures de sécurité et à la transparence requises, la commissaire conclut que les deux plaintes sont fondées et résolues.

Voir aussi

No 388 Ticketmaster Canada Limited a révisé ses politiques et pratiques relativement à la LPRPDE en vue de protéger les renseignements personnels de ses clients

No 377 : De mauvaises pratiques en matière de protection des renseignements personnels d’un cabinet d’avocats causent la perte de renseignements personnels; une demande d’accès refusée

Date de modification :