Une mauvaise gestion des demandes d'accès d'un client entraîne la suppression de ses renseignements personnels sans raison valable

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2010-003

[Principes 4.5, 4.9 et 4.9.4; paragraphes 8(3), 8(4) et 8(8)]

Leçons apprises

  • Lorsqu’elle reçoit la demande d’une personne, l’organisation doit déterminer le plus rapidement possible si elle est en mesure de répondre à la demande dans le délai initial prévu par la Loi. Il faut respecter des délais précis pour donner suite aux demandes.
  • Si elle estime qu’elle ne dispose pas de suffisamment de temps et demande une prorogation, l’organisation doit aviser le plaignant par écrit dans les 30 jours suivant la demande d’accès, afin de l’informer du nouveau délai, des motifs de la prorogation (à savoir, les raisons énoncées au paragraphe 8(4)) et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.
  • Dans le cas des renseignements personnels contenus dans une demande d’accès précise, les organisations devraient envisager de retarder et, au besoin, de ne pas appliquer leurs pratiques habituelles de suppression et de conservation jusqu’à ce que la personne ait épuisé ses recours en vertu de la Loi pour avoir accès à ces renseignements. Mentionnons que cette conservation plus longue des renseignements concerne également les enregistrements sonores et vidéo susceptibles de renfermer des renseignements personnels sur la personne.

La première demande d’un client en vue d’avoir accès à ses renseignements personnels a été ignorée par l’organisation. Sa deuxième, quelques mois plus tard, a exigé une prorogation pour y donner suite, même si le client n’a pas été dûment informé de la prorogation dans les délais prescrits par la Loi. Celui-ci a également perdu de façon permanente l’accès à certains de ses renseignements personnels lorsqu’ils ont été supprimés par l’organisation conformément à ses pratiques courantes de conservation, sans tenir compte du délai qui s’était écoulé entre sa première et sa deuxième demande d’accès.

La commissaire adjointe a obtenu l’engagement de la part de l’organisation qu’elle allait améliorer ses politiques et ses pratiques concernant les demandes d’accès des clients et qu’elle allait tenir compte de cette situation particulière dans sa politique de conservation des renseignements personnels dans le cas d’une demande d’accès non réglée.

Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

La demande d’un client pour accéder aux renseignements personnels recueillis à son sujet par une importante entreprise de télécommunications est demeurée sans réponse, malgré l’envoi de nombreux courriels de rappel pendant sept mois. Selon l’entreprise, la première demande a été mal acheminée et mal gérée par l’un de ses bureaux. On a alors invité le client à faire une nouvelle demande, ce qu’il a fait plusieurs mois après la première, mais cette fois en l’adressant précisément au responsable de la protection de la vie privée.

À ces deux occasions, il a demandé d’avoir accès à l’ensemble des notes et des conversations enregistrées concernant plusieurs comptes, dont certains dataient de 13 ans.

Or, l’entreprise n’a pas donné suite à cette deuxième demande dans un délai de 30 jours, comme l’exige la Loi. Toutefois, cinq semaines après l’envoi de cette demande, l’entreprise a téléphoné au client, afin de lui demander l’autorisation de proroger le délai en raison du volume important de renseignements demandés.  

Plus de 70 jours après la date de sa deuxième demande, l’entreprise a envoyé au plaignant des copies de l’ensemble des notes concernant ses comptes. Ce plus long délai était attribuable en partie au décodage et à la transcription qu’il a été nécessaire d’effectuer pour certains renseignements qui étaient dans un format de données qui n’est plus utilisé par le système informatique actuel de l’entreprise.  

Les enregistrements d’appels du client concernant ses comptes ne faisaient pas partie des renseignements envoyés. L’entreprise nous a informés qu’elle avait effacé tous les enregistrements de plus de six mois, avant la date de sa deuxième plainte, conformément à leur politique de conservation.

Même si l’entreprise avait en sa possession des enregistrements d’appels du client qui dataient de six mois avant sa première demande (mal gérée), ceux-ci ont depuis été détruits conformément à leur politique habituelle de conservation.

Constatations

Rendues le 28 septembre 2010

Application : Le principe 4.9 stipule qu’une organisation doit informer toute personne qui en fait la demande de l’existence de documents personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter.

Le paragraphe 8(3) établit que l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception.

Le paragraphe 8(4) stipule qu’une organisation peut proroger le délai de traitement d’une période maximale de 30 jours dans les cas où l’observation du délai entraverait gravement l’activité de l’organisation, ou où toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible le respect du délai. Lorsqu’une organisation doit transférer les renseignements personnels sur un support de substitution (p. ex., un format qui permet à une personne souffrant d’un handicap d’ordre sensoriel de lire ou d’écouter les renseignements visés), elle peut proroger le délai de traitement pour la période nécessaire au transfert.

Toujours conformément au paragraphe 8(4), l’organisation est tenue de faire parvenir au demandeur, dans les 30 jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

Le paragraphe 8(8) stipule que, malgré le principe 4.5 de l’annexe 1, l’organisation qui détient un renseignement faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser ses recours en vertu de la partie 1 de la Loi.

Enfin, le principe 4.9.4 prévoit qu’une organisation qui reçoit une demande de communication de renseignements doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes. Les renseignements demandés doivent être fournis sous une forme généralement compréhensible. Par exemple, l’organisation qui se sert d’abréviations ou de codes pour l’enregistrement des renseignements doit fournir les explications nécessaires.  

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • L’entreprise n’a pas donné suite à la première demande du client ni aux messages qui ont suivi.
  • Même si elle s’est vue accorder une deuxième chance, l’organisation n’a pas respecté son obligation d’aviser le demandeur dans les 30 jours suivant la date de la demande d’accès qu’un délai plus long serait nécessaire pour traiter la demande. Elle a également omis de fournir les raisons, ainsi que les autres renseignements requis, conformément au paragraphe 8(4). La commissaire adjointe a constaté également que lorsqu’elle a avisé le client du délai, elle l’a fait par téléphone et non par écrit.
  • Toutefois, l’organisation a finalement fourni au plaignant les renseignements personnels à son sujet qui étaient toujours en sa possession, et les lui a remis sous une forme compréhensible, respectant ainsi les principes 4.9 et 4.9.4.
  • Il manquait toutefois les enregistrements des appels qui ont été effacés par l’entreprise à cause de sa politique de conservation de six mois pour les enregistrements sonores et du fait qu’elle n’a pas répondu à la première demande du plaignant, reçue huit mois plus tôt. L’entreprise n’a donc pas observé le paragraphe 8(8), qui exige de l’entreprise qu’elle conserve les renseignements personnels faisant l’objet d’une demande aussi longtemps que nécessaire afin de permettre à la personne d’épuiser ses recours en vertu de la Loi.  
  • La commissaire adjointe a noté que cette suppression est fâcheuse et irréversible. Elle aurait pu être évitée si l’entreprise avait adéquatement traité la première demande d’accès du plaignant ou si elle avait répondu aux messages envoyés par la suite par le plaignant, si elle était dans le doute.

À la suite de la participation du Commissariat dans cette affaire, l’entreprise a convenu de revoir ses procédures afin de faire en sorte que les membres du personnel du service à la clientèle et leurs gestionnaires se montrent plus vigilants à l’égard des délais pour répondre aux demandes d’accès des clients et qu’ils respectent toutes les dispositions du paragraphe 8(4) relatives aux prorogations. Les procédures modifiées de l’entreprise exigeront également de la part du personnel qu’il obtienne des précisions des clients lorsque les demandes d’accès ne sont pas claires et qu’il consulte le responsable de la protection de la vie privée en temps opportun chaque fois qu’il y a une incertitude. Enfin, l’entreprise nous a assurés que, dès réception d’une demande d’accès, on veillerait à conserver tous les enregistrements téléphoniques liés au dossier jusqu’à ce que la demande d’accès soit traitée et que suffisamment de temps pour répondre ait été accordé.

Conclusion

La commissaire adjointe a conclu que tant la plainte concernant le délai que la plainte concernant l’accès étaient fondées et résolues.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :