Une entreprise de télécommunications adopte des mesures de responsabilisation supplémentaires pour assurer un traitement uniforme des demandes d’accès

Rapport des conclusions en vertu de la LPRPDE no 2012-010


(Principes 4.1.4 c], 4.9 et 4.9.4; paragraphes 8[3], 8[4], 8[5] et 8[8])

Leçons apprises

  • Les organisations doivent traiter les demandes d’accès dans les délais prescrits par la Loi, même si des discussions sont en cours avec les personnes pour régler les différends commerciaux sous-jacents.
  • Quand une personne présente à une organisation une demande d’accès, cette dernière devrait envisager de déroger à ses pratiques habituelles en matière de destruction et de conservation de l’information jusqu’à ce que la personne ait épuisé les recours à sa disposition en vertu de la Loi pour avoir accès aux renseignements personnels la concernant.
  • Les organisations doivent prendre des mesures pour :
    1. s’assurer que le contenu des politiques et procédures sur la protection des renseignements personnels qu’elles élaborent ou révisent est uniforme; et
    2. fournir de l’information et une formation sur la protection des renseignements personnels à jour et bien adaptées aux employés chargés de mettre en œuvre les politiques et pratiques en matière de protection de la vie privée, de sorte qu’ils comprennent parfaitement les mesures à prendre et puissent appliquer concrètement les politiques et les procédures.

Rapport de conclusions

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1. La plaignante allègue que la mise en cause, une entreprise de télécommunications, ne lui a pas donné accès aux renseignements personnels la concernant.

2. Plus précisément, la plaignante a demandé à avoir accès à la transcription des conversations téléphoniques enregistrées concernant son différend avec l’entreprise à propos de son compte en février et en mars 2010 et à toutes les notes connexes.

Résumé de l’enquête

Les déclarations de la plaignante

3. En juillet 2008, la plaignante s’est abonnée aux services Internet et sans-fil de l’entreprise.

4. En décembre 2008, la plaignante a communiqué avec l’entreprise pour l’informer d’un changement d’adresse. Elle a également demandé à passer à la facturation électronique et a été avisée qu’elle recevrait chaque mois un courriel indiquant les détails de sa facture.

5. La plaignante allègue que l’entreprise ne lui a jamais envoyé ses factures par courriel pour ses services Internet et sans fil au cours de l’année suivante. En outre, elle affirme avoir été aux prises pendant cette période avec des problèmes liés à un nombre élevé d’appels interrompus et à une connexion Internet capricieuse.

6. En raison des problèmes concernant la facturation et les services de l’entreprise, la plaignante a annulé ses services Internet et sans-fil en février 2010. Elle allègue que quand elle a informé l’entreprise de sa décision, celle-ci l’a avisée qu’elle lui facturerait des frais d’annulation anticipée, mais que son dépôt lui serait rendu.

7. Or, une fois le processus d’annulation mené à bien et toutes les exigences remplies, la plaignante a reçu une facture finale où le montant dû différait du montant indiqué au moment de l’annulation.

8. Le 22 mars 2010, après avoir reçu sa facture finale, la plaignante a écrit au chef de la protection des renseignements personnels (CPRP) de l’entreprise afin de demander la transcription des conversations téléphoniques entre la mise en cause et elle-même concernant le différend relatif à son compte pour les mois de février et de mars 2010 et les notes connexes.

9. La plaignante affirme que l’entreprise n’a pas donné suite à sa demande d’accès.

10. La plaignante affirme avoir reçu en juillet 2010 une lettre d’une agence de recouvrement indiquant que son compte lui avait été confié et que le montant dû était encore plus élevé. La plaignante a alors communiqué avec l’agence de recouvrement afin de l’informer qu’elle avait déjà contacté l’entreprise pour contester la facture finale.

11. La plaignante mentionne avoir envoyé au CPRP de l’entreprise par courrier recommandé une deuxième lettre dans laquelle elle demandait la transcription des conversations enregistrées où on lui avait fait part de frais d’annulation anticipée finaux moins élevés.

12. La plaignante signale qu’un représentant de l’entreprise l’a informée en septembre 2010 qu’il serait trop coûteux de transcrire les enregistrements téléphoniques. Au lieu de cela, il lui a offert de réduire le montant dû figurant sur sa facture finale. La plaignante a accepté de payer le montant final de 177,02 $ et on lui a assuré que la mise en cause supprimerait tout commentaire susceptible de la discréditer inscrit à son dossier par l’agence de recouvrement. La plaignante a réglé le solde au moyen des services bancaires par téléphone trois jours après sa conversation avec l’entreprise.

13. Toutefois, la plaignante a été contactée en janvier 2011 par une autre agence de recouvrement, laquelle l’a informée qu’elle devait 452 $ à la mise en cause. La lettre de cette agence l’avertissait que d’autres mesures seraient prises à son encontre en cas de non-paiement du montant en souffrance dans un délai de sept jours.

14. En février 2011, la plaignante a présenté une troisième demande d’accès à la transcription des conversations téléphoniques qu’elle avait eues avec les représentants de l’entreprise en février et en mars 2010.

15. Le mois suivant, l’entreprise a envoyé à la plaignante une lettre d’excuses, l’informant que le solde de son compte avait été annulé, que le compte avait été soustrait au recouvrement et que toutes les observations de nature à la discréditer avaient été supprimées de son rapport de solvabilité.

16. La plaignante a déposé une plainte auprès du Commissariat le 7 avril 2011.

Les déclarations de l’entreprise de télécommunications

17. L’entreprise a reconnu que la plaignante avait contesté les frais d’annulation et qu’elle avait présenté le 22 mars 2010 une demande d’accès à toutes les notes et à l’enregistrement des conversations téléphoniques concernant son compte pour les mois de février et de mars 2010.

18. L’entreprise a informé le Commissariat que son personnel avait contacté la plaignante afin de négocier le paiement final pour régler le différend. Ces négociations se sont poursuivies pendant des mois et, par conséquent, l’entreprise indique que son personnel a cru à tort qu’il n’était pas nécessaire de lui fournir les notes et les transcriptions réclamées puisque l’entreprise travaillait au règlement du litige avec la plaignante.

19. L’entreprise a également confirmé que la plaignante avait présenté en février 2011 une nouvelle demande d’accès à la transcription de ses conversations téléphoniques (que l’entreprise a appelée la « deuxième » demande). Celle-ci ne faisait pas mention de la demande d’accès que la plaignante avait envoyée en juillet 2010 par courrier recommandé après avoir reçu une autre lettre de l’agence de recouvrement.

20. L’entreprise a indiqué à cet égard avoir pour pratique de fournir systématiquement aux clients ayant présenté des demandes d’accès une copie des notes sur leur compte dans un délai de 30 jours sans frais. Les clients sont informés des retards ou de la prorogation du délai de 30 jours. L’enregistrement des conversations téléphoniques (c’est-à-dire la transcription des échanges se rapportant à la question ou au problème soulevé par le client) est également fourni aux clients gratuitement dans les 30 jours suivant la réception de la demande d’accès. L’enregistrement sonore des conversations est conservé pendant six mois au maximum. Si un enregistrement sonore fait l’objet d’une demande d’accès, l’enregistrement est généralement conservé pendant six mois après l’envoi de la transcription ou de l’enregistrement au client.

21. L’entreprise a indiqué que les transcriptions demandées par la plaignante avaient déjà été détruites quand elle a reçu sa demande d’accès en février 2011, car la période de conservation de l’enregistrement sonore des appels est de six mois.

22. Pendant notre enquête, nous avons examiné la politique de l’entreprise sur l’accès aux renseignements personnels (la « politique »), qui confirme le délai de 30 jours pour répondre aux demandes d’accès et la communication des retards ou des prorogations aux clients. La politique indique également que l’enregistrement sonore des conversations téléphoniques est conservé pendant six mois.

23. Toutefois, la politique n’indique pas que l’enregistrement sonore faisant l’objet d’une demande d’accès doit être conservé pendant une période plus longue que les six mois normalement prévus. On ne trouve cette instruction particulière que dans la procédure interne de l’entreprise relative à la demande d’accès aux renseignements personnels (la « procédure »), laquelle fournit des précisions aux employés :

[traduction] « Conservation des documents d’origine :

En général, les notes se rapportant aux comptes sont conservées pendant des années et l’enregistrement des conversations téléphoniques est conservé pendant six mois au maximum. Toutefois, les enregistrements faisant l’objet d’une demande d’accès doivent être conservés pendant au moins six mois après l’envoi de la transcription au client. »

24. L’entreprise a également signalé qu’elle donne systématiquement à ses clients accès aux renseignements personnels les concernant, même si des discussions sont en cours en vue de régler un différend commercial sous-jacent. Toutefois, ni la politique ni la procédure communiquées par l’entreprise au Commissariat n’en font explicitement état.

25. Selon un document intitulé PIPEDA Call Recording Transcript Request Flow Chart (l’« organigramme »), le personnel de l’entreprise est tenu de communiquer avec le client avant de fournir l’enregistrement des conversations téléphoniques :

[traduction] « … pour tenter d’aborder ou d’apaiser toute préoccupation en suspens associée à l’enregistrement de la conversation demandé. »

26. L’organigramme précise également :

[traduction] « Si le client veut toujours obtenir la transcription, le conseiller du bureau du président amorcera la procédure pour demander la transcription de la conversation téléphonique. »

Plus loin, il indique :

« Si le client n’a plus besoin de la transcription, le conseiller du bureau du président annulera le formulaire de transmission à un échelon supérieur et mettra une note au dossier pour indiquer que la transcription n’est plus requise. »

27. L’entreprise a confirmé qu’en l’espèce, le personnel n’avait pas respecté la pratique mentionnée dans la politique et la procédure de l’entreprise, si bien que les dossiers avaient été détruits avant que l’on donne suite à la demande d’accès.

28. L’entreprise a également reconnu que sa politique n’était pas suffisamment claire pour ses employés en ce qui concerne la prolongation de la période de conservation des enregistrements sonores faisant l’objet d’une demande d’accès. L’entreprise a informé le Commissariat qu’elle prendrait immédiatement des mesures pour expliquer à ses employés que dès qu’un client demande une copie de l’enregistrement sonore de sa conversation ou une transcription de cet enregistrement, il faut déterminer où se trouve l’enregistrement sonore et le conserver jusqu’à ce que le client ait reçu la transcription ou indiqué qu’il n’en avait plus besoin.

Application de la Loi

29. Nous avons rendu nos décisions en appliquant les paragraphes 8(3), 8(4), 8(5), et 8(8) de la partie 1 de la Loi et les principes 4.1.4 c), 4.9 et 4.9.4 de l’annexe 1 de la Loi.

30. Selon le paragraphe 8(3), quand une demande en vertu du principe 4.9 de l’annexe 1 est présentée par écrit, l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception.

31. Selon le paragraphe 8(4), l’organisation peut toutefois proroger le délai d’une période maximale de 30 jours dans les cas où l’observation du délai entraverait gravement l’activité de l’organisation ou bien où toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai. En pareil cas, l’organisation envoie au demandeur, dans les 30 jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

32. Selon le paragraphe 8(5), faute de répondre dans le délai prévu au paragraphe 8(3) ou le délai prorogé prévu au paragraphe 8(4), l’organisation est réputée avoir refusé d’acquiescer à la demande.

33. Selon le paragraphe 8(8), nonobstant l’article 4.5 de l’annexe 1, l’organisation qui détient un renseignement personnel faisant l’objet d’une demande doit le conserver le temps nécessaire pour permettre au demandeur d’épuiser ses recours.

34. Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris… c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et aux pratiques de l’organisation.

35. Selon le principe 4.9, une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. La personne visée pourra contester l’exactitude et l’intégralité des renseignements et y faire apporter les corrections appropriées.

36. Selon le principe 4.9.4, une organisation qui reçoit une demande d’accès doit répondre dans un délai raisonnable et ne peut exiger, pour ce faire, que des droits minimes.

Analyse et constatations

37. D’après notre enquête, la plaignante a présenté le 22 mars 2010 une demande d’accès à la transcription des conversations téléphoniques enregistrées entre elle et l’entreprise de télécommunications en février et en mars 2010 relativement au différend relatif à son compte ainsi qu’à toutes les notes connexes. L’entreprise a accusé réception de cette demande.

38. L’accès à l’information demandé n’a pas été accordé dans le délai de 30 jours et l’entreprise n’a envoyé aucun avis de prorogation à la plaignante. De plus, quand la plaignante a présenté sa dernière demande d’accès en février 2011, les enregistrements sonores avaient été détruits, contrairement à la politique interne de l’entreprise.

39. L’entreprise n’a pas répondu à la demande d’accès de la plaignante dans le délai de 30 jours, contrevenant au paragraphe 8(3). Elle n’a pas non plus transmis à la plaignante un avis de son intention de proroger ce délai, comme l’exige le paragraphe 8(4). Par conséquent, conformément au paragraphe 8(5) de la Loi, l’entreprise est réputée avoir refusé la demande d’accès de la plaignante.

40. Le refus de donner à la plaignante accès aux renseignements personnels la concernant, comme elle l’avait demandé, avec la diligence voulue et dans les délais prescrits, contrevient également aux principes 4.9 et 4.9.4 de l’annexe 1 de la Loi.

41. En détruisant les enregistrements demandés par la plaignante, l’entreprise a également contrevenu au paragraphe 8(8), qui impose l’obligation de conserver l’information faisant l’objet d’une demande d’accès le temps nécessaire pour permettre au plaignant d’épuiser les recours à sa disposition en vertu de la partie 1 de la Loi.

42. Selon les données probantes fournies au Commissariat par l’entreprise, le personnel a accès à ses politiques et à ses procédures en matière d’information en vigueur. Toutefois, l’entreprise a admis que ses employés avaient dérogé à sa politique sur l’accès, à sa procédure et à ses organigrammes quand ils ont entamé des négociations avec la plaignante pour régler le différend relatif à son compte. Le personnel de l’entreprise a cru à tort que la plaignante n’avait plus besoin de la transcription des conversations téléphoniques du fait que les parties négociaient un règlement. Par suite de cette erreur, les enregistrements sonores ont été détruits à l’expiration de la période de conservation habituelle de six mois.

43. Après avoir examiné les données probantes qui nous ont été présentées, nous avons constaté que l’entreprise n’avait en fait pas communiqué avec la plaignante pour amorcer des négociations en vue de régler le différend dans les 30 jours qui ont suivi la demande d’accès. Par conséquent, même si les allégations de l’entreprise étaient fondées, elle n’avait malgré tout pas contacté la plaignante dans un délai où les négociations auraient pu, selon l’entreprise, la libérer des obligations en matière d’accès lui incombant en vertu de la Loi.

44. L’entreprise s’est dite prête à modifier ses documents pour indiquer clairement que les enregistrements sonores faisant l’objet d’une demande d’accès doivent être conservés. En outre, elle a accepté de ne pas détruire ces enregistrements tant que le client n’a pas reçu copie de la transcription.

45. Toutefois, les changements proposés par l’entreprise ne suffisaient pas pour corriger l’erreur présumée du personnel dans ce cas. Plus précisément, même si l’entreprise affirme le contraire, sa politique et sa procédure sur l’accès n’indiquaient pas clairement que les demandes d’accès doivent être traitées même si des discussions sont en cours en vue de régler un différend commercial sous-jacent.

46. En fait, selon l’organigramme, les employés doivent contacter les clients ayant présenté une demande d’accès pour tenter de trouver une solution à leurs préoccupations concernant une conversation téléphonique et, si les clients n’avaient plus besoin des transcriptions, mettre une note dans leur dossier. Les employés de l’entreprise pouvaient interpréter à tort cette instruction comme si elle voulait dire qu’ils n’avaient plus besoin d’acquiescer à la demande d’accès s’ils trouvaient une solution aux préoccupations sous-jacentes d’un client.

47. Quand la plaignante a envoyé une deuxième demande d’accès à l’entreprise (qui n’y a pas répondu non plus), un représentant l’a contactée pour l’informer qu’il serait trop onéreux de traiter sa demande. Selon nous, cette démarche montre que l’entreprise doit clarifier sa politique et sa procédure concernant les demandes d’accès et veiller à ce que ses employés en soient bien informés.

48. En portant ces questions à l’attention de l’entreprise, nous lui avons rappelé le Résumé de conclusions d’enquête en vertu de la LPRPDE no 2010-003 : Une mauvaise gestion des demandes d'accès d'un client entraîne la suppression de ses renseignements personnels sans raison valable. Ce résumé a été publié à la suite d’un incident fort similaire mettant en cause cette entreprise, où un client avait présenté une première demande d’accès qui a été ignorée. Une deuxième demande d’accès, présentée par le client plusieurs mois plus tard, nécessitait une prorogation de délai pour y donner suite. Toutefois, le client a également perdu de façon permanente l’accès à certains renseignements personnels (enregistrements sonores) lorsque l’entreprise les a détruits conformément à sa politique habituelle de conservation, sans tenir compte du délai écoulé entre la première et la deuxième demande d’accès du client.

49. Il ressort clairement de cette plainte et de la plainte fort similaire dont il est question dans le résumé de conclusions no 2010-003 que l’information sur l’application de la politique, de la procédure et des organigrammes de l’entreprise n’avait pas été bien communiquée au personnel en dépit de ses politiques et procédures internes.

50. Cette omission est particulièrement décevante étant donné que, en réponse à nos constatations dans l’enquête dont il est question dans le résumé de conclusions no 2010-003, l’entreprise avait accepté de prendre des mesures pour assurer des communications fiables entre ses employés sur les questions d’accès et une tenue exacte de registres sur les accusés de réception et le traitement des demandes d’accès par l’organisation. L’entreprise a mis à jour sa politique, sa procédure et ses organigrammes, mais d’autres mesures s’imposent pour que ses employés comprennent parfaitement les pratiques de l’organisation et qu’ils les appliquent de manière systématique.

51. En avril 2012, le Commissariat a publié, conjointement avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, de nouvelles lignes directrices intitulées Un programme de gestion de la protection de la vie privée : la clé de la responsabilitéNote de bas de page 1 (« lignes directrices sur la responsabilité »).

52. Selon la section 2 des lignes directrices sur la responsabilité intitulée « Mesures de contrôle du programme », ces mesures aident à garantir l’application des éléments de la structure de gouvernance au sein de l’organisation. La partie d) souligne l’importance d’adopter des exigences adéquates en matière de formation et de sensibilisation et indique que ceux qui manipulent directement des renseignements personnels doivent suivre des cours supplémentaires adaptés à leur rôle. La formation et la sensibilisation doivent être récurrentes, et il faut revoir de temps en temps le contenu du programme pour le mettre à jour en fonction des changements survenus.

Nos recommandations à l’intention de l’entreprise de télécommunications

53. Le 31 mai 2012, nous avons rendu public un rapport d’enquête préliminaire renfermant les recommandations suivantes :

  1. l’entreprise devrait modifier sa politique, sa procédure et ses organigrammes afin de préciser qu’il faut répondre à toute demande d’accès dans les délais prescrits par la Loi, même si des discussions sont en cours pour régler un différend avec un client;
  2. l’entreprise devrait modifier sa politique pour s’assurer qu’elle est compatible avec sa procédure en ce qui a trait à la nécessité de conserver les enregistrements sonores pour une période additionnelle de six mois une fois qu’un client a reçu les enregistrements demandés;
  3. l’entreprise devrait soumettre à l’examen du Commissariat une copie de sa politique, de sa procédure et de ses organigrammes révisés; et
  4. l’entreprise devrait soumettre à l’examen du Commissariat un plan clair et détaillé de formation et de communications sur la façon dont elle fournira à ses employés une formation sur le traitement des demandes d’accès, de sorte à assurer la conformité à l’interne et à s’acquitter des obligations lui incombant en vertu de la Loi.

La réponse aux recommandations

54. L’entreprise a accepté nos quatre recommandations. Ce faisant, elle a admis que ses efforts antérieurs en vue de rendre plus claires pour ses employés sa politique et sa procédure internes sur l’accès avaient échoué.

55. En réponse à la recommandation a), l’entreprise a confirmé avoir modifié sa politique et sa procédure sur l’accès ainsi que ses organigrammes sur les demandes d’accès aux notes sur le compte et les demandes de transcription des enregistrements sonores pour préciser que le personnel doit répondre à une demande d’accès d’un client dans les délais prescrits par la Loi, même si des discussions sont en cours pour régler un différend avec le client.

56. En réponse à la recommandation b), l’entreprise a confirmé avoir modifié sa politique pour indiquer que les enregistrements sonores faisant l’objet d’une demande doivent être conservés pendant une période additionnelle de six mois une fois qu’un client a reçu les enregistrements qu’il avait réclamés dans sa demande d’accès.

57. L’entreprise a fourni au Commissariat une copie de sa politique, de sa procédure et de deux organigrammes révisés, conformément à la recommandation c). Nous les avons examinés et avons constaté que les changements mentionnés par l’entreprise aux paragraphes 52 et 53 avaient été apportés.

58. En ce qui concerne la recommandation d), l’entreprise a indiqué que les demandes d’accès sont traitées au bureau du président. Elle a confirmé avoir élaboré un plan de formation spécial pour régler le genre de problème qu’a connu la plaignante.

59. L’entreprise nous a fourni copie d’une note de service envoyée par le chef de la protection des renseignements personnels (CPRP) aux cadres et gestionnaires du bureau du président soulignant le besoin d’une formation continue et l’obligation de conformité. La note de service était accompagnée d’une copie de notre rapport d’enquête préliminaire et soulignait les préoccupations du Commissariat concernant les mesures prises par l’entreprise en l’espèce et la nécessité d’assurer de meilleures communications internes entre les équipes qui traitent les demandes d’accès.

60. Le CPRP nous a également fourni copie d’un exposé présenté le 29 juin 2012 devant les cadres et gestionnaires du bureau du président au sujet des notes sur les comptes et des demandes d’enregistrement des conversations téléphoniques. Le contenu de l’exposé allait dans le sens des recommandations formulées par le Commissariat sur l’importance de respecter les délais de réponse aux demandes d’accès prescrits par la Loi et la nécessité de conserver l’enregistrement des conversations téléphoniques au-delà de la date de la réponse à la demande initiale.

61. De plus, l’entreprise a confirmé que la note de service du CPRP, l’exposé, la politique et la procédure concernant l’accès en vertu de la LPRPDE et une copie du rapport d’enquête préliminaire portant sur la plainte visée par le présent rapport seraient inclus dans la trousse de bienvenue fournie à tous les nouveaux employés du bureau du président responsables des questions de protection des renseignements personnels, qui fait partie des documents servant à la formation des employés au moment de leur entrée en fonction.

62. Nous constatons que les changements apportés par l’entreprise visent à satisfaire aux exigences en matière de formation et de sensibilisation dont il est question dans les lignes directrices sur la responsabilité d’avril 2012.

Conclusion

63. Compte tenu de ce qui précède, nous concluons que la plainte concernant l’accès est fondée et résolue.

 

Date de modification :