Une entreprise de toitures prend des mesures pour s’assurer que ses sous-traitants respectent sa politique de confidentialité

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2015-015

Le 10 novembre 2015

Leçons apprises

  • Les organisations sont responsables de la protection des renseignements personnels recueillis, utilisés ou communiqués par des sous-traitants agissant en leur nom dans le cadre de transactions commerciales. Pour obtenir de plus amples renseignements sur la protection de la vie privée et l’externalisation, consultez la fiche d’information intitulée La protection de la vie privée et l’externalisation (secteur privé).  
  • L’organisation et le sous-traitant devraient établir et signer une entente pour officialiser les obligations du sous-traitant à cet égard, par exemple son obligation de protéger les renseignements personnels des clients en vertu de la LPRPDE.
  • L’utilisation et la communication des renseignements personnels des clients devraient se limiter aux fins auxquelles les renseignements ont été recueillis de façon licite à l’origine, sauf avec le consentement distinct de la personne concernée ou dans les situations où les renseignements peuvent être communiqués à son insu ou sans son consentement en vertu du paragraphe 7(3) de la LPRPDE.

Plainte

Le plaignant a allégué qu’un estimateur au service d’une entreprise de toitures à laquelle il avait demandé un devis avait communiqué ses renseignements personnels à une personne d’une autre entreprise de toitures. Les renseignements qui auraient été communiqués portaient sur la situation financière personnelle du plaignant et ses affaires antérieures avec l’entreprise de toitures.

Résumé de l’enquête

Le plaignant a fait remplacer les bardeaux de sa toiture de maison par une entreprise de toitures (le « premier couvreur »), mais s’est avéré insatisfait du travail. Il a ensuite entamé des poursuites judiciaires contre le premier couvreur.

Dans l’intervalle, il a demandé à une seconde entreprise de toitures (le « second couvreur ») de lui fournir une estimation des coûts pour régler le présumé problème. Le second couvreur a embauché un estimateur en sous-traitance pour préparer le devis. Pendant tous ses échanges avec le plaignant, l’estimateur a déclaré travailler pour le compte du second couvreur. Par exemple, sa carte professionnelle affichait le nom et les coordonnées du second couvreur.

L’estimateur devait : i) fournir un devis pour les services du second couvreur; et ii) s’occuper des demandes du client concernant toute question liée aux ventes.

À la réception du devis, le plaignant a signé un contrat avec le second couvreur — contrat qu’il a annulé par la suite.

Plus tard, dans le cadre des poursuites judiciaires contre le premier couvreur, le plaignant a pris connaissance d’une correspondance antérieure entre le premier couvreur et l’estimateur, dans laquelle ce dernier communiquait des détails et formulait une opinion concernant ses échanges avec le plaignant. La correspondance comprenait des déclarations de l’estimateur selon lesquelles le plaignant : i) aurait annulé son contrat avec le second couvreur sous de faux prétextes; ii) aurait signé le contrat uniquement afin de pouvoir l’utiliser contre le premier couvreur; iii) prétendait avoir des difficultés financières afin d’être libéré du contrat.

Fins et confidentialité

Bien que le plaignant ait admis avoir communiqué au premier couvreur le nom de l’estimateur (ainsi que le nom de deux autres entreprises de toitures qu’il avait consultées pour des travaux correctifs à effectuer sur sa toiture), il a soutenu l’avoir fait uniquement pour faciliter la discussion sur ses problèmes de toiture. Toutefois, selon lui, les renseignements contenus dans la correspondance dépassaient ce cadre et le second couvreur, plus précisément son estimateur, aurait communiqué ses renseignements personnels à son insu et sans son consentement.

Le contrat du plaignant avec le second couvreur stipulait qu’il consentait à la collecte et à l’utilisation de ses renseignements personnels aux fins suivantes : i) recevoir les produits et les services d’installation qui y étaient décrits; et ii) répondre à toute réclamation concernant la garantie.

Selon la politique de confidentialité adoptée par le second couvreur, celui-ci devait obtenir le consentement des clients pour la collecte, l’utilisation et la communication de leurs renseignements personnels.

Résultat

Du point de vue du Commissariat, l’estimateur agissait à titre de mandataire du second couvreur. Par conséquent, celui-ci était responsable des pratiques de l’estimateur en matière de traitement des renseignements personnels.

Nous avons également jugé que les renseignements personnels du plaignant avaient été communiqués à son insu et sans son consentement, en violation du principe 4.3 de la LPRPDE.

Le second couvreur a mis en œuvre la recommandation du Commissariat et établi une entente en vertu de laquelle les sous-traitants s’engagent à respecter la politique de confidentialité de l’entreprise. L’entente stipule en outre que les sous-traitants doivent recevoir une formation à cet égard.

Compte tenu des mesures prises par le second couvreur pendant notre enquête, nous concluons que la plainte est fondée et résolue.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :