Courriels d'une cliente envoyés à un contact suite aux efforts d'un employé des services de télécommunication de régler un problème lié au service de messagerie de la cliente

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2015-010

Le 6 juillet 2015


Leçons apprises

  • Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
  • Les organisations doivent être conscientes de leur responsabilité de fournir des renseignements exacts au commissaire pour que les enquêtes du Commissariat soient menées efficacement.

L'intéressée avait des difficultés avec le service de messagerie offert par son fournisseur de services de télécommunications. Entre autres, elle n'arrivait pas à envoyer un courriel à l'un de ses contacts.

Elle a communiqué avec le fournisseur de services, et l'un des représentants du soutien technique (le " représentant ") est entré en contact avec elle. Durant une séance de dépannage, l'intéressée a consenti à ce que le représentant ait accès à son ordinateur, à distance.

Le représentant a ensuite tenté de régler le problème de messagerie en changeant une option de l'application de courriel. Cependant, à l'insu de l'intéressée, le changement a fait en sorte que ses courriels soient transférés automatiquement à l'adresse de son contact.

L'intéressée avait également des problèmes avec son mot de passe. Durant la séance de dépannage, le représentant lui a envoyé par courriel un mot de passe temporaire.

Après la séance, l'intéressée a été étonnée d'apprendre par son contact que celui-ci recevait désormais les courriels que des tiers envoyaient à l'intéressée, notamment celui contenant son mot de passe temporaire. L'intéressée a communiqué de nouveau avec le fournisseur de services, qui a assigné un nouveau représentant au dossier. Ce représentant a géré le nouveau problème en rétablissant les changements apportés par le premier représentant.

L'intéressée a ensuite déposé auprès du Commissariat une plainte contre le fournisseur de services de télécommunication.

Durant notre enquête, le fournisseur des services de télécommunication a expliqué que le premier représentant n'avait pas suivi la procédure obligatoire prévue pour les appels de dépannage et qu'il n'aurait pas dû modifier les paramètres de transfert des courriels dans l'application de messagerie de l'intéressée.

À partir des faits énoncés, nous avons déterminé qu'il y avait eu communication des renseignements personnels de l'intéressée, sans son consentement, en raison des actions du premier représentant. Il y a donc eu violation du principe 4.3.

Rien n'indique que les événements ayant mené à cette plainte découlent d'un problème systémique au regard du fournisseur de services de télécommunication. Cependant, il a été bien noté qu'à plusieurs reprises durant notre enquête le fournisseur de services de télécommunication nous avait mal informés concernant les mesures qu'il avait apparemment prises pour empêcher que la situation ne se reproduise.

Le fournisseur des services de télécommunication nous avait d'abord dit qu'il avait :

  1. offert de l'encadrement au premier représentant, qui avait des antécédents de non-conformité;
  2. mis en place des mesures disciplinaires progressives pour le premier représentant;
  3. congédié le premier représentant;
  4. envoyé un communiqué à l'équipe de soutien technique concernée au sujet de l'importance de respecter la procédure obligatoire.

Les documents justificatifs, toutefois, ne corroboraient pas les quatre déclarations ci-dessus.

  • Par exemple, concernant l'encadrement offert à l'employé, la preuve démontrait que l'affaire avait été simplement portée à l'attention d'un cadre supérieur qui n'avait jamais répondu.
  • Concernant les mesures disciplinaires progressives, la convocation que l'employé a reçue n'a pas été signée par un supérieur, et couvrait une période ne correspondant pas aux événements mentionnés dans la plainte.
  • Lorsqu'on lui a demandé de fournir des preuves concernant le congédiement de l'employé, le fournisseur de services a modifié sa déclaration initiale et a soumis plutôt une copie de la lettre de démission du représentant.
  • Enfin, le fournisseur de services de télécommunication n'a pas été en mesure de prouver qu'après l'incident il avait envoyé un communiqué spécial à son équipe de soutien technique concernant la procédure.

Cela dit, le Commissariat a reconnu que le fournisseur de services de télécommunication avait bel et bien des mesures en place pour empêcher qu'un tel incident ne se reproduise :

  1. Les employés signent un code de conduite dans le cadre duquel ils s'engagent à respecter la procédure obligatoire;
  2. De l'encadrement est offert aux employés par leur chef d'équipe;
  3. Une vérification de la conformité des employés par rapport à la procédure obligatoire est effectuée par divers moyens (contrôle de la qualité, encadrement);
  4. Des mesures disciplinaires sont prises à l'égard des employés, au besoin, dans les cas de mauvais usage de la procédure.

Par conséquent, à la lumière de l'ensemble de la preuve, nous déterminons que la plainte est fondée et résolue.

Cependant, puisque nous craignions que le fournisseur de services de télécommunication n'avait pas fait suffisamment preuve de diligence avant de soumettre son exposé factuel au Commissariat, nous l'avons encouragé à s'assurer qu'à l'avenir ses exposés seraient exacts et complets.

Date de modification :