Un fournisseur de régime de retraite et d’avantages sociaux accepte de modifier les procédures relatives à l’authentification et au changement d’adresse à la suite d’erreurs dans l’acheminement du courrier

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2015-014

Le 15 décembre 2015

Leçons apprises

  • Les organisations doivent s’assurer que les coordonnées de leurs clients sont exactes et à jour. Celles qui utilisent ces coordonnées pour envoyer des documents contenant des renseignements confidentiels ou de nature délicate à leurs clients doivent faire preuve d’une vigilance toute particulière à cet égard.
  • Parmi les conséquences possibles les plus graves du défaut de tenir à jour les coordonnées des clients figure le risque accru d’envoyer (et, potentiellement, de divulguer) les renseignements personnels de ceux-ci à des parties non autorisées. De même, il est possible que les clients ne reçoivent pas certains messages importants de la part de l’organisation, ce qui est susceptible d’entraîner des répercussions sur les services dont ils bénéficient.
  • Il est essentiel de bien authentifier le client dès le départ, c’est-à-dire avant même qu’il soit question de ses renseignements personnels, pour maintenir l’exactitude de l’information relative à son compte. Ainsi, en confirmant d’abord l’identité du client, il est possible d’éviter que des modifications non autorisées soient apportées à son compte, y compris à ses coordonnées. Pour obtenir de plus amples renseignements sur identification et authentification, voir le document intitulé Lignes directrices en matière d'identification et d'authentification [https://www.priv.gc.ca/information/guide/auth_061013_f.asp].

Plainte

Une employée a déposé une plainte dans laquelle elle allègue que son fournisseur de régime de retraite et d’avantages sociaux : i) aurait divulgué son identificateur unique à un tiers sans son consentement; ii) aurait négligé de tenir son adresse à jour; iii) aurait omis de mettre en place des mesures de protection appropriées pour empêcher la divulgation et la modification non autorisées de ses renseignements personnels.

Résumé de l’enquête

Dans le cadre de son enquête, le Commissariat a constaté qu’une autre participante au régime de retraite et d’avantages sociaux de la plaignante, qui porte le même nom qu’elle, a téléphoné au fournisseur du régime et lui a demandé de lui renvoyer un document à sa nouvelle adresse. Cependant, tout client qui veut modifier une adresse dans son dossier doit en faire la demande par écrit et fournir son numéro d’identification unique. Dans ce cas, la femme a indiqué qu’elle ne connaissait pas son numéro d’identification; le fournisseur a donc effectué une recherche et lui a donné le numéro d’identification de la plaignante par erreur.

Le fournisseur a ensuite apporté les modifications demandées à l’adresse. Par conséquent, l’adresse postale de la plaignante a été remplacée par l’adresse de la femme qui porte le même nom qu’elle.

Le fournisseur a par la suite envoyé à la mauvaise adresse cinq envois consécutifs qui étaient destinés à la plaignante — dont certains contenaient une quantité considérable de renseignements de nature potentiellement délicate. L’un de ces envois comprenait des formulaires d’assurance que la plaignante devait remplir et retourner dans un délai prescrit.

Plusieurs mois plus tard, après avoir reçu les enveloppes une par une du bureau de poste et vérifié les coordonnées de la plaignante avec celle-ci, le fournisseur a reconnu et corrigé son erreur.

Quelque temps après, la plaignante a reçu un avis l’informant qu’elle avait, à tous égards, perdu son assurance-vie, car elle avait omis de retourner certains formulaires. La plaignante s’est renseignée davantage et a, par la suite, déposé une plainte auprès du Commissariat.

Le fournisseur a présenté à la plaignante un résumé de sa propre enquête interne, laquelle a révélé que l’adresse de la plaignante avait été modifiée par erreur et que son numéro d’identification avait été donné à une autre participante.

Le fournisseur a confirmé que les cinq envois mal acheminés lui avaient été retournés et qu’ils n’avaient pas été ouverts, ce qui donnait à penser qu’aucun renseignement n’avait été divulgué. Il a également confirmé qu’un numéro d’identification, à lui seul, n’est pas suffisant pour avoir accès à un compte.

Le fournisseur a accepté de rétablir l’assurance-vie de la plaignante rétroactivement, à la condition que cette dernière rembourse les frais associés à la période durant laquelle elle ne bénéficiait plus de cette assurance.

Conclusion

Le Commissariat a cherché à savoir pourquoi le fournisseur n’avait pas procédé comme il se doit à l’authentification de la cliente ayant appelé avant de lui donner le numéro d’identification de la plaignante. Cela contrevient aux principes 4.7 et 4.7.1. En outre, le Commissariat s’est demandé pourquoi le fournisseur n’avait pas examiné plus tôt les coordonnées de la plaignante et suspendu les envois lui étant destinés lorsqu’on lui a retourné, sur une période de plusieurs mois, les cinq enveloppes adressées à l’attention de la plaignante. Cela contrevient aux principes 4.6 et 4.6.1.

Le fournisseur a admis que le numéro d’identification de la plaignante avait été divulgué à un tiers sans son consentement (ce qui contrevient au principe 4.3) et que ses procédures d’authentification n’avaient pas été suivies dans le cas visé. Par conséquent, le fournisseur a accepté d’apporter des modifications à ses politiques et à ses pratiques en matière d’identification et d’authentification des clients avant la fin de 2016. Ces changements sont les suivants : i) élaborer un plan de protection des renseignements personnels; ii) revoir le processus de changement d’adresse; iii) améliorer les formulaires et la formation; iv) améliorer les procédures d’intervention en cas d’atteinte à la vie privée; v) offrir aux employés une formation à ce sujet.

Le fournisseur a déclaré qu’il avait déjà mis à jour et amélioré ses processus relatifs à l’envoi de documents, reconnaissant qu’il n’avait pas su, à l’origine, repérer et corriger l’erreur dans l’adresse de la plaignante.

Enfin, le fournisseur a accepté de se soumettre à une vérification en matière de protection de la vie privée, laquelle sera réalisée par une tierce partie, pour confirmer que toutes les modifications qu’il s’était engagé à apporter à ses politiques et à ses pratiques d’identification et d’authentification des clients ont été effectuées et qu’elles sont conformes à la Loi sur la protection des renseignements personnels et les documents électroniques. Le fournisseur a également accepté d’acheminer une copie du rapport du vérificateur au Commissariat à des fins d’examen et d’approbation d’ici la fin du premier trimestre de 2017.

Par conséquent, le Commissariat estime que cette plainte est fondée et conditionnellement résolue, compte tenu de l’engagement du fournisseur à mettre en œuvre les changements recommandés d’ici la fin du premier trimestre de 2017.

Date de modification :