Une entreprise de télécommunications est sommée de mieux informer ses clients des raisons pour lesquelles elle conserve leurs renseignements personnels après la vérification de leur solvabilité

Rapport des conclusions en vertu de la LPRPDE no 2013-006

[Paragraphe 5[3] et principes 4.2.5 et 4.5.3]

Le 17 mai 2013


Une personne a déposé une plainte au Commissariat à propos d’une entreprise de télécommunications. La plainte comprenait deux volets. La personne allègue que l’organisation a conservé sans raison valable les renseignements personnels qu’elle a fournis pour qu’on vérifie sa solvabilité. Elle s’inquiète également du fait qu’on a rejeté sa demande afin de supprimer ces renseignements personnels des dossiers de l’organisation.

Il y a quelques années, lors de l’ouverture d’un compte avec l’entreprise, la personne avait donné sa date de naissance et les renseignements apparaissant sur son permis de conduire en vue d’une vérification de sa solvabilité. Quelques années plus tard, toujours bénéficiaire des services de l’organisation, la personne a demandé à celle-ci de supprimer ces renseignements personnels de ses dossiers. L’organisation a rejeté sa demande.

La question était de savoir si l’organisation conservait des renseignements personnels qui n’étaient plus nécessaires aux fins pour lesquelles ils avaient été recueillis.

Le Commissariat a conclu que les renseignements personnels de la personne demeuraient nécessaires à l’une des fins déterminées dans la politique sur la protection des renseignements personnels de l’organisation, à savoir la perception du paiement des produits et des services.

Par conséquent, la plainte a été jugée non fondée en ce qui concerne cette allégation.

Lors de l’examen des courriels envoyés par l’organisation à la personne, le Commissariat a constaté que cette dernière n’avait pas reçu une explication adéquate quant à la raison pour laquelle sa demande de suppression des renseignements personnels la concernant avait été refusée.

Après notre intervention, l’organisation a présenté ses excuses à la personne et lui a fourni une explication détaillée. Elle a également envoyé une note à l’équipe des représentants du service à la clientèle (RSC) pour rappeler au personnel qu’une explication complète de ce genre devrait être fournie en réponse à toute demande similaire d’un client. De plus, la note rappelait aux membres de l’équipe qu’ils devraient consulter le bureau de la protection des renseignements personnels de l’organisation, au besoin.

La plainte a été jugée fondée et résolue en ce qui touche cet aspect.

Leçons apprises

  • Les renseignements personnels qui ne sont plus requis aux fins déterminées devraient être détruits, effacés ou dépersonnalisés. Cependant, même s’ils ne sont plus requis pour l’une des fins pour lesquelles ils ont été recueillis, ils peuvent être nécessaires à d’autres fins. Dans ces cas, l’organisation peut conserver les renseignements personnels tant  qu’elle en a besoin aux fins restantes.
  • Les responsables de la collecte de renseignements personnels devraient être en mesure d’expliquer aux personnes les fins pour lesquelles l’information est recueillie, y compris les raisons pour lesquelles les renseignements personnels sont conservés quand ils ne sont plus requis pour l’une des fins initiales de leur collecte.

Rapport de conclusions

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Résumé de la plainte

1. La personne allègue qu’une entreprise de télécommunications conserve ses renseignements personnels, à savoir sa date de naissance et l’information apparaissant sur son permis de conduire, sans raison valable après avoir procédé à la vérification de sa solvabilité et que l’entreprise a refusé, à la demande de la personne, de supprimer ces renseignements personnels de ses dossiers.

Résumé de l’enquête

2. La personne a ouvert un compte pour recevoir des services de télédistribution et des services Internet et a fourni à l’organisation sa date de naissance ainsi que l’information sur son permis de conduire. Elle a indiqué qu’elle était au courant que ces renseignements étaient recueillis pour créer son compte et vérifier sa solvabilité.

3. Quelques années plus tard, à la suite d’atteintes à la protection des renseignements personnels sans rapport avec l’organisation, mais relatées dans les médias, la personne a écrit à l’organisation pour lui demander de supprimer de ses dossiers les renseignements personnels la concernant.

4. Dans un courriel d’un RSC, l’organisation a pris acte des préoccupations de la personne en matière de sécurité, mais l’a informée que les renseignements personnels étaient nécessaires avant l’activation des comptes pour les besoins de l’évaluation de la solvabilité. Le courriel expliquait que les RSC peuvent seulement voir les quatre derniers chiffres du permis de conduire.

5. La personne a fait part de ses préoccupations aux échelons supérieurs en communiquant avec le bureau de la protection des renseignements personnels de l’organisation. Selon le courriel d’un employé de l’organisation, cette dernière a confirmé avoir mené une enquête à ce sujet pour conclure qu’il n’était pas contraire à la Loi de recueillir deux pièces d’identité et la date de naissance d’un client. Par conséquent, l’organisation a rejeté encore une fois la demande de la personne visant la suppression de ses renseignements personnels des dossiers de l’organisation.

6. La personne a déposé une plainte au Commissariat. À ce moment-là, elle continuait de bénéficier des services de télédistribution et de louer un décodeur numérique.

7. Dans ses observations au Commissariat, l’organisation a fourni des copies de ses procédures d’authentification, de ses procédures de vérification de la solvabilité et des conditions d’utilisation propres au compte de la personne.

8. La personne a mentionné qu’elle était au courant de la politique sur la protection des renseignements personnels de l’organisation, qui stipule que l’organisation recueille de l’information sur les clients à des fins multiples, notamment pour obtenir des renseignements de solvabilité et percevoir le paiement des produits et des services.

Application

9. Pour rendre notre décision, nous avons appliqué le paragraphe 5(3) de la Loi, qui précise qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

10. Le principe 4.5.3 de l’annexe 1 de la Loi prévoit que les renseignements personnels qui ne servent plus les fins pour lesquelles ils ont été recueillis devraient être détruits, effacés ou dépersonnalisés.

11. Nous avons également appliqué le principe 4.2.5 de l’annexe 1 de la Loi, qui stipule que les personnes qui recueillent des renseignements personnels devraient être en mesure d’expliquer à la personne concernée à quelles fins sont destinés ces renseignements.

Constatations

12. La question consiste à déterminer si l’organisation conserve des renseignements personnels qui ne sont plus nécessaires aux fins pour lesquelles ils ont été recueillis.

13. La position de l’organisation est qu’elle a rejeté pour de justes raisons la demande de la personne visant la suppression de ses renseignements personnels, car ces derniers sont toujours nécessaires à certaines fins déterminées dans sa politique sur la protection des renseignements personnels, à savoir la perception du paiement des produits et des services.

14. Le Commissariat avait déjà conclu qu’une personne raisonnable estimerait acceptable qu’une organisation recueille deux pièces d’identité et la date de naissance afin d’authentifier l’identité, d’évaluer la solvabilité, de protéger ses biens en location, de prévenir la fraude et de percevoir des paiements, conformément au paragraphe 5(3) de la Loi.

15. Même si le cas qui précède visait précisément à déterminer si l’organisation avait besoin d’obtenir de la personne plus de renseignements que nécessaire, à titre de condition d’utilisation, pour la location d’un décodeur numérique, le raisonnement appliqué à cet égard peut être appliqué à la présente affaire.

16. Bien que les renseignements personnels de la personne, à savoir une pièce d’identité et sa date de naissance, aient été recueillis pour ouvrir son nouveau compte avec l’organisation et vérifier sa solvabilité, ces mêmes renseignements personnels ont également été recueillis afin de permettre à l’organisation de percevoir le paiement des produits et des services, tel que le prévoit la politique sur la protection des renseignements personnels de l’organisation.

17. Il est conforme à la politique sur la protection des renseignements personnels de l’organisation de conserver les renseignements personnels en question aussi longtemps que l’individu demeure un client de l’organisation pour s’assurer que les services reçus à l’avance sont payés et que les biens loués sont retournés après la cessation des services. Cette pratique est conforme au principe 4.5.3 de l’annexe 1 de la Loi.

18. Lors de l’examen des courriels envoyés à la personne par l’organisation, nous avons constaté que la personne n’avait pas reçu une explication adéquate quant aux raisons pour lesquelles sa demande visant la suppression de ses renseignements personnels avait été rejetée.

19. L’organisation a indiqué être disposée à présenter ses excuses à la personne et à lui fournir une explication détaillée quant au rejet de sa demande de suppression de ses renseignements personnels des dossiers de l’organisation. Conformément au principe 4.2.5 de l’annexe 1 de la Loi, cette explication doit mentionner les fins précises pour lesquelles les renseignements ont été recueillis et continuent d’être conservés.

20. L’organisation s’est également engagée à transmettre un message à ses RSC pour leur rappeler qu’une explication complète de ce genre devrait être fournie en réponse à toute demande similaire d’un client et qu’ils devraient consulter le bureau de la protection des renseignements personnels de l’organisation, au besoin.

Conclusion

21. Le Commissariat conclut que la plainte est non fondée en ce qui concerne l’allégation selon laquelle l’organisation conserve des renseignements personnels qui ne sont plus nécessaires aux fins déterminées.

22. Le Commissariat conclut également que l’organisation n’a pas fourni, de manière adéquate à la personne, une explication acceptable du rejet de sa demande en vue de supprimer ses renseignements personnels. Nous remarquons que l’organisation est disposée à présenter ses excuses à la personne et à lui fournir une explication détaillée, ainsi qu’à aviser les membres de son équipe de RSC qu’ils devraient fournir une explication complète en réponse à des demandes similaires, en consultation avec le bureau de la protection des renseignements personnels de l’organisation, au besoin. En conséquence, cet aspect de la plainte est fondé et résolu.

 

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :