Une société automobile ne corrige pas les erreurs figurant dans le dossier d’un client et ne fournit pas un accès convenable

Rapport des conclusions en vertu de la LPRPDE no 2011-007


Le plaignant allègue que la mise en cause , un constructeur de véhicules automobiles, ne lui aurait pas donné accès à ses renseignements personnels.

Le plaignant allè gue également que la mise en cause posséderait dans sa base de données des renseignements inexacts à son sujet. Le plaignant n’avait loué qu’une seule voiture, mais les dossiers de la société indiquaient qu’il avait loué d’autres véhicules. Cette situation a amené le plaignant à croire que les renseignements inexacts ont été communiqués à une agence d’évaluation du crédit et que les nombreuses vérifications que la société automobile avait faites auprès de cette agence concernant des véhicules qu’il n’avait pas loués avaient nui à sa cote de crédit.

Malgré les demandes répétées présentées par le plaignant, la société automobile n’a pas corrigé les renseignements erronés.

Le plaignant allè gue que la mise en cause n’aur ait pas pris des mesures de sécurité suffisantes pour protéger ses renseignements personnels.

Au cours de l’enquête, nous avons appris qu’en raison d’une erreur de système, le compte du plaignant avait été automatiquement fusionné avec celui d’une autre personne dans la base de données. En raison de la fusion inopportune des comptes, le constructeur de véhicules automobiles possédait manifestement des renseignements inexacts au sujet du plaignant qu’il avait communiqués à des tiers.

En outre, la société n’a pas communiqué les renseignements concernant les véhicules qui ont été consignés par erreur dans le compte du plaignant et ne lui a pas donné accès à tous ses renseignements personnels.

La rectification de l’erreur a également pris un temps déraisonnable. En raison des erreurs du système, le dossier du plaignant a comporté des inexactitudes pendant plus de deux ans.

Dans le rapport préliminaire, nous avons recommandé ce qui suit à l’organisation :

  • donner au plaignant accès à tous les renseignements personnels auxquels il avait droit au moment de sa demande initiale;
  • mettre en œuvre une procédure de vérification périodique des bases de données des clients;
  • examiner ses mesures de sécurité avec des représentants du service à la clientèle;
  • remettre au plaignant une lettre d’excuse.

La mise en cause a mis en œuvre toutes nos recommandations et nous avons conclu que la plainte était fondée et réglée.

Leçons apprises

  • L’organisation qui reçoit une demande d’accès aux renseignements personnels fondée sur la Loi doit fournir une réponse complète dans les délais prévus par la Loi. Lorsqu’une organisation refuse l’accès à des renseignements personnels ou ne les communique pas, elle doit fournir les motifs de sa décision.
  • Les organisations qui possèdent des bases de données concernant les renseignements personnels et les comptes de leurs clients doivent veiller à ce que les dossiers soient exacts, complets et à jour, en particulier lorsque les clients ont les mêmes noms, et elles doivent répondre rapidement et efficacement aux questions soulevées au sujet de l’exactitude des renseignements personnels.
  • Les organisations devraient prendre des précautions supplémentaires pour vérifier l’identité des clients en cas de contestations concernant le titulaire ou l’exactitude d’un compte qui lui sont signalées.

Rapport de conclusions

Plainte déposée aux termes présentée sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Accès

1. Le plaignant allègue qu’un constructeur de véhicules automobiles international (la société automobile) ne lui aurait pas donné accès à tous les renseignements personnels qu’il détenait, à la suite de sa demande d’accès présentée le 8 septembre 2009. Plus précisément, il affirme que la réponse que la société automobile lui a fournie le 17 septembre 2009 était incomplète.

Exactitude

2. Le plaignant allègue que la base de données de la société automobile contiendrait des renseignements inexacts à son sujet. Il a loué un véhicule de la société automobile. Cependant, il se plaint du fait que malgré les nombreuses tentatives qu’il a faites pour que ces renseignements soient corrigés, les dossiers de la société automobile mentionnent à tort qu’il avait loué des véhicules supplémentaires. Il allègue également que ces renseignements inexacts auraient été transmis à une agence d’évaluation du crédit (l’agence) et il pense que les nombreuses vérifications effectuées par la société automobile concernant des véhicules qu’il n’a pas loués ont nui à sa cote de crédit.

Mesures de sécurité

3. Le plaignant allègue que la société automobile n’aurait pas pris des mesures de sécurité adéquates pour protéger les renseignements personnels comme l’exige la Loi. Plus précisément, il affirme avoir reçu des données concernant la location, le véhicule et le compte d’autres personnes.

Résumé de l’enquête

Contexte

4. En décembre 2007, le plaignant a loué à un concessionnaire local une berline, modèle A, de la société automobile pour une durée de trois ans. Il affirme qu’il a constaté peu après une erreur dans l’attribution du kilométrage influant sur les « Frais de kilométrage supplémentaire » prévus dans le contrat de location et a communiqué avec le concessionnaire pour régler le problème. Le concessionnaire a corrigé l’erreur en annulant le contrat de location et en lui délivrant un deuxième contrat corrigé. Les nouveaux documents ont été signés le 25 janvier 2008, à la satisfaction du plaignant.

Déclarations du plaignant

5. En février 2008, le plaignant a reçu un appel téléphonique de la société automobile au sujet d’une enquête sur la fin de la location. Il a informé la personne qui l’appelait que sa location n’était pas terminée et qu’elle se poursuivait jusqu’en décembre 2010.

6. Le mois suivant, le plaignant a reçu un autre appel téléphonique de la société automobile concernant une enquête sur la fin de la location. Le plaignant a une nouvelle fois informé la société que sa location ne se terminait pas prochainement et il a demandé qu’un superviseur l’appelle. D’après le plaignant, aucun superviseur ne l’a appelé.

7. Ces deux appels de la société automobile ont été suivis d’ un troisième appel pour fixer un rendez-vous en vue d’ une inspection de fin de location d’un véhicule à hayon de modèle B. Le plaignant a déclaré à la personne qui l’appelait qu’il n’avait pas loué ce genre de véhicule et a demandé qu’un superviseur communique avec lui. Il affirme qu’aucun superviseur ne l’a appelé. Le lendemain, le plaignant a appelé la coordinatrice des ventes du concessionnaire local et lui a demandé d’examiner la situation.

8. Le plaignant affirme que les appels téléphoniques qu’il a reçus de la société automobile concernant la fin de sa location ont éveillé ses soupçons. En avril 2008, il a obtenu une copie de son rapport de solvabilité de l’agence.

9. L’enquêteur souligne que le rapport de l’agence mentionnait trois « vérifications » présentées par la société automobile les 11 et 21 décembre 2007 et le 11 mars 2008. Les deux premières demandes semblent concerner sa location initiale (expirée) et le nouveau contrat pour sa berline, modèle A. La raison à l’origine de la troisième vérification n’est pas claire. Une entreprise requiert habituellement une vérification lorsqu’un individu demande une carte de crédit, un prêt ou un autre service.

10. Le rapport de l’agence contenait également quatre inscriptions concernant la responsabilité automobile consignées par les services financiers de la société automobile pour des comptes de location ouverts en février 2005, mars 2007 et deux en décembre 2007. Le plaignant a mentionné que la première inscription concernait le véhicule à hayon, modèle B, la deuxième une berline, modèle C, et que les deux dernières étaient reliées au contrat de location initial et au nouveau contrat relatif à sa berline, modèle A.

11. En avril 2008, le plaignant a rencontré le personnel des ventes du bureau local du concessionnaire automobile. Un membre de ce personnel a communiqué avec la société automobile pour le compte du plaignant et on leur a asssuré que cette question serait examinée.

12. Le plaignant affirme que le 30 avril 2008, le directeur des ventes du concessionnaire local l’a informé que le problème venait d’une erreur du système informatique de la société automobile qui est hébergé aux États-Unis. Le directeur des ventes a ajouté qu’il faudrait quelques semaines pour corriger l’erreur. Il a expliqué que la société automobile confirmerait par écrit au plaignant qu’il y avait une erreur dans son dossier de crédit et qu’il n’avait pas loué tous les véhicules qui y étaient mentionnés.

13. Deux semaines plus tard, un représentant du service à la clientèle (RSC) de la société automobile a déclaré au plaignant que deux véhicules étaient reliés à son numéro de téléphone : le véhicule que le plaignant louait et un autre qu’il ne louait pas (la berline, modèle C). Le plaignant a expliqué la situation au RSC et celui-ci lui a déclaré qu’il fallait envoyer des courriels aux États-Unis, puisque c’était là qu’était administrée la base de données. Le plaignant a demandé à parler au supérieur du RSC.

14. La supérieure du RSC a informé le plaignant que des courriels avaient déjà été envoyés aux États-Unis et qu’elle attendait une réponse. Elle a confirmé que le dossier du plaignant ne concernait qu’une seule automobile. Elle a également assuré au plaignant qu’une lettre lui serait envoyée dès qu’elle aurait reçu confirmation que l’erreur que contenait la base de données avait été corrigée.

15. Dans une lettre datée du 14 mai 2008, la société automobile a confirmé au plaignant qu’elle avait communiqué avec l’agence d’évaluation du crédit pour veiller à ce que seul son compte de location actuel soit inscrit. La lettre mentionnait le modèle du véhicule qu’il louait et déclarait que les autres locations en vigueur apparaissant sur le rapport de solvabilité du plaignant étaient le résultat d’une erreur et seraient supprimées.

16. Le plaignant a déclaré que le 28 mai 2008, il a reçu un autre appel de la société automobile au sujet de l’inspection de fin de location d’un véhicule qu’il ne louait pas. Le plaignant a également constaté à cette époque que son rapport de solvabilité n’avait toujours pas été corrigé.

17. Dans une lettre de suivi datée du 9 juin 2008, la société automobile s’excusait d’avoir communiqué des données inexactes au sujet de son compte à l’agence d’évaluation du crédit et lui affirmait que la situation avait été corrigée. La société automobile a reconnu que le plaignant avait consacré du temps et des efforts à essayer de résoudre le problème et en signe de bonne volonté, elle lui a remis quelques chèques-cadeaux. Le plaignant a déduit des affirmations de la société automobile que le problème était réglé.

18. Un peu plus de 14 mois plus tard, un autre concessionnaire local de la société automobile a écrit au plaignant. La lettre mentionnait que la location de son véhicule devait expirer dans peu de temps. Le plaignant était invité à rencontrer le concessionnaire pour examiner les options de fin de location. La lettre ne contenait pas de description du véhicule en question.

19. Dans une autre lettre datée du 28 août 2009, la société automobile demandait au plaignant de fournir des données concernant son assurance pour la berline, modèle C. Ne comprenant pas très bien ce qui se passait, le plaignant a appelé la société automobile et quelqu’un lui a dit qu’il n’y avait pas de mention d’une berline, modèle C dans son dossier, mais qu’il y avait un VUS, modèle D « joint » à son dossier. Là encore, le plaignant ne possédait ni ne louait un VUS, modèle D.

20. D’après le plaignant, chaque fois qu’il appelait la société automobile, le RSC lui demandait habituellement à propos duquel de ses véhicules il appelait.

21. Le 8 septembre 2009, le plaignant a fait une demande d’accès à la société automobile en vue d’obtenir [traduction ] « tous les renseignements concernant mon compte que détient la société automobile. »

22. La société automobile a répondu rapidement à la demande d’accès, et a joint des copies de [traduction ] « […] tous les renseignements personnels que nous possédons vous concernant et concernant votre contrat de location […] ». D’après le plaignant, ces documents faisaient uniquement référence au véhicule qu’il louait réellement – la berline, modèle A – et non aux autres véhicules qui avaient été associés par erreur à son compte de location. Le plaignant a fait savoir qu’il était déçu que les bases de données n’aient pas été consultées de façon approfondie. Il a demandé qu’on le rappelle, mais personne ne l’a fait.

23. Le plaignant a continué à rencontrer des problèmes avec le fonctionnement de son compte de location. Il a reçu un « État de fin de location » daté du 2 février 2010 pour la berline, modèle C. Le relevé mentionnait qu’il devait de l’argent à la société automobile. Un mois plus tard, il a reçu un avis de recouvrement que lui a envoyé la société automobile à l’égard du même véhicule. Dans l’avis, le plaignant était qualifié de titulaire d’un compte en souffrance et cet avis est arrivé par courrier dans une enveloppe non close.

24. Le 11 mars 2010, le plaignant a déposé une plainte auprès du Commissariat.

25. Le 5 mai 2010, le plaignant affirme qu’un représentant du service à la clientèle de la direction du financement de la société automobile a communiqué avec lui pour tenter de recouvrer un versement concernant la berline, modèle C. Au cours de cette conversation, le plaignant a obtenu l’adresse partielle, la ville de résidence et la date de naissance d’une autre personne. Il a déclaré craindre que la communication de ces renseignements, en plus du nom de l’individu concerné, des données relatives au véhicule et du numéro de compte, constitue une violation grave de la protection des renseignements personnels de cette personne.

Déclarations de la mise en cause

26. La société automobile a confirmé que le plaignant louait une berline, modèle A. Le plaignant ne louait pas le véhicule à hayon, modèle B, ni la berline, modèle C. La société automobile a déclaré que le dossier du plaignant contenait des mentions concernant ces locations. Elle a expliqué qu’une autre personne qui avait le même nom que le plaignant avait loué la berline, modèle C. La société automobile a confirmé que cette autre personne habitait dans une ville différente et avait une date de naissance différente.

27. La société automobile a fourni un imprimé des opérations effectuées sur le compte de location actuel du plaignant concernant la berline, modèle A et sur le compte fermé (en raison de l’erreur au sujet du kilométrage que contenait le contrat de location initial). Les documents indiquent que la société automobile a commencé à examiner sa plainte relative aux contrats de location en 2008, au moment où le concessionnaire local a communiqué avec la société automobile pour le compte du plaignant. Le concessionnaire a signalé que le plaignant recevait des appels téléphoniques au sujet d’une inspection de fin de location pour une voiture à hayon de modèle B. L’inscription mentionnait également que le compte du plaignant était relié à deux autres comptes qui ne lui appartenaient pas.

28. Les notes laissées par des représentants du service à la clientèle au sujet des opérations concernant le compte du plaignant indiquent que le plaignant ne devait pas avoir accès aux éléments contenus dans les autres comptes, sans doute ceux des autres titulaires de compte portant le même nom.

29.La société automobile a fait remarquer que la location du véhicule VUS, modèle D, n’avait pas été fusionnée avec le compte du plaignant. L’inexactitude découlait seulement du fait que les clients avaient le même nom et non pas d’une fusion opérée par le système. Les renseignements concernant ce véhicule n’ont pas été versés au dossier de l’agence d’évaluation du crédit concernant le plaignant.

30. Le rapport des opérations du compte du plaignant indique que 11 jours après que la société automobile ait commencé à examiner la situation, celle-ci a envoyé une note urgente à l’analyste de la qualité des données aux États-Unis pour qu’il défusionne le compte du plaignant de celui d’un autre client. D’après la note, le plaignant avait deux comptes avec la société automobile, alors que « tous les autres comptes » appartenaient à une autre personne portant le même nom.

31. Les opérations du compte indiquent que la société automobile a informé le 28 mai 2008 l’agence d’évaluation du crédit de l’erreur commise. En juin, l’agence d’évaluation du crédit a avisé la société automobile que les comptes inexacts avaient été supprimés du rapport de solvabilité du plaignant.

32. Plus tard, le même mois, la société automobile a communiqué avec le plaignant pour lui faire savoir que l’agence d’évaluation du crédit avait mis à jour ses renseignements. La société automobile a fait remarquer qu’une « erreur du système » était à l’origine du fait que d’autres comptes avaient été mentionnés au cours d’un appel téléphonique antérieur qu’un représentant de la société avait eu avec le plaignant. La société a ajouté qu’elle continuait d’ examiner la situation et que le problème serait résolu rapidement.

33. Entre le 25 juin 2008 et le 5 janvier 2009, plusieurs inscriptions indiquant « défusionné », « changement d’adresse » et « statut du rapport de l’agence d’évaluation du crédit » apparaissent dans le rapport des opérations du compte du plaignant. En février et en mars 2009, le dossier a été envoyé au service de recouvrement.

34. En juin 2009, des vérifications d’adresses ont été effectuées et le rapport d’opérations montre que le plaignant a déclaré avoir reçu un avis concernant une berline, modèle C, qu’il n’avait pas louée. La société automobile a alors communiqué avec l’analyste de la qualité des données aux États-Unis, le 15 juin 2009. La société automobile avait besoin de son aide pour retrouver huit comptes dont un titulaire se trouvait dans une province, et dont l’ancienne adresse se trouvait dans une autre province, de façon à savoir à qui l’avis devait être envoyé. Ces comptes avaient tous été auparavant « défusionnés » des comptes du plaignant.

35. Le 9 septembre 2009, le rapport d’opérations du compte fait état du fait que le plaignant avait demandé le montant de l’option rachat du véhicule. Le rapport d’opérations montre que deux documents de ce genre ont été créés et le plaignant a remis au Commissariat des copies de ces deux documents. Cependant, l’un d’entre eux concernait un véhicule erroné.

36. La société automobile a fourni les renseignements suivants (résumés) au sujet de son processus de fusion de la base de données et de la façon dont les fusions erronées sont habituellement résolues :

[traduction]
Le processus de fusion des comptes [de la société automobile] est à la fois manuel et automatique. Lorsque le [nom et les renseignements d’identification essentiels] de l’individu sont identiques dans deux comptes différents, ces comptes sont automatiquement fusionnés en un seul compte.

Dans les cas où deux comptes s ont au même nom (et renferment peut-être d’autres données semblables), mais que les autres données sont différentes, les comptes peuvent être fusionnés manuellement après examen du dossier. Les comptes peuvent également être fusionnés manuellement à la demande des titulaires des comptes concernés.

En pratique, pour veiller à ce que les fusions effectuées manuellement portent sur des données exactes, les analystes de la qualité des données [de la société automobile] prennent des mesures pour vérifier que les deux comptes appartiennent à la même personne. Le processus de fusion est suivi et vérifié par les analystes de la qualité des données [de la société automobile].

Dans de rares cas, comme l’erreur du système touchant le plaignant, lorsqu’une fusion automatique de deux comptes est erronée, un nouveau compte est créé pour un des titulaires de compte de façon à corriger l’erreur commise. Les données pertinentes sont alors saisies manuellement dans le nouveau compte.

37. Dans le cas du plaignant, la société automobile nous a informés du fait [traduction ] « qu’une erreur du système hautement atypique avait entraîné à tort une fusion automatique du compte du plaignant avec celui d’une autre personne ». La société automobile a ajouté qu’elle [traduction ] « n’est pas en mesure de déterminer avec précision la cause exacte de l’erreur du système touchant le plaignant […] »

38. Dans ses déclarations, la société automobile indique ce qui suit :

[traduction]
« [la société automobile] a examiné ses dossiers en ce qui concerne le plaignant, ainsi que les dossiers des personnes portant le même nom que le plaignant et confirme que les erreurs que contenaient tous ces dossiers ont été corrigées. Selon l’expérience [de la société automobile], les circonstances à l’origine des erreurs mentionnées dans la plainte sont hautement atypiques pour [la société automobile] et découlent du fait que plusieurs clients [de la société] avaient des noms identiques et d’une erreur du système qui avait entraîné la fusion involontaire des dossiers de certains clients. [La société automobile] confirme que l’erreur de système ayant entraîné la fusion de ces dossiers a été corrigée.

39. Nous avons interrogé la société automobile au sujet des mesures de sécurité qu’elle prenait pour protéger les renseignements personnels des particuliers. Ses pratiques en matière de traitement de l’information comprennent d’importantes mesures physiques, organisationnelles et technologiques, notamment des exigences précises prévoyant des contrôles effectués, sur une base contractuelle, pour tous les transferts de renseignements personnels à un tiers fournisseur. Les mesures de sécurité sont mises en œuvre en fonction du caractère sensible des renseignements en question.

40. La société automobile nous a informés que son agent de protection de la vie privée occupe un poste de la haute direction au sein de l’organisation et a supervisé l’élaboration et la mise en œuvre d’un ensemble complet de procédures et politiques de protection des renseignements personnels.

41. Le service des systèmes d’information (SI) de la société automobile est chargé d’assurer la sécurité des bases de données électroniques de la société automobile, ce qui comprend les renseignements personnels. Le service des SI travaille en étroite collaboration avec l’agent de protection de la vie privée de la société automobile, qui examine tous les plans de sécurité de l’information touchant les systèmes de l’ensemble du réseau de l’organisation pour harmoniser les pratiques en matière de sécurité et de protection de la vie privée.

42. Le plaignant a déclaré avoir reçu de la société automobile des renseignements concernant un véhicule particulier associé à d’autres personnes, mais la société automobile a confirmé qu’à sa connaissance, les renseignements personnels du plaignant n’avaient pas été communiqués à d’autres personnes. Aucun élément de preuve contredisant cette affirmation n’a été présenté.

43. La société automobile a également confirmé que les comptes qui avaient été fusionnés avec les comptes du plaignant concernaient une seule personne qui avait un nom identique. Les renseignements concernant le véhicule que le plaignant a reçus étaient uniquement associés à cette personne.

44. Le plaignant estime que le fait que la société automobile ait rapporté l’existence de comptes supplémentaires à l’agence d’évaluation du crédit a nui à sa cote de crédit. Il affirme que la cote de crédit qu’il possède actuellement avec cette agence est de loin inférieure à celle qu’il avait auprès d’ une autre agence d’évaluation du crédit. Le plaignant n’a toutefois pas été en mesure de fournir des éléments concernant sa cote de crédit avant qu’il se soit aperçu du fait que la société automobile avait rapporté l’existence de comptes multiples le concernant.

45. Avec le consentement du plaignant, le Commissariat a abordé cette question avec l’agence d’évaluation du crédit. L’agence l’a informé qu’il est impossible de savoir quelle était la cote du plaignant à un moment donné en 2008 pour pouvoir la comparer à sa cote actuelle. Il est par conséquent impossible de savoir si les rapports fournis par la société automobile ont nui à la cote de crédit du plaignant à l’époque.

46. [Résumé]

47. L’agence d’évaluation du crédit a confirmé le fait que la société automobile transmettait des rapports exacts au moment de notre discussion. L’agence a fait remarquer que les autres agences d’évaluation du crédit utilisent des méthodes de calcul différentes, ce qui explique que les cotes de crédit de différentes agences ne soient pas identiques. L’agence d’évaluation du crédit a mentionné qu’un rapport inexact transmis et corrigé il y a deux ans ne pourrait avoir un effet négatif sur la cote de crédit actuelle d’une personne.

Application

48. Nous avons analysé les faits en appliquant les principes 4.9, 4.9.5, 4.6, 4.7 et 4.7.1 de l’annexe 1 de la Loi.

49. Le principe 4.9 énonce qu’une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées.

50. Le principe 4.9.5 énonce que, lorsqu’une personne démontre que des renseignements personnels sont inexacts ou incomplets, l’organisation doit apporter les modifications nécessaires à ces renseignements. Selon la nature des renseignements qui font l’objet de la contestation, l’organisation doit corriger, supprimer ou ajouter des renseignements. S’il y a lieu, l’information modifiée doit être communiquée à des tiers ayant accès à l’information en question.

51. Le principe 4.6 énonce que les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés.

52. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

53. Le principe 4.7.1 ajoute que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Conclusions

Le 7 septembre 2011

54. Le 24 mars 2011, le Commissariat a présenté un rapport d’enquête préliminaire, dans lequel nous avons mentionné que les décisions prises par la société automobile n’étaient pas conformes à diverses dispositions de la Loi et nous avons présenté des recommandations à la société automobile, dans le but de l’ aider à respecter ses obligations. La société automobile a donné suite à nos recommandations.

55. Suit le texte original [résumé] du rapport d’enquête préliminaire.

Accès

56. Le plaignant s’est déclaré insatisfait du fait qu’en réponse à sa demande d’accès, il n’a reçu que des renseignements concernant le véhicule qu’il loue actuellement. La société automobile ne lui a pas communiqué de renseignements concernant les autres véhicules au sujet desquels il avait été appelé. Il voulait obtenir ces renseignements pour savoir pourquoi la société automobile avait associé son compte à celui d’autres véhicules. La Loi ne donne toutefois accès au plaignant qu’à ses propres renseignements personnels et non à ceux d’autres personnes.

57. La société automobile a reconnu que le plaignant n’avait pas loué une berline, modèle C, un véhicule à hayon de modèle B ou un VUS, modèle D. Les deux premiers véhicules auraient dû figurer dans les comptes d’une autre personne portant le même nom, après la correction de l’erreur commise lors de la fusion des comptes. L’erreur commise au sujet du troisième véhicule semble résulter du fait que la compagnie automobile se soit simplement trompée de client, même si les raisons de cette erreur ne nous ont pas été clairement expliquées. Malgré ce qui précède, les renseignements et les contrats de location pour tous ces véhicules sont des renseignements personnels concernant des tiers. Il n’est donc pas surprenant que l’ensemble des documents que la société automobile a envoyés au plaignant n’ait pas éclairci les choses pour lui.

58. Le Commissariat a toutefois constaté que le plaignant n’avait pas eu accès à tous ses renseignements personnels. Par exemple, il n’a pas eu accès à ses renseignements personnels contenus dans les rapports d’opérations du compte, même sous une forme expurgée . Il n’a pas non plus eu accès au formulaire de l’agence d’évaluation du crédit qu’utilisait la société automobile pour rectifier le rapport inexact transmis à l’agence d’évaluation du crédit. Ce formulaire et la plupart des rapports d’opérations, tous produits par la société automobile, étaient bien antérieurs à la demande d’accès présentée par le plaignant le 8 septembre 2009.

59. La lettre de présentation de la société automobile envoyée en réponse à la demande d’accès n’informait pas le plaignant du fait que des renseignements personnels ne lui avaient pas été communiqués aux termes de la Loi, ni les raisons de cette non-communication. La société automobile n’a donc pas respecté le principe 4.9.

Exactitude

60. L’enquête du Commissariat a révélé que la base de données de la clientèle de la société automobile avait fusionné le compte du plaignant avec deux autres comptes appartenant à une personne portant le même nom, qui ont été par la suite déclarés à l’agence d’évaluation du crédit comme étant ceux du plaignant. Entre février 2008 et mars 2010, le plaignant a tenté de résoudre le problème. Les renseignements fusionnés sont demeurés dans la base de données de la clientèle de la société automobile jusqu’à ce que le Commissariat intervienne. Pendant la période au cours de laquelle les renseignements personnels du plaignant ont été fusionnés avec d’autres comptes, il a reçu de la société automobile des documents contenant des renseignements au sujet de la location d’un véhicule par une autre personne portant le même nom.

61. La société automobile nous a informés du fait que le compte du plaignant avait fait l’objet par erreur d’une fusion automatique de comptes. Ce genre de fusion ne se produit que lorsque plusieurs comptes différents ont plusieurs identificateurs en commun. Nous avons toutefois remarqué que, dans ce dossier, seuls les noms des personnes étaient identiques. La société automobile a expliqué que la procédure habituelle n’avait pas été respectée en raison d’une [traduction ] « erreur atypique du système »

62. Le temps mis à rectifier le problème des comptes fusionnés constitue une contravention au principe 4.9.5 de l’annexe 1 de la Loi. Dès qu’elle a eu connaissance des inexactitudes des renseignements personnels du plaignant, la mise en cause n’a pas « apporté les modifications nécessaires à ces renseignements » rapidement et efficacement.

63. À notre avis, il est évident que la société automobile a possédé des renseignements inexacts au sujet du plaignant et les a communiqués. Malgré les promesses faites au plaignant en juin 2008, d’après lesquelles la société automobile allait corriger les erreurs commises, ce n’est que deux ans plus tard, lorsque celui-ci a déposé une plainte auprès du Commissariat, que le problème a été examiné et, d’après la société automobile, corrigé. Compte tenu de ces faits, la société automobile n’a pas respecté les exigences du principe 4.6.

64. Nous prenons note des questions que se pose le plaignant au sujet de sa cote de crédit, mais il est impossible de savoir si sa cote actuelle a été directement compromise par le fait que la société automobile a fourni des rapports inexacts à l’agence d’évaluation du crédit en 2008.

Mesures de sécurité

65. La mise en cause a fourni au Commissariat un document exposant la procédure à suivre pour protéger les renseignements personnels qui comprenait une section sur son recours à des mesures de sécurité appropriées d’ordre physique, organisationnel et technique, pour protéger les renseignements personnels de ses clients. À la suite d’un premier examen par le Commissariat, nous avons constaté que la procédure semblait satisfaisante.

66. La société automobile a toutefois constaté qu’à la suite d’une erreur « atypique » du système, le compte de location du plaignant avait été fusionné avec les comptes d’une autre personne portant le même nom. Elle n’a pas été en mesure d’expliquer de façon satisfaisante la fusion et ne savait toujours pas très bien pourquoi elle s’était produite. En outre, cette erreur n’explique pas pourquoi il a été déclaré par la suite au plaignant qu’il y avait un VUS, modèle D, associé à son compte si ce véhicule était loué par encore une autre personne portant le même nom.

67. Il est par contre incontestable que ces erreurs ont entraîné l’introduction de données inexactes dans le dossier du plaignant, erreurs qui y sont demeurées pendant plus de deux ans. Notre enquête n’a pas permis de constater qu’il y avait eu communication non autorisée des renseignements personnels du plaignant à un tiers, mais les problèmes ont persisté et ont amené le plaignant à recevoir régulièrement les renseignements personnels concernant une autre personne, à l’insu de celle-ci et sans son consentement.

68. En fait, en mai 2010 encore, il semble que le représentant du service à la clientèle de la direction du financement de la société ait informé le plaignant qu’il devait de l’argent pour la location de la berline, modèle C. Le plaignant a également pu obtenir une adresse partielle, la ville et la date de naissance d’une autre personne.

69. Il semble que la société automobile ait finalement réglé l’erreur de fusion commise par le système qui est à l’origine du problème rencontré par le plaignant. Il est difficile de savoir quelles mesures la société pourra prendre pour empêcher que se reproduise à l’avenir une communication non autorisée des renseignements personnels d’un client à d’autres clients portant des noms identiques.

70. Les faits ci-dessus démontrent que la procédure que suit la société automobile pour protéger les renseignements personnels de ses clients n’a pas été respectée et que la fusion de comptes, même si elle s’est produite par erreur, peut également entraîner des problèmes d’identification des clients pour les représentants du service à la clientèle.

71. Outre ce qui précède, nous avons également formulé dans le rapport d’enquête préliminaire les commentaires généraux qui suivent au sujet de l’importance de l’exactitude des renseignements contenus dans les dossiers des clients.

Autres observations

Tenue d’une base de données d’une clientèle par une société mère dont le siège social est situé à l’extérieur du Canada

72. Nous ferions preuve de négligence si nous ne mentionnions pas les conséquences supplémentaires qui peuvent découler de la tenue de dossiers inexacts, en particulier lorsqu’il s’agit de renseignements personnels transférés d’une société basée dans un pays à sa société mère basée dans un autre.

73. Le fait que la base de données de la clientèle de la société automobile se trouve sur des serveurs situés aux États-Unis a pour effet de confier à sa société mère le soin de vérifier l’exactitude des renseignements personnels des clients canadiens et ces renseignements personnels, qu’ils soient exacts ou inexacts, sont à la portée des autorités américaines.

74.Par conséquent, il est d’autant plus impératif que la société automobile vérifie régulièrement l’exactitude de sa base de données et travaille de concert avec ses collègues aux États-Unis pour faire en sorte que les renseignements exacts soient bien attribués au client correspondant. Lorsqu’elle constate que des renseignements sont inexacts, elle doit remédier à ces inexactitudes et le signaler à la société américaine le plus rapidement possible. Si elle ne le fait pas rapidement et efficacement, cela peut avoir des répercussions pour ses clients, par exemple, si la société se base sur des renseignements inexacts pour prendre des décisions au sujet d’un client ou si les renseignements concernant le client en question sont communiqués pour une raison ou pour une autre à des autorités officielles du Canada ou des États-Unis.

Recommandations découlant du rapport d’enquête

75. Dans le rapport d’enquête, nous avons recommandé que la société automobile prenne les mesures suivantes :

  1. fournir au plaignant un accès à tous les renseignements personnels auxquels il avait droit au moment de sa première demande d’accès présentée le 8 septembre 2009. Si l’accès n’est pas fourni, la société automobile doit fournir les raisons précises pour lesquelles elle refuse cet accès et citer les dispositions de la Loi qui lui permettent de le faire;
  2. mettre en œuvre une procédure de vérification périodique des bases de données de ses clients pour assurer l’exactitude des comptes fusionnés, en particulier ceux des clients qui ont des noms identiques;
  3. réviser ses mesures de sécurité pour rappeler aux représentants du service à la clientèle la nécessité de prendre des précautions supplémentaires lorsqu’il s’agit d’identifier les clients, dans le cas où il a été signalé que le titulaire ou l’exactitude d’un compte est contesté;
  4. fournir au plaignant une lettre d’excuse. Cette lettre devrait expliquer comment se sont produites les inexactitudes constatées et décrire les mesures qui ont été prises pour les corriger. Elle devrait également mentionner dans le cas où des renseignements inexacts ont été transmis à l’agence d’évaluation du crédit, que la société automobile a informé cette dernière de ces inexactitudes et confirmer que l’agence a effectué par la suite les corrections nécessaires. La lettre devrait également confirmer que les données concernant la location du plaignant n’ont pas été divulguées à d’autres personnes.

Les réponses de la société automobile aux recommandations

76. Le 21 avril 2011, la société automobile avait donné suite à toutes nos recommandations.

77. Pour ce qui est de la recommandation a), la société automobile a convenu de fournir au plaignant une copie de tous les renseignements personnels qu’elle détenait et auxquels il avait droit, dans les 15 jours suivant la date de sa lettre. Les renseignements personnels fournis doivent comprendre les renseignements personnels contenus dans les rapports d’opérations du compte et dans le formulaire de l’agence d’évaluation du crédit (mentionné au paragraphe 58 du présent rapport).

78. En réponse à la recommandation b), la société automobile a déclaré qu’elle avait, à l’heure actuelle, adopté une procédure visant à assurer l’exactitude de la fusion de comptes, procédure qu’elle a exposée au Commissariat en août 2010. Malgré la procédure actuelle, la société automobile a confirmé qu’elle avait déjà commencé une révision approfondie de la procédure, y compris celle du processus de vérification mentionné dans le rapport d’enquête, et qu’elle renforcerait, au besoin, les mécanismes actuels. La société automobile prévoit d’achever cette révision d’ici la fin du mois de juin 2011, et de mettre en œuvre les améliorations recommandées et les révisions procédurales d’ici la fin du mois d’octobre 2011.

79. La société automobile a expliqué que sa révision des mécanismes et processus actuels de fusion de comptes comprendra une révision des mesures de sécurité qui y sont associées. S’ajoutera à ces révisions des mécanismes opérationnels la formation du personnel responsable de l’administration de la base de données des clients de la société automobile. La société automobile s’est engagée à respecter la recommandation c) en révisant ses mesures de sécurité et la formation associée à ces mesures dans les 180 jours suivant sa lettre du 21 avril 2011.

80. Enfin, la société automobile a convenu d’envoyer au plaignant une lettre d’excuse conformément à notre recommandation d), et à lui fournir un accès aux renseignements personnels que possède la société tel que mentionné dans la recommandation a).

La mise en œuvre des recommandations par la société automobile

81. Le 16 mai 2011, le représentant légal externe de la société automobile a confirmé que son cabinet d’avocats avait transmis au plaignant une copie des renseignements personnels supplémentaires que possédait la mise en cause , avec une lettre d’excuse, conformément aux recommandations présentées aux paragraphes 75a) et d) ci-dessus.

82. Il semble toutefois que lorsque le cabinet d’avocats a envoyé au plaignant une copie des renseignements personnels supplémentaires que possédait son client, elle a omis d’expurger d’un formulaire émanant d’une agence d’évaluation du crédit les renseignements personnels d’une autre personne portant le même nom que le plaignant.

83. Le représentant légal de la société automobile en a informé le Commissariat, dès que l’omission a été constatée . Le représentant légal a confirmé qu’il avait préparé une série de documents (plus de 35 pages) pour le compte de son client mais qu’il n’avait pas remarqué, ni expurgé, deux numéros de compte et un numéro d’assurance sociale provenant du formulaire, parce qu’il avait pensé, par erreur, que ces renseignements concernaient le plaignant.

84. Le représentant légal a confirmé qu’il avait communiqué avec le plaignant pour expliquer ce qui s’était produit et lui avait demandé de renvoyer le formulaire. Il a finalement reçu en temps voulu et renvoyé au plaignant une nouvelle copie expurgée du formulaire. Le représentant légal a également confirmé qu’il avait informé la personne concernée de l’incident, pour lui fournir des explications et des excuses et lui confirmer qu’il avait récupéré le formulaire envoyé au plaignant.

85. Dans cette situation, le cabinet d’avocats agissait manifestement au nom de la mise en cause . Le cabinet d’avocats l’a lui-même reconnu : [traduction ] « Le protocole standard que nous appliquons lorsque nous aidons nos clients à préparer des réponses à des demandes d’accès prévoit un examen du dossier dans le but, notamment, (i) de veiller à ce que les documents soient complets et conformes à la demande et (ii) de supprimer ou d’expurger les renseignements personnels concernant des tiers. »

86. Nous prenons note de l’affirmation du cabinet d’avocats selon laquelle il se déclare pleinement responsable de la divulgation accidentelle au plaignant des numéros de compte et du numéro d’assurance sociale d’une autre personne. C’était là un incident regrettable, compte tenu des problèmes que le client avait déjà connus à propos de la question des erreurs sur l’identité des clients.

87. Malgré ce qui précède, nous aimerions attirer l’attention de la société automobile sur le principe 4.1.3 de l’annexe 1 de la Loi,qui prévoit qu’une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement.

88. Le cabinet d’avocats qui agissait pour le compte de la société automobile semble avoir pris rapidement les mesures appropriées pour résoudre le problème. Nous prenons note que le cabinet d’avocats a déclaré qu’il s’agissait là d’un cas isolé et qu’il avait pris des mesures pour veiller à ce qu’à l’avenir, les réponses aux demandes d’accès soient vérifiées par deux avocats avant d’être remises au client.

89. Nous invitons la société automobile – dans les efforts qu’elle déploie pour mettre en œuvre nos recommandations – à réviser ses propres procédures pour l’externalisation des demandes d’accès et à déterminer s’il ne faudrait pas les modifier pour éviter à l’avenir ce genre d’erreur.

90. En terminant, nous demandons à la société automobile d’informer le Commissariat lorsqu’elle aura rempli ses engagements concernant la mise en œuvre des recommandations b) et c).

Conclusion

91. Par conséquent, les plaintes en matière d’accès, d’exactitude et de mesures de sécurité sont réputées fondées et réglées.

Postscriptum au rapport de conclusions

Le 19 octobre 2011, la société automobile a confirmé qu’elle avait respecté les recommandations b) et c) décrites aux paragraphes 78 et 79 de notre rapport de conclusions.

Pour ce qui est de l’engagement à l’égard de la recommandation b), la société automobile a déclaré avoir achevé la révision de son processus de vérification des fusions et avoir mis en place des mesures de contrôle supplémentaires.

Pour ce qui est de son engagement à l’égard de la recommandation c), elle a effectué une révision complète de son processus de fusion des comptes et des mesures de sécurité qui y sont associées. Elle a examiné avec des représentants de son service à la clientèle des contrôles supplémentaires sous la forme d’une procédure d’authentification révisée assortie de mesures de sécurité additionnelles pour les comptes fusionnés et les a mis en place.

La société automobile a également prévu d’offrir en novembre 2011 aux représentants du service à la clientèle et aux autres membres de son personnel une formation approfondie en matière de protection des renseignements personnels.

Date de modification :