Compagnie aérienne doit veiller à ce que ses politiques soient conformes aux lois canadiennes sur la protection des renseignements personnels

Rapport de conclusions en vertu de la LPRPDE n^o 2011-002

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

1. Le plaignant allègue que Koninklijke Luchtvaart Maatschappij n.v, qui exerce ses activités sous le nom de KLM Royal Dutch Airlines (KLM), a omis de lui fournir des informations concernant ses politiques et pratiques en matière de gestion de ses renseignements personnels.

2. Le plaignant allègue également que KLM ne lui a pas permis d’avoir accès à ses renseignements personnels ainsi qu’à ceux des membres de sa famille, lesquels avaient été recueillis et utilisés pour des vols sur KLM en 2005.

Résumé de l’enquête

Compétence

3. Après une analyse exhaustive, le Commissariat a décidé qu’il avait compétence pour enquêter sur les deux plaintes, malgré le fait que KLM soit une société aérienne internationale dont le siège social est situé à Amstelveen, aux Pays-Bas.

4. Dans Lawson c. Accusearch Inc., [2007] 4 R.C.F. 314, la Cour fédérale a déterminé que le critère applicable pour déterminer si la commissaire a compétence en vertu de la LPRPDE pour faire enquête sur une plainte portée contre une organisation étrangère est celui du lien réel et substantiel de la question en litige, des parties ou du territoire avec le Canada. 

5. Dans les circonstances, nous avons conclu qu’il y avait un lien réel et substantiel avec le Canada. Voici un résumé de notre raisonnement :

1. Le plaignant et les membres de sa famille sont des résidents canadiens qui demandent accès à leurs renseignements personnels;
2. KLM offre des services au Canada et dispose d’employés dans plusieurs aéroports internationaux situés au Canada;
3. KLM a une version canadienne d’un site Web qui cible les Canadiens de façon active, qui est accessible par des Canadiens et à partir duquel des Canadiens peuvent réserver des vols auprès de KLM;
4. KLM exploite de façon régulière des vols réguliers sans escale vers et à partir de destinations canadiennes;
5. Le plaignant a initialement réservé un vol partant de Toronto exploité par KLM;
6. KLM doit recueillir des renseignements personnels auprès de passagers canadiens de façon à offrir ses services aux passagers canadiens.

Accès

6. Le  plaignant et les membres de sa famille étaient des passagers de KLM, initialement enregistrés pour un voyage en provenance de l’étranger vers Toronto, avec deux correspondances. Dans une des deux villes de correspondance, les billets ont cependant été échangés pour deux vols distincts de KLM et un vol d’Air Canada pour Toronto.

7. Le plaignant soutient que dans une lettre datée du 10 janvier 2009, il a demandé à KLM l’accès aux dossiers de renseignements des passagers le concernant ainsi que les membres de sa famille, y compris à leurs données personnelles, aux détails relatifs au traitement de leurs données (dont les objectifs du traitement), ainsi qu’à tous les destinataires de leurs données. En fait, il a demandé l’accès à 13 types de renseignements personnels concernant deux vols que lui et sa famille avaient pris.  

8. KLM déclare qu’elle a reçu du plaignant une lettre demandant les mêmes renseignements le 17 mars 2009 par International Expresspost. Elle a répondu et a fourni au plaignant une mise à jour par courriel le 28 avril 2009.

9. Dans sa lettre du 6 mai 2009, KLM a officiellement répondu à la demande déclarant qu’étant donné que quatre années s’étaient écoulées depuis les vols, KLM était incapable de retrouver un seul des renseignements demandés concernant les passagers identifiables, à l’exception des renseignements concernant l’enregistrement relatif à un vol dont une copie a été transmise au plaignant.

10. N’étant pas satisfait de la réponse de KLM, le plaignant a déposé une plainte auprès du Commissariat en date du 10 juin 2009.

11. Dans ses observations présentées au Commissariat, que nous avons reçues le 18 février 2010, KLM soulignait qu’elle n’avait [traduction] « aucune autre information qui semblait être pertinente à la présente enquête » étant donné que les renseignements concernant le plaignant avaient été retirés du système de contrôle des réservations et des départs de KLM des années auparavant. Elle a aussi fait savoir que, même si certains des renseignements concernant le plaignant avaient été conservés plus longtemps — à des fins d’inter réseautage et de comptabilité —, ils avaient également été effacés à un moment donné, conformément aux politiques de conservation des sociétés aériennes.

12. En juin 2010, KLM a reconfirmé au Commissariat qu’elle n’avait aucune autre information concernant la présente affaire et qu’elle traitait toutes les données concernant les passagers conformément aux dispositions de la Dutch Personal Data Protection Act, lequel est fondé sur la Directive 95/46/CE.

13. Elle a précisé que même si elle avait traité des renseignements personnels concernant le plaignant contenus dans les dossiers passagers (DP), ces renseignements n’étaient pas conservés pour une longue période. En conséquence, KLM ne pouvait pas retracer les DP si longtemps après les dates de vol du plaignant.

Transparence

14. Dans sa même lettre du 10 janvier 2009, le plaignant demandait à KLM de l’information concernant ses politiques relatives à l’utilisation, à l’accès, à la conservation et à la destruction de ses données, y compris celles des destinataires de ses données, en particulier ceux se trouvant à l’extérieur de l’Union européenne.

15. Dans sa réponse du 6 mai 2009, KLM n’a pas traité de cet aspect de la demande du plaignant.

16. Lors de notre enquête, nous avons examiné la politique de KLM en matière de renseignements personnels, la seule politique en cette matière accessible sur son site Web principal (www.klm.com), dont l’application semble destinée à tous les individus peu importe leur pays ou la langue qu’ils choisissent lorsqu’ils accèdent au site Internet.

17. La politique fournit les explications suivantes : a) les objectifs de la collecte et du traitement par la société des renseignements personnels des passagers; b) la façon dont ces renseignements personnels sont utilisés; c) la façon pour une personne d’accéder à ses renseignements personnels; d) la façon pour une personne de retirer son consentement à l’usage de renseignements personnels, à moins qu’il ne soit pas approprié de le faire; e) la façon de mettre à jour ou de corriger des renseignements personnels; f) la façon dont les renseignements personnels sont protégés par KLM; g) la façon dont des renseignements personnels sont transmis à des pays situés hors des frontières de l’Union européenne; h) la façon de communiquer avec l’agent chargé de la protection des renseignements personnels.

18. Les personnes qui souhaitent examiner ou faire corriger leurs renseignements personnels ou qui s’opposent à leur utilisation sont invitées à présenter une demande écrite, accompagnée d’une preuve d’identité, au bureau de la protection des renseignements personnels situé aux Pays-Bas.

Champ d’application

19. Pour tirer nos conclusions, nous avons appliqué les paragraphes 8(3), 8(4) et 8(5) ainsi que les principes 4.1.4, 4.8, 4.8.1, 4.8.2, 4.9 et 4.9.4.

20. Le paragraphe 8(3) stipule que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Le paragraphe 8(4) prévoit que l’organisation peut proroger le délai d’une période maximale de trente jours dans les cas suivants : l’observation du délai entraverait gravement l’activité de l’organisation; toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai. Elle peut également proroger le délai, en vertu du même paragraphe, de la période nécessaire au transfert des renseignements visés sur support de substitution. De façon à se prévaloir des dispositions du paragraphe 8(4), l’organisation envoie au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai et de son droit de déposer une plainte auprès du commissaire à propos de la prorogation.

21. Le paragraphe 8(5) prévoit que faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande.

22. Le principe 4.1.4 établit que les organisations doivent mettre en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l'information relative aux politiques et pratiques de l'organisation; d) la rédaction des documents explicatifs concernant les politiques et procédures de l'organisation.

23. Selon le principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.  Le principe 4.8.1 établit ce qui suit : « Les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans effort déraisonnable de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible ». Tout aussi pertinent, le principe 4.8.2 stipule ce qui suit : « Les renseignements fournis doivent comprendre : a) le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de l’organisation et à qui il faut acheminer les plaintes et les demandes de renseignements; b) la description du moyen d’accès aux renseignements personnels que possède l’organisation; c) la description du genre de renseignements personnels que possède l’organisation, y compris une explication générale de l’usage auquel ils sont destinés; d) une copie de toute brochure ou autre document d’information expliquant la politique, les normes ou les codes de l’organisation; e) la définition de la nature des renseignements personnels communiqués aux organisations connexes (par exemple, les filiales).

24. Le principe 4.9 stipule qu’une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Nous avons également appliqué le principe 4.9.4, lequel indique qu’une organisation doit répondre à la demande présentée par une personne dans un délai raisonnable.

Conclusions

Le 15 avril 2011

25. Le 4 octobre 2010, le Commissariat a publié un rapport d’enquête préliminaire, dans lequel nous avons signalé que les actes de KLM n’étaient pas conformes à diverses dispositions de la Loi et nous avons fait des recommandations à KLM, en vue d’aider l’organisation à s’acquitter de ses obligations. KLM a répondu aux recommandations.

26. L’analyse qui suit est fondée sur le rapport d’enquête :

27. La question qui est en cause au départ est celle de savoir si KLM a refusé au plaignant l’accès à ses renseignements personnels.

28. KLM a déclaré à un moment donné qu’elle ne traitait pas les demandes transmises par courriel. Notre enquête ne nous a toutefois pas permis de déterminer si une première demande que le plaignant aurait présentée en janvier 2009 avait été transmise par courriel. Par ailleurs, nous avons établi que la deuxième demande du plaignant a été présentée en mars 2009 sous la forme d’une lettre et qu’elle a été transmise par International Expresspost.

29. Il a été accusé réception en date du 28 avril 2009 de la demande faite le 17 mars 2009, à laquelle aucune réponse officielle n’a été transmise avant le 6 mai 2009. En vertu du paragraphe 8(3), la Loi accorde un délai de trente jours à l’organisation saisie de la demande pour y donner suite, sauf si une prorogation est demandée. En l’espèce, aucun élément de preuve ne démontre que KLM ait informé le plaignant qu’une prorogation lui était nécessaire, bien qu’elle soit tenue de le faire en vertu du paragraphe 8(4). Le paragraphe 8(5) de la Loi prévoit également que faute de répondre à la demande dans les trente jours, l’organisation est réputée avoir refusé d’y acquiescer. La réponse a manifestement été transmise après un délai de plus de trente jours; en conséquence, le plaignant s’est vu refusé l’accès à ses renseignements personnels par KLM aux termes des paragraphes 8(3) et 8(5).

30. KLM a répondu au plaignant qu’aucun renseignement personnel n’était encore disponible autre que l’information relative à l’enregistrement d’un des vols. Cette réponse semble acceptable étant donné que trois ans se sont écoulés depuis la date des vols et la première demande du plaignant. La Loi stipule que les organisations ne sont tenues de conserver des renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. À moins d’être en présence de circonstances atténuantes, on pourrait se demander pourquoi on devrait s’attendre à ce que KLM conserve les renseignements personnels du plaignant plus longtemps. En conséquence, nous sommes convaincus que le plaignant a reçu tous les renseignements personnels visés par sa plainte, dans la mesure où ils existaient toujours.

31. À notre avis, compte tenu de la confusion entourant la première demande du plaignant (dont nous avons obtenu une copie imprimée du plaignant) et du délai à l’intérieur duquel la réponse à la deuxième a été faite, KLM a besoin d’une procédure de traitement des demandes d’accès aux renseignements personnels qui soit claire et à laquelle adhérera le personnel de KLM responsable du traitement de ces demandes. La nouvelle procédure pourrait également avantageusement comprendre un volet de formation du personnel. Ce faisant, KLM respecterait les exigences du principe 4.1.4. 

32. La deuxième question en cause est celle de savoir si, comme le requiert le principe 4.8, KLM met à la disposition de toute personne des renseignements précis sur ses politiques et pratiques concernant la gestion des renseignements personnels et, de façon plus précise, si elle les a mis à la disposition du plaignant lorsqu’il les a demandés.

33. Notre enquête portant sur la politique de confidentialité en ligne de KLM pour son site Web du Canada a mené à la conclusion que cette politique est incomplète, ne respecte pas les exigences de la Loi et ne contient pas de renseignement détaillé sur les politiques et pratiques de KLM concernant la gestion des renseignements personnels. Notre enquête confirme que lorsque le plaignant a précisément demandé ce type de renseignements à KLM, il n‘a reçu aucune réponse appropriée. À notre avis, cette approche est loin d’être satisfaisante et contrevient au principe 4.8 de la Loi.

Recommandations transmises à KLM

34. Dans le rapport d'enquête, nous avons recommandé ce qui suit :

• Que KLM élabore une procédure simple et claire de demande d’accès aux renseignements personnels et qu’elle la mette à la disposition des clients.
• Que KLM veille à ce que la politique de confidentialité destinée à la version canadienne de son site Web respecte les exigences de la Loi et que cette politique de confidentialité en ligne contienne soit de l’information concernant la gestion des renseignements personnels par la société soit, à tout le moins, des indications soulignant qu’il est possible d’obtenir sur demande ce type d’information.

Réponses de KLM aux recommandations

35. KLM a répondu au Commissariat le 15 novembre 2010, après une prorogation de quinze jours au délai habituel de trente jours, accordée par le Commissariat. La société a affirmé que les renseignements concernant ses politiques et pratiques étaient facilement accessibles à partir de son site Web. En outre, KLM a déclaré qu’on pouvait s’attendre à ce que le plaignant recherche ces renseignements sur le site Web de KLM et qu’il les trouve à cet endroit. KLM a expliqué que la Dutch Personal Data Protection Act, à laquelle elle adhère, n’exige pas des politiques et pratiques en matière de gestion des renseignements personnelles qui soient plus transparentes que celles établies par KLM.

36. De l’avis de KLM, la Dutch Data Protection Authority exerce un contrôle sur KLM en matière de sécurité des renseignements personnels en vertu de la Dutch Personal Data Protection Act. Cette loi régit également l’utilisation juste et équitable que fait KLM des renseignements et le traitement des demandes de renseignements par KLM. Cette dernière a mentionné qu’elle ignorait que le Commissariat à la protection de la vie privée du Canada exerçait sa compétence sur la façon dont KLM protégeait les renseignements personnels. KLM a également expliqué que la législation néerlandaise n’autorisait les personnes qu’à voir leurs renseignements personnels, et non à y avoir accès.

37. KLM nie qu’elle a refusé au plaignant l’accès à ses renseignements personnels et souligne qu’elle a reçu une demande d’accès complète de la part du plaignant seulement le 17 mars 2009, par International Expresspost. (KLM soutient toujours qu’elle a reçu une demande antérieure par courriel, laquelle ne contenait aucune preuve de l’identité du demandeur). Afin de compléter ses recherches quant à la deuxième demande, KLM a demandé davantage de temps et elle estime que si elle a erré, c’est en ne fournissant pas de compte rendu convenable sur son enquête en cours. KLM souligne que ce compte rendu a finalement été fourni au plaignant le 28 avril 2009.

38. Nous convenons que KLM aurait dû informer plus tôt le plaignant sur l’état de sa seconde demande. En attendant environ six semaines avant de le faire, jusqu’au 28 avril 2009, KLM a enfreint les dispositions du paragraphe 8(3) de la Loi prévoyant qu’il doit être donné suite à une demande avec la diligence voulue dans les trente jours suivant sa réception. 

39. En ce qui concerne plus précisément notre deuxième recommandation, KLM a exprimé le désir de modifier sa politique de confidentialité de façon à la rendre conforme aux exigences de la Loi, et cela dès qu’elle aura été informée sur la façon de modifier sa politique actuelle. 

40. Le Commissariat a communiqué avec KLM le 23 décembre 2010, pour expliquer que son mandat ne nous permettait pas d’offrir des services de consultation sur l’élaboration d’une politique de confidentialité conforme aux exigences de la Loi.Nous avons cependant transmis à KLM de la documentation propre à aider l’organisation à comprendre ses obligations en vertu de la Loi et à les respecter. Nous avons également suggéré de consulter les politiques de confidentialité en ligne d’autres sociétés aériennes exerçant des activités au Canada.

41. Par l’entremise d’un courriel daté du 17 février 2011, KLM a fait savoir au Commissariat que ses plans de mise à jour de la politique de confidentialité de KLM avaient été reportés en raison de problèmes techniques, mais que KLM informerait par écrit le Commissariat d’une nouvelle date aussitôt que celle-ci serait disponible.

42. KLM semblait au départ assez disposée à mettre en application notre deuxième recommandation en mettant à jour sa politique de confidentialité sur son site Web pour le Canada de façon à respecter ses obligations en vertu de la Loi.Nous sommes cependant déçus du dernier rapport que KLM nous a transmis concernant cette affaire et par son manque d’engagement à l’égard d’un échéancier précis pour la mise en application de cette recommandation.

43. Nous aimerions insister sur le fait que les activités commerciales de KLM dans le cadre de la présente plainte l’assujettissent à la compétence du Commissariat, ce qui oblige KLM à se conformer aux exigences de la Loi. Comme nous n’avons reçu aucune assurance tangible de la part de KLM quant à la date à laquelle elle répondra aux exigences de la Loi, nous n’avons d’autre choix que de mettre fin à notre enquête avec un résultat des plus insatisfaisants. Ceci étant dit, il demeure dans l’intérêt de nos deux commissariats de poursuivre sans plus tarder le dialogue sur la façon dont KLM pourrait respecter ses obligations en vertu de la Loi.

Conclusion

44. En conséquence, nous concluons que la plainte est fondée.