Une organisation tierce de locateurs a recueilli, utilisé et communiqué des renseignements personnels de locataires sans leur consentement

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-017

[Principes 4.3, 4.5, 4.7 et alinéa 4.7.3c); alinéa 7(3)b)]

Leçons apprises

  • Lorsqu’une organisation obtient des renseignements personnels d’une autre source, elle doit faire preuve de diligence raisonnable en  s’assurant qu’ils ont été recueillis avec le consentement de l’intéressé conformément à la Loi.
  • L’assurance que le consentement a été obtenu de la ou des parties concernées par les renseignements doit s’inscrire dans le cadre d’une entente contractuelle écrite conclue entre la personne qui a fourni lesdits renseignements et celle qui les a reçus.
  • Les renseignements personnels accessibles au moyen d’un portail Web doivent être protégés de façon adéquate (p. ex. par l’usage de mots de passe et du chiffrement) contre les personnes non autorisées.

Un défenseur des droits des locataires s’est plaint du fait que, sans avoir obtenu un consentement en bonne et due forme, une organisation recueillait, utilisait et communiquait des renseignements personnels sensibles au sujet des locataires à des fins diverses. Les renseignements étaient communiqués aux membres payants de l’organisation (soit des locateurs). Ils étaient accessibles à partir du site Web de l’organisation et, à un certain moment, certains d’entre eux pouvaient être consultés par quiconque bénéficiant d’un accès Internet.

Selon la commissaire adjointe, puisque tant l’organisation que les locateurs recueillaient, utilisaient ou communiquaient les renseignements, ils devaient tous veiller à obtenir le consentement approprié des personnes en cause aux fins pour lesquelles ces renseignements étaient appliqués. En tant que tierce partie, l’organisation doit s’assurer que les locataires sont informés des fins de la collecte et y consentir, au moment de celle-ci. La commissaire adjointe a aussi conclu que, pour la plupart, les documents utilisés par l’organisation et les locateurs ne suffisaient pas à informer les locataires actuels ou futurs de la façon dont leurs renseignements personnels seraient utilisés ou communiqués, pas plus qu’ils ne pouvaient être considérés comme un formulaire de consentement à ces fins. Bien qu’elle ait formulé des recommandations auprès de l’organisation, nous n’avons pas été en mesure d’effectuer un suivi puisque l’organisation a mis fin à ses activités.

Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

A) Collecte, utilisation et communication

En échange d’une cotisation, l’organisation offrait divers services aux locateurs, notamment la vérification des antécédents des locataires ainsi que la localisation et le suivi de ces derniers. En outre, sur son site Web, elle compilait et gérait deux listes de renseignements personnels concernant les locataires : une sur les « mauvais » locataires et une autre sur les locataires en défaut de paiement. Les membres avaient accès à cette information.

L’entente d’adhésion à l’organisation stipulait que les membres étaient tenus de transmettre les renseignements personnels de leurs éventuels, actuels ou anciens locataires à l’organisation pour deux listes de locataires. Les locateurs devaient l’aviser des locataires en défaut de paiement, fournir des preuves de l’arriéré de loyer (par divers moyens) et l’autoriser à faire mettre à jour le rapport de solvabilité des locataires. L’organisation rassemblait ces renseignements et les ajoutait à l’une des listes qu’elle tenait ou aux deux. Parmi les autres renseignements qu’elle demandait à ses membres se trouvaient le numéro d’assurance sociale du locataire, sa date de naissance, son adresse, la date de début de la location, la date du dernier paiement, le montant qu’il devait au locateur, le taux et la fréquence de location ainsi que le nom de son employeur.

Auparavant, l’organisation avait convenu de retirer sa liste sur les « mauvais » locataires dans les 90 jours et de la remplacer par un système conforme à la LPRPDE. Toutefois, il semble que cette liste était toujours accessible.

Avis et consentement

Les locataires eux‑mêmes n’ont pas pu accorder leur consentement à l’organisation pour qu’elle recueille, utilise ou communique leurs renseignements personnels. D’autre part, par l’entremise de son entente d’adhésion, l’organisation avait informé ses membres qu’ils avaient besoin du consentement des personnes avant de lui demander leurs antécédents en matière de crédit et de location (par exemple, au moment de vérifier les antécédents d’un locataire).

Pour que les locateurs puissent recueillir les renseignements personnels des locataires, l’organisation comptait sur plusieurs formulaires qu’elle fournissait à ses membres. L’un de ces documents (pour usage en Ontario) est le formulaire de demande ontarien pour les immeubles résidentiels (Ontario Residential Property Application Form). En vue de le remplir, il faut obtenir du locataire éventuel certains renseignements personnels comme le numéro d’assurance sociale, la date de naissance et des informations bancaires.

Un autre formulaire que les membres pouvaient utiliser était celui sur l’entente de location. Il ne contenait aucune référence au fait que les renseignements personnels du locataire pourraient être ajoutés à une liste sur les « mauvais » locataires compilée par l’organisation ni au fait que ces renseignements seraient accessibles sur le site Web de celle‑ci advenant un défaut de paiement ou des dommages matériels. Le formulaire ne mentionnait pas non plus que les renseignements personnels pouvaient aussi servir à mettre à jour le rapport de solvabilité du locataire auprès d’une agence d'évaluation du crédit, ce qui constituait une pratique courante.

B) Mesures de sécurité

Le plaignant a allégué en outre que l’organisation ne protégeait pas adéquatement les renseignements personnels qu’elle avait recueillis et conservés. Plus précisément, il était allégué que les renseignements personnels de nature sensible étaient accessibles au public par l’entremise de la liste des locataires récalcitrants affichée sur le site Web de l’organisation. Un employé d’une association de locataires avait découvert qu’en changeant le numéro d’identification dans une adresse URL sur le site, il pouvait accéder à plus de 1 300 récents dossiers de locataires inscrits sur cette liste. Les renseignements comprenaient les noms, adresses, numéros de téléphone de ces personnes de même que d’autres renseignements potentiellement sensibles ou stigmatisants, par exemple s’il s’agissait de bénéficiaires de l’aide sociale, s’ils étaient reconnus pour leur consommation d’alcool ou de drogues, s’ils étaient endettés ou s’ils avaient des relations personnelles difficiles.

Avant que notre enquête soit terminée, l’organisation avait pris les mesures nécessaires pour protéger convenablement la liste. Ainsi, elle n’était plus à la disposition de toute personne simplement au moyen de l’accès à l’adresse URL.

Conclusions

Rendues le 11 décembre 2009

Application : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. L’alinéa 7(3)b) précise que l’organisation ne peut communiquer de renseignements personnels à l'insu de l’intéressé et sans son consentement que si la communication est faite en vue du recouvrement d'une créance que celle‑ci a contre l’intéressé. Le principe 4.5 prévoit que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Enfin, l’alinéa 4.7.3c) énonce que les méthodes de protection devraient comprendre des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

A) Collecte, utilisation et communication

  • L’organisation peut être considérée à titre de tiers étant donné qu’elle ne recueillait pas directement les renseignements personnels des locataires ni ne communiquait ces renseignements aux locataires. Elle recevait plutôt régulièrement les renseignements personnels de la part des locateurs qui les avaient recueillis auprès de leurs locataires ou locataires éventuels. L’organisation utilisait par la suite ces renseignements ou les communiquait à ses membres.
  • Quelles sont les obligations de l’organisation à titre de tiers en ce qui a trait au consentement? Lorsqu’elle traite des renseignements personnels de tiers dans le respect du principe 4.3, l’organisation doit faire preuve de diligence raisonnable. Pour ce faire, l’organisation doit à tout le moins utiliser des dispositions contractuelles convenables stipulant que ses membres obtiennent le consentement approprié. Elle peut également exiger une preuve indiquant que le consentement a bel et bien été obtenu. Le résumé de conclusions d’enquête no 2003-182 offre un sommaire notre point de vue à cet égard.
  • La présomption d’avoir obtenu le consentement peut suffire dans certains cas. Dans le résumé de conclusions d’enquête no 2003-188, le contrat de services type entre une agence d'évaluation du crédit et ses membres énonçait l’obligation des membres d’obtenir le consentement. Ainsi, le Commissariat a déterminé que, dans cette affaire, il était raisonnable pour une agence d'évaluation du crédit de présumer que le consentement des personnes avait été obtenu par les membres qui avaient accepté les conditions du contrat.

Pertinence des contrats, ententes et formulaires

  • Dans le présent cas, l’organisation offrait une vérification des antécédents des locataires aux locateurs (qui comprenait, selon la description, une vérification de la solvabilité, une recherche relative aux expulsions, une confirmation de la banque et de l’emploi ainsi qu’un historique de location). Nous avons remarqué que le contrat de services de l’organisation (c.‑à‑d. l’entente d’adhésion) exigeait des locateurs qu’ils obtiennent le consentement des locataires avant de lui demander des renseignements au sujet des antécédents en matière de crédit et de location des demandeurs. Par conséquent, la commissaire adjointe a déterminé qu’il était raisonnable que l’organisation présume que les locateurs qui avaient accepté les conditions du contrat avaient demandé le consentement des locataires à cette fin. Toutefois, elle a fait valoir que l’organisation avait été négligente en ne mentionnant pas dans le contrat de services l’obligation du locateur d’obtenir le consentement des locataires lorsqu’il recueillait leurs renseignements personnels aux fins de la mise à jour des antécédents en matière de crédit auprès d’une agence d'évaluation du crédit ou de l’ajout à la liste des mauvais locataires ou des locataires en défaut de paiement.
  • Du point de vue de la commissaire adjointe, il était clair que les locateurs membres devaient également veiller à obtenir le consentement approprié pour la collecte, l’utilisation et la communication des renseignements personnels de leurs locataires.
  • Est‑ce que les formulaires du locataire fournis par l’organisation aidaient les locateurs à respecter leur obligation d’obtenir le consentement du locataire? La commissaire adjointe a déterminé que les deux formulaires à remplir par les locataires n’offraient pas d’information adéquate en ce qui a trait aux raisons pour lesquelles les renseignements étaient recueillis par les locateurs ou seraient éventuellement utilisés ou communiqués par ceux‑ci ou l’organisation et ne demandaient pas leur consentement à cet effet. Étant donné que les renseignements étaient recueillis à des fins non expliquées dans les formulaires, le principe 4.5 a été enfreint.
  • Le premier formulaire, le formulaire de demande ontarien pour les immeubles résidentiels, énonce les fins et présente un libellé de consentement permettant au locateur de procéder à une enquête de même qu’à des tiers, comme les banques ou des références, de fournir les renseignements au locateur. Toutefois, il ne présente aucun libellé indiquant que l’information serait par la suite utilisée et communiquée par des tiers comme l’organisation de locateurs, ni sur la façon d’y procéder.
  • En deuxième lieu, le formulaire d’entente de location énonçait que les renseignements personnels des locataires qui pouvaient être transmis à un locateur à des fins de vérification des antécédents devaient être utilisés pour l’aider à déterminer la capacité d’un locataire à louer, pour récupérer un loyer arriéré, pour localiser ou suivre un locataire et aux fins d’alertes relatives à l’emploi. Toutefois, il ne présentait aucune référence précise à la façon dont les renseignements personnels du locataire (lorsque le loyer n’est pas payé ou que la propriété est endommagée) pourraient être ajoutés à la liste des mauvais locataires de l’organisation. De plus, le formulaire d’entente de location n’énonçait pas que les renseignements personnels pourraient être transmis à l’organisation aux fins de la mise à jour du rapport de solvabilité du locataire auprès d’une agence d'évaluation du crédit.
  • Enfin, la commissaire adjointe a déterminé si une des exceptions en matière de consentement en vertu du principe 4.3 pouvait s’appliquer. L’une d’elles semblait pertinente selon les circonstances : l’alinéa 7(3)b) permet à une organisation de communiquer les renseignements personnels d’une personne à son insu et sans son consentement uniquement en vue du recouvrement d’une créance que celle-ci a contre la personne. Toutefois, la commissaire adjointe n’est pas convaincue que le fait d’inscrire le nom d’une personne sur une base de données de mauvais locataires ou de locataires en défaut de paiement et de rendre ces renseignements disponibles aux autres locateurs pouvait aider à recouvrir une créance contre cette personne. De plus, dans le cadre de notre enquête, l’organisation n’a pas voulu coopérer afin de clarifier cette affaire. Ainsi, la commissaire adjointe a déterminé qu’aucune des exceptions relatives au consentement du principe 4.3 ne s’appliquait.

B) Mesures de sécurité

  • Bien que notre enquête ait établi que les renseignements personnels de plus de 1 300 personnes accessibles par l’entremise du site Web n’avaient pas été protégés de manière adéquate par l’organisation, la commissaire adjointe a déterminé que le problème avait été réglé et que des mesures de protection adéquates avaient depuis été mises en place relativement à la liste des locataires en défaut de paiement.
  • En ce qui a trait aux questions non résolues en matière de consentement, la commissaire adjointe a émis les recommandations suivantes :
    • Réviser l’entente d’adhésion afin d’établir clairement que les locateurs doivent obtenir le consentement valable du locataire en vue de communiquer ses renseignements personnels au mis en cause. L’entente révisée devrait également contenir l’exigence que les locateurs fournissent une confirmation écrite de l’obtention du consentement du locataire;
    • Réviser le formulaire d’entente de location afin qu’il comprenne une disposition de consentement précise aux fins de la communication des antécédents et des renseignements personnels du locataire au mis en cause;
    • Confirmer que la liste des mauvais locataires, ou toute autre compilation de renseignements personnels, a été supprimée;
    • Confirmer que toute autre liste sera supprimée, à moins que le mis en cause ne puisse prouver que le consentement valable des locataires a été obtenu;
    • Confirmer que la liste des locataires en défaut de paiement a été protégée de manière appropriée.
  • Le Commissariat n’a pas été en mesure d’effectuer un suivi des recommandations étant donné que l’organisation a mis fin à ses activités.

Conclusion

La commissaire adjointe a conclu que la plainte relative au consentement était fondée. La plainte relative aux mesures de sécurité a été résolue.

Autre

À la suite de notre enquête, l’affaire a été renvoyée aux commissariats à l’information et à la protection de la vie privée de la Colombie‑Britannique et de l’Alberta. L’Alberta a entamé une enquête au sujet des activités d’une organisation similaire. La Colombie-Britannique surveille les services aux locateurs faisant affaire dans son territoire de compétence.

Voir également

Les résumés de conclusions d’enquête nos 2003-182 et 2003-188.

Date de modification :