La Corporation REEE Global est tenue responsable des actions d’une représentante de courtier concernant l’utilisation des renseignements personnels d’une patiente achetés d’un employé de l’hôpital Rouge Valley

Rapport de conclusions d'enquête en vertu de la LPRPDE n^o 2015-016

Le 19 octobre 2015

---

Environ deux mois après son accouchement en 2013, une dame a reçu un appel d’une personne qui voulait lui vendre un régime enregistré d’épargne-études (REEE) pour son nouveau-né. L’appel provenait d’une représentante de courtier indépendant (RCI) de la Corporation REEE Global (Global). Elle lui a alors mentionné qu’elle avait obtenu les renseignements la concernant de l’hôpital Rouge Valley (Rouge Valley), où elle avait accouché.

En juin 2014, un cas important d’atteinte à la vie privée ayant eu lieu à Rouge Valley a été rapporté publiquement. Ce cas d’atteinte, tel que l’ont rapporté les médias, concernait les renseignements personnels de milliers de patients qui auraient été vendus, toujours selon ce qui a été rapporté, par deux anciens employés de l’hôpital. Rouge Valley est d’avis que ces renseignements étaient les noms des patientes de la maternité, leurs coordonnées (dont leur numéro de téléphone), et la date de leur dernière visite à l’hôpital.

En juillet 2014, la plaignante, soupçonnant qu’elle était directement concernée par cet incident a déposé une plainte contre Global au Commissariat, disant que la société avait recueilli et utilisé ses renseignements personnels sans son consentement.

En décembre 2014, le Commissaire à l’information et à la protection de la vie privée de l’Ontario a établi que des employés de Rouge Valley avaient accédé de façon inappropriée aux renseignements personnels de patientes de la maternité pour les vendre à des représentants de courtier de REEE qui, par la suite, pouvaient les utiliser pour proposer des REEE aux nouvelles mères. Le commissaire a déclaré que cet acte contrevenait à la Loi sur la protection des renseignements personnels sur la santé de l’Ontario.

À la suite de notre enquête, Global a informé le Commissariat qu’une de ses RCI avait effectivement acheté des renseignements personnels de patientes de la maternité d’un employé de Rouge Valley pour les utiliser comme noms de clients potentiels. La société a indiqué que la représentante avait affirmé d’avoir agi seule. En raison du contrôle considérable que Global exerce sur ses RCI, leurs activités et les renseignements personnels qu’ils recueillent, le Commissariat a déterminé que Global était responsable et imputable en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

Lors de l’enquête, le Commissariat a découvert que Global ne disposait pas de système fiable pour consigner la manière dont les renseignements personnels de ses clients potentiels étaient obtenus et utilisés par ses représentants. Le Commissariat a constaté que malgré les soupçons sur la façon dont la représentante de courtier avait, dans ce cas particulier, obtenu les renseignements personnels de la plaignante, Global n’avait pas lancé d’enquête interne. Même après avoir découvert que la représentante avait obtenu les renseignements personnels de la part de Rouge Valley, Global n’a pas entamé d’enquête pour tenter de déterminer l’étendue de l’incident.

Qui plus est, Global ne semblait pas d’avoir de politiques ou de procédures en place et n’offrait pas non plus des formations pour s’assurer que ses employés et ses agents contractuels comprenaient bien leurs obligations envers la LPRPDE, notamment au sujet des principes fondamentaux de la protection des renseignements personnels, tels que le consentement et la collecte de renseignements à des fins précises. Les politiques existantes n’expliquaient pas suffisamment la signification du terme « consentement » dans le cadre de la collecte et de l’utilisation de coordonnées de clients potentiels à des fins de marketing. C’est pourquoi, dans ces circonstances, le Commissariat a conclu que Global a contrevenu aux principes 4.1 et 4.2 de la LPRPDE.

En dernier lieu, il est clair que Global n’a pas obtenu le consentement de la plaignante pour la collecte et l’utilisation de ses renseignements personnels en vertu du principe 4.3 de la Loi.

En conclusion de notre enquête, nous avons recommandé que Global :

• élabore et mette en œuvre des politiques et des procédures afin de déterminer la source de tous les renseignements personnels des clients potentiels et actuels qui ont été recueillis et utilisés, de même que des politiques, des procédures et des mesures afin d’assurer que les coordonnées soient recueillies et utilisées en conformité avec la LPRPDE;
• élabore et mette en œuvre des politiques, des procédures et des mesures (notamment des vérifications et, lorsqu’elles sont justifiées, des enquêtes) pour assurer que ses employés et ses RCI recueillent et utilisent les coordonnées de clients potentiels et actuels en conformité avec la LPRPDE;
• assurer que ses employés, y compris les RCI, reçoivent de la formation au sujet de ces politiques et procédures et qu’ils signent un document qui confirme qu’ils ont suivi cette formation;
• accepte de se soumettre à une vérification par un tiers pour certifier que les mesures de responsabilisation de la société sont assez efficaces pour fournir l’assurance raisonnable que les renseignements personnels qu’elle détient sont recueillis et utilisés en conformité avec la LPRPDE, et fournisse le rapport final au Commissariat;
• étudier attentivement la publication du Commissariat intituler Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

Dans sa réponse, Global a déclaré qu’elle avait intégré un document dans son manuel qui citait les dix principes de la LPRPDE, ainsi que le rôle et les obligations de la société et des représentants de courtier à l’égard de ces principes. Elle a aussi déclaré que le respect de ces obligations serait contrôlé régulièrement lors de vérifications ponctuelles. Global a plus tard déclaré qu’elle avait intégré de la formation sur la protection des renseignements personnels (comprenant un examen) dans son module de formation destiné à toute la société. Global a accepté de se soumettre à une vérification menée par un tiers indépendant et de fournir le rapport de cet audit dans l’année suivant la publication du présent rapport.

Puisque Global s’est engagée à mettre en œuvre l’ensemble des recommandations formulées par le Commissariat dans le délai prescrit d’un an, le Commissariat a déclaré cette plainte fondée et conditionnellement résolue.

Mise à jour : Un an après le dépôt de nos conclusions, Global a confirmé qu’un tiers indépendant avait effectué une vérification et certifié que les mesures de responsabilisation de Global étaient assez efficaces pour fournir l’assurance raisonnable que les renseignements personnels traités par la société étaient recueillis et utilisés en conformité avec la LPRPDE. Le Commissariat a également reçu copie de ce rapport de vérification. À la lumière des actions entreprises par Global, le Commissariat juge que Global a appliqué ses recommandations.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1. La plaignante alléguait que la Corporation REEE Global (« Global ») avait recueilli et utilisé ses renseignements personnels sans son consentement. Plus précisément, elle alléguait que Global avait un rapport avec l’atteinte aux renseignements personnels (« l’atteinte ») de l’hôpital Rouge Valley (« Rouge Valley »), qui comportait la divulgation non autorisée de renseignements personnels de patientes de la maternité. La plaignante alléguait que Global avait obtenu ses renseignements personnels de Rouge Valley (où elle avait accouché) dans le cadre de l’atteinte et qu’elle les avait utilisés pour la solliciter et lui vendre un REEE pour son enfant.

Résumé de l’enquête

Fil des événements

2. En octobre 2013, soit environ deux mois après son accouchement à Rouge Valley, la plaignante a reçu un appel d’une représentante de courtier indépendante (« la représentante ») de Global qui lui proposait d’investir dans un fonds d’éducation de Global (une forme de REEE) pour son enfant. Des renseignements supplémentaires concernant les représentants de courtier indépendants (« RCI ») de Global (RCI) sont fournis plus loin dans le présent rapport.
3. Selon la plaignante, la représentante l’aurait informée, au cours de la conversation, que ses coordonnées avaient été obtenues de Rouge Valley.
4. Le 3 juin 2014, on rapportait publiquement qu’une atteinte aux renseignements personnels des patients s’était produite à Rouge Valley. Selon ce qui a été rapporté par les médias, l’atteinte impliquait deux anciens employés de l’hôpital, qui auraient vendu les renseignements personnels des patients à des entreprises offrant des REEE. Les renseignements personnels d’environ 8 300 patientes de la maternité, qui avaient accouché à Rouge Valley entre 2009 et 2013, auraient été obtenus et divulgués de manière inappropriée lors de l’incident. Les médias mentionnaient également que le Commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) lancerait une enquête sur la responsabilité de Rouge Valley concernant l’atteinte.
5. Le 16 juillet 2014, la plaignante a déposé une plainte au Commissariat contre Global, alléguant que la représentante avait obtenu ses renseignements personnels à Rouge Valley de manière inappropriée à l’occasion de l’atteinte.
6. En août 2014, les médias ont indiqué que l’atteinte qui s’était produite à Rouge Valley était plus importante que ce qui avait été d’abord rapporté : ce sont les renseignements personnels de 14 450 patientes de la maternité de Rouge Valley qui auraient été obtenus et divulgués de manière inappropriée.
7. En octobre 2014, Rouge Valley a avisé le Commissariat qu’il croyait que Global était l’une des entreprises offrant des REEE qui avaient obtenu des renseignements personnels grâce à l’atteinte. Rouge Valley a déclaré que d’autres patientes l’avaient informé que Global avait communiqué avec elles.
8. Rouge Valley a aussi mentionné qu’il n’était pas en mesure de confirmer précisément quelles patientes étaient visées par l’atteinte. Pour cette raison, Rouge Valley a décidé de notifier toutes les patientes qui avaient accouché au cours de la période où les deux anciens employés avaient eu accès aux bases de données en cause. Rouge Valley a par la suite confirmé que la plaignante était sur la liste des patientes qui étaient potentiellement touchées par l’atteinte.
9. En ce qui concerne les renseignements personnels qui avaient été obtenus et divulgués, Rouge Valley était d’avis qu’il s’agissait du nom des patientes de la maternité, de leurs coordonnées (dont leur numéro de téléphone), de la date de leur dernière visite à l’hôpital et, peut-être, de leur numéro de carte d’assurance maladie. Selon Rouge Valley, aucun renseignement médical concernant les patientes n’aurait été compromis.
10. Le 24 novembre 2014, la Commission des valeurs mobilières de l’Ontario (CVMO) a annoncé que son Équipe mixte de lutte contre les infractions graves^{Note de bas de page 1} menait une enquête sur l’atteinte.^{Note de bas de page 2} Elle a également fait savoir qu’elle avait intenté des poursuites pour infraction quasi criminelle liée à la vente de renseignements concernant des patientes du service de maternité par une ex-employée de Rouge Valley à un ou plusieurs représentants de courtiers en REEE.
11. Le 16 décembre 2014, le CIPVP de l’Ontario a publié l’ordonnance HO-013 en vertu de la LPRPS, qui rendait compte des résultats de son enquête sur l’atteinte survenue à Rouge Valley.^{Note de bas de page 3} Le CIPVP a mené des entrevues et examiné les politiques, les pratiques et les procédures de Rouge Valley en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS).
12. Selon le rapport du CIPVP, deux employés de Rouge Valley avaient accédé de manière inappropriée aux renseignements de patientes qui avaient donné naissance dans cet hôpital. L’un des employés a avoué avoir vendu les renseignements en question à une représentante de courtier en REEE afin de permettre à cette dernière de faire la promotion de ses produits auprès des patientes. Dans son rapport, le CIPVP a confirmé qu’en raison des lacunes dans la fonction de vérification du système d’information électronique de Rouge Valley, ce dernier n’était pas en mesure de déterminer avec précision l’identité des patientes dont les renseignements personnels avaient fait l’objet d’un accès inapproprié.
13. Le 2 juin 2015, la CVMO a annoncé qu’elle avait porté des accusations criminelles et quasi criminelles relativement à l’utilisation malveillante de renseignements confidentiels de patientes de Rouge Valley et de l’Hôpital général de Scarborough.^{Note de bas de page 4} Dans un communiqué, la CVMO a indiqué qu’une ancienne RCI de la société Global aurait acheté des étiquettes d’identification volées auprès d’une infirmière autorisée, pendant une période d’environ deux ans et demi, et qu’elle aurait utilisé les renseignements confidentiels de ces patientes comme source de clients potentiels pour des investissements dans des REEE.

Renseignements obtenus de la société Global

14. En septembre 2014, Global a fait savoir au Commissariat qu’elle avait obtenu les renseignements personnels de la plaignante lorsque la représentante lui avait remis son formulaire de demande d’adhésion dûment rempli. Global a alors précisé qu’elle n’avait aucune entente officielle avec des hôpitaux à ce moment-là.
15. Global a aussi affirmé que la seule méthode de prospection où elle demandait l’autorisation de recueillir et d’utiliser des renseignements personnels dans le but de vendre des REEE consistait à offrir des bulletins de participation au tirage d’un régime d’épargne-études d’une valeur de 20 000 $, bulletins sur lesquels les intéressés inscrivent leur nom et leurs coordonnées. Global a affirmé que les RCI pouvaient également obtenir les numéros de téléphone de clients potentiels au moyen de diverses méthodes, notamment par le biais de recommandations, mais qu’il leur incombait de s’assurer que ces numéros de téléphone ne figurent pas sur la Liste nationale de numéros de télécommunication exclus avant de communiquer avec les personnes concernées. Dans l’affaire de la plaignante, Global a confirmé que cette dernière n’avait pas rempli de bulletin de participation. Toutefois, ses numéros de téléphone fixe et de cellulaire ne figuraient pas sur la Liste nationale de numéros de télécommunication exclus.
16. Global a fait valoir qu’elle n’avait aucun moyen de savoir de quelle manière ses RCI procédaient pour obtenir les coordonnées de clients potentiels. Celle-ci a toutefois affirmé avoir l’intention d’effectuer le suivi des méthodes utilisées par les RCI à cette fin à l’avenir.
17. Global a affirmé d’avoir envoyé un message (« le message ») à ses employés, RCI et directeurs de succursale (DS) après que l’atteinte ait été rendue publique. La société a remis au Commissariat une copie des courriels qu’elle avait envoyés à son personnel le 13 juin 2014.
18. Elle y invitait notamment quiconque croyant être impliqué, ou croyant qu’une autre personne était impliquée, dans des activités non autorisées d’achat, de vente ou d’utilisation de renseignements personnels en lien avec l’atteinte à communiquer avec le responsable de la conformité de Global. Celle-ci a affirmé n’avoir reçu aucune réponse confirmant que des membres de son personnel auraient été impliqués dans l’atteinte. Global a remis au Commissariat plusieurs courriels de DS confirmant que leurs RCI n’avaient pas acheté de listes de clients potentiels de sources non autorisées.
19. En octobre 2014, Global a informé le Commissariat qu’elle avait interviewé la représentante en cause, qui a nié avoir dit à la plaignante qu’elle avait reçu ses renseignements personnels de Rouge Valley. Selon Global, la représentante n’a pas pu dire de quelle manière elle avait obtenu les coordonnées de la plaignante, mais a nié les avoir obtenues d’un hôpital.
20. Après la publication de l’ordonnance par le CIPVP de l’Ontario, en décembre 2014, le Commissariat a de nouveau communiqué avec Global.
21. Au début de février 2015, Global a informé le Commissariat qu’elle avait appris, le 14 janvier 2015, que la représentante avait un rapport avec l’atteinte. Global a affirmé avoir de nouveau rencontré la représentante, qui a admis cette fois avoir acheté des listes d’une employée de Rouge Valley dans le but de vendre des REEE. Global a informé le Commissariat qu’elle avait mis fin à sa relation avec la représentante le jour même.
22. Global a en outre précisé que la représentante affirmait d’avoir agi seule. Elle a déclaré qu’elle n’avait par conséquent pas poussé plus loin son enquête interne.
23. Global a nié toute implication dans l’atteinte, en précisant que la représentante était une RCI indisciplinée qui avait agi seule et à l’insu de la société.
24. Le 25 février 2015, des membres du Commissariat se sont rendus dans les locaux de Global, où ils ont interviewé le responsable de la conformité (RC), le responsable de la protection des renseignements personnels (RPRP), un DS et un RCI.

Renseignements obtenus du RC et du RPRP de la société Global

25. Pendant l’entrevue avec le RC et le RPRP, le Commissariat a appris que :
    1. la représentante avait acheté des renseignements d’une employée de Rouge Valley;
    2. Global ne possédait aucun renseignement relatif aux noms achetés par la représentante;
    3. par conséquent, Global ne pouvait pas communiquer avec ces personnes pour les informer qu’une RCI de Global s’était procuré leurs renseignements par suite de l’atteinte.
26. Le RC et le RPRP ont en outre affirmé que Global n’était pas liée à l’atteinte, du fait qu’elle ne considère pas ses RCI, dont la représentante en cause, comme des employés. Chaque RCI signe une entente de représentant de courtier (Dealing Representative Agreement) qui décrit le lien entre le RCI et Global; section 6.1 de l’article VI de cette entente définit ce lien comme étant entre mandant et mandataire, et non comme un lien entre employeur et employé. Global remet aux RCI une commission correspondant à un certain pourcentage de leurs ventes, mais elle ne leur verse pas de salaire.
27. Le RC et le RPRP ont répété qu’ils n’avaient pas reçu de réponse positive au message envoyé aux employés et que tous les DS avaient déclaré au RC qu’aucun RCI n’était impliqué dans l’affaire.
28. Le RC et le RPRP ont précisé que les DS étaient responsables du recrutement et de la formation des RCI, et qu’ils leur apprenaient notamment comment faire du démarchage par téléphone, tenir des activités de promotion dans les centres commerciaux, installer des kiosques, participer à des salons et à des expositions sur les bébés et collaborer avec les groupes et les églises intéressés.
29. Ils ont également expliqué que de nombreuses ventes étaient conclues à la suite de recommandations et que les RCI étaient rémunérés sous forme de commission calculée en pourcentage de chacune des ventes qu’ils réalisent. Chaque RCI signe un contrat avec Global, qui lui fournit un espace de travail dans les bureaux des succursales de l’entreprise, l’accès au portail Web de Global et une formation initiale et continue donnée par les DS et par d’autres membres du personnel de Global. Chacun des RCI doit également participer à des réunions hebdomadaires et remettre des rapports hebdomadaires aux DS.
30. Le RC et le RPRP ont confirmé qu’il n’existait aucun modèle ou système permettant de savoir comment les RCI obtiennent le consentement des clients.
31. Le RC et le RPRP ont affirmé que, par suite de l’atteinte, les DS ont tenu des réunions avec les RCI afin de leur expliquer qu’il est illégal d’acheter des listes de clients potentiels à l’externe sans s’assurer que ces clients ont donné leur consentement.

Renseignements obtenus d’un RCI de la société Global

32. Le RCI a déclaré que les représentants recevaient une formation lorsqu’ils entraient au service de Global et de façon continue par la suite, en précisant que « la formation est constante, et offerte toutes les semaines ». Il a précisé que la formation était donnée par les DS et par divers autres membres du personnel de Global, soit dans les bureaux des succursales soit au siège social de Global.
33. Il a aussi affirmé que les RCI produisaient des rapports hebdomadaires et participaient à des réunions hebdomadaires avec les DS, en ajoutant que les RCI voyaient normalement leur DS tous les jours.
34. Le RCI a déclaré que la plupart de ses nouveaux clients étaient des gens qui lui étaient recommandés. Ainsi, un client pouvait lui fournir les noms et numéros de téléphone de cinq de ses amis. Il lui arrivait aussi de demander à un client de parler de lui à un ami. Le RCI a expliqué qu’il se présentait comme un « représentant du courtier en REEE Global » lorsqu’il téléphonait à un nouveau client potentiel, et qu’il lui expliquait qu’il vend les produits Global.
35. Il a déclaré avoir pris connaissance de l’atteinte en écoutant les médias et qu’il avait ensuite téléphoné à son DS pour en discuter. Il a affirmé que son DS ne lui a jamais demandé s’il avait un lien quelconque avec cette affaire ni s’il connaissait quelqu’un qui aurait un tel lien. Il a également dit qu’il ne se souvenait pas avoir reçu le message de Global à ce sujet.

Renseignements obtenus d’un DS de la société Global

36. Pendant notre entrevue avec le DS, ce dernier a déclaré que Global offrait une formation continue sur les sujets suivants : administration, connaissance du client, exactitude des renseignements, développement personnel, technique de rédaction, méthodes de recrutement, faire des appels, tenir une activité sur les bébés, organiser ses appels, utiliser les listes de numéros de télécommunication exclus, et agir dans divers types de situations. Le DS a affirmé avoir reçu de la formation dans tous ces domaines de manière à pouvoir lui-même former les RCI.
37. Le DS a reconnu qu’il existait une formation sur la protection des renseignements personnels et que tous, y compris les RCI, devaient signer un formulaire où ils s’engageaient à respecter les exigences en matière de marketing et de communication de la Liste nationale de numéros de télécommunication exclus.
38. Le DS a également précisé que les seules listes de clients potentiels qu’il aurait été susceptible d’acheter sont les listes approuvées et vendues par Global, produites en vertu de contrats d’entiercement conclus avec des entreprises qui obtiennent le consentement de communiquer ces renseignements à d’autres parties, comme Global.
39. Le DS a déclaré qu’il n’était que rarement en mesure d’identifier la source d’une demande d’un RCI et qu’il n’existait aucune politique permettant de déterminer la manière dont les renseignements des clients sont recueillis par Global.
40. Le DS a décrit son rôle dans la supervision des RCI, qui comprend un rôle de soutien, la tenue de rencontres hebdomadaires avec les RCI, l’organisation de réunions mensuelles de la succursale, la collaboration directe avec le RCI lorsque le cas est difficile et la surveillance des ventes des RCI. Le DS a déclaré qu’il relevait du RC.
41. Le DS a aussi affirmé qu’il avait pris connaissance de l’atteinte en écoutant les nouvelles du matin. Le DS a déclaré qu’il avait été chargé par Global de demander aux RCI sous sa supervision s’ils achetaient des renseignements de sources inconnues concernant des clients potentiels. Le DS a indiqué qu’il croyait avoir envoyé un courriel à ses RCI, et qu’il leur avait demandé, lors d’une réunion de la succursale, de se manifester.
42. Le DS a déclaré être le superviseur de la représentante, et il a reconnu avoir trouvé suspect le fait que la représentante ne se rappelait pas où elle avait obtenu les renseignements de la plaignante lorsqu’elle a été interrogée à ce sujet en septembre 2014.
43. Le DS a déclaré que la représentante était l’un de ses cinq meilleurs vendeurs et que le RC l’avait informé, en janvier 2015, que la représentante avait un lien avec l’atteinte.

Programme de conformité de Global en matière de protection des renseignements personnels

44. Lors de notre visite, Global a fourni au Commissariat des documents énonçant ses mesures de conformité en matière de protection des renseignements personnels.

Bulletin de participation aux concours

45. Le bulletin de participation actuel permet aux personnes de choisir de donner ou non leur consentement à l’utilisation de leurs coordonnées pour de futures tentatives de vente par Global. Le libellé est le suivant [traduction] :

    Oui, je consens à donner mon numéro de téléphone et mon courriel à Global RESP Corporation (GRESP) et à leurs distributeurs agréés afin d’en apprendre davantage sur le Régime fiduciaire d’épargne-études Global, le Régime enregistré d’épargne-études (REEE) et les subventions gouvernementales. Je consens à recevoir des avis par courriel concernant le cyberbulletin, leurs concours, leurs promotions, leurs produits et services, etc.

Entente de représentant de courtier

46. L’entente de représentant de courtier entre chaque RCI et Global a été révisée pour la dernière fois en août 2013 et comprend les clauses suivantes [traduction] :

    3.1.1(m) Le représentant doit veiller à ce que tous les dossiers des clients soient tenus à jour, qu’ils soient conservés dans un lieu sûr et qu’ils demeurent confidentiels, conformément aux lois applicables en matière de valeurs mobilières et de protection de la vie privée. Le représentant reconnaît que tous les livres et les registres sont la propriété de Global, et seront tenus à disposition pour examen et inspection par Global et les autorités réglementaires durant les heures d’ouverture normales, ou leur seront livrés.
    8.1 Le représentant s’engage, par la présente, à respecter scrupuleusement les lois sur la protection de la vie privée ainsi que la politique interne en matière de confidentialité des renseignements et de protection de la vie privée […].

Code de déontologie des pratiques commerciales de l’Association canadienne des courtiers en REEE

47. Global, en tant que membre de l’Association canadienne des courtiers en REEE (ACCREEE), a accepté de se conformer au Code de déontologie des pratiques commerciales (« le Code ») élaboré par l’ACCREEE et mis à jour le 15 mars 2012. Le Code comprend les clauses suivantes :

    Section III, Principes directeurs : Tous les Membres, leurs employés, leurs agents et leurs représentants adhéreront à ce code.

    Section IV, Normes. Sous-section E, Supervision et perfectionnement des superviseurs : Les Membres s’assureront que leurs autres employés et agents, et les fournisseurs de service externes qu’ils pourraient engager, se conforment à ce code.

    Section IV, Normes. Sous-section F, Responsabilité de l’entreprise : Un Membre est tenu responsable des agissements et des omissions de ses représentants quant aux plans de bourses d’études, et des autres employés et agents dans l’exercice de leurs activités.

    Section V, Approche des clients/des clients potentiels. Sous-section B : Les Membres dirigeront leur activité de vente selon la réglementation des valeurs mobilières en vigueur : la Loi sur la concurrence (Canada) (projet de loi C-20), la Loi sur les télécommunications (Canada) (projet de loi C-37), la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la législation provinciale en vigueur sur la protection de la vie privée.

    Section VII, Post-contrat. Sous-section B : Les Membres traiteront les informations personnelles des clients en toute confidentialité, en appliquant les mesures de sauvegarde adéquates pour protéger cette confidentialité. Les Membres maintiendront un contrôle poussé de l’accès à l’information du client. Un Membre ne divulguera pas les informations confidentielles ou personnelles d’un client, sauf lorsque le client y consent par écrit, ou conformément aux lois applicables; et il n’utilisera pas ces informations au détriment du client ou pour en tirer profit pour lui-même ou une autre personne. Un Membre développera et maintiendra des politiques et des procédures écrites relatives à la confidentialité et à la protection des informations du client.

Politiques et procédures de Global en matière de conformité

48. Le manuel des politiques et des procédures de Global en matière de conformité comprend sa politique de confidentialité interne, qui contient les clauses suivantes [traduction] :

    [Global] suit les lignes directrices établies par le gouvernement fédéral dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La LPRPDE établit des règlements à l’intention des organismes pour la collecte, l’utilisation et la divulgation de renseignements personnels dans le cadre d’activités commerciales […].
    Les règlements [dans la politique de confidentialité interne de Global] s’appliquent aux dirigeants, aux employés, aux agents, aux représentants de courtier et au personnel administratif de [Global] […].
    Tous les vendeurs sont tenus de déployer des efforts raisonnables pour s’assurer que les renseignements sur les clients sont protégés et utilisés uniquement aux fins des activités financières.

Formation offerte aux RCI par Global

49. Global a fourni des exemplaires de ses documents de formation pour ses RCI, comprenant des renseignements sur l’obligation de connaître son client et la Liste des numéros de télécommunication exclus. Ces documents indiquent notamment [traduction] : « Il est également de notre devoir d’être diligent dans l’acquisition de noms de clients potentiels, et de suivre des processus qui respectent les lois sur la protection des renseignements personnels, par exemple en ce qui concerne les noms provenant de tiers. »

Demande d’adhésion pour les nouveaux clients de Global

50. La demande d’adhésion de Global pour les nouveaux clients comprend les énoncés suivants [traduction] :

    Nous nous engageons à préserver vos renseignements personnels en toute sécurité et dans la plus stricte confidentialité. Nos pratiques s’appliquent aux dirigeants, aux employés, aux représentants et au personnel administratif, ainsi qu’aux tiers avec lesquels Global entretient des relations d’affaires dans le but d’administrer ses comptes ou d’offrir de nouveaux produits et services.
    […]
    Il incombe à Global et à son personnel de protéger vos renseignements personnels qui sont en leur possession et sous leur garde ou contrôle, que ces renseignements soient en format électronique ou papier.
    […]
    Chez Global, vous contrôlez la manière dont vos renseignements personnels sont obtenus et utilisés. Votre consentement préalable doit être obtenu avant que vos renseignements personnels puissent être utilisés pour la fourniture de services financiers.
    […]
    Vos renseignements personnels ne sont utilisés que dans le but pour lequel ils ont été recueillis, c’est-à-dire de vous fournir des produits et des services de placement appropriés. Les renseignements personnels seront conservés en toute sécurité et divulgués uniquement lorsque cela sera nécessaire pour respecter nos obligations juridiques et réglementaires.

Politique de confidentialité en ligne de Global

51. This policy, which is available online, includes the following statement:

    [Global] est responsable de vos renseignements personnels qui sont en sa possession ou sous sa garde, y compris ceux qui ont été transférés ou reçus d’un tiers dans le cadre d’activités commerciales à des fins de traitement ou à d’autres fins auxquelles vous avez consenti. [Global] est responsable de la collecte, de l’utilisation et de la divulgation de vos renseignements personnels.

Modifications apportées au programme de conformité en matière de protection des renseignements personnels de Global

52. Au cours de notre visite, Global a indiqué qu’elle avait annexé un nouveau formulaire à sa demande d’adhésion, appelé Global’s Education Trust Foundation (GETF) (Promoter) Education Savings Plan Enrollment Application – Amendment - Additional Client Information (Demande d’adhésion au régime d’épargne-études de la Fondation fiduciaire d’épargne-études Global (promoteur) – Modification – Renseignements supplémentaires sur le client). Ce formulaire, obligatoire depuis mars 2015, est un document d’une page qui décrit comment le RCI a obtenu les renseignements du client. Il doit accompagner la demande d’adhésion et être signé par les deux parties.

Application de la Loi

53. Pour rendre sa décision, le Commissariat a appliqué les principes 4.1, 4.1.4 et 4.3 de l’annexe 1 de la Loi.
54. Le principe 4.1 stipule qu’une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect, par l’organisation, des principes prévus par la loi.
55. Le principe 4.1.4 précise que les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes de l’annexe 1 de la Loi, notamment :
    1. la mise en œuvre des procédures pour protéger les renseignements personnels;
    2. la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite;
    3. la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation;
    4. la rédaction de documents explicatifs concernant leurs politiques et procédures.
56. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent.

Conclusion

Collecte et utilisation sans consentement

57. Au cours de notre enquête, Global a confirmé que la représentante lui avait avoué d’avoir acheté des renseignements sur les patientes de la maternité de Rouge Valley d’une employée de l’hôpital. Le motif de la représentante était, semble-t-il, de tenter de vendre les produits de Global aux nouvelles mères.
58. Les renseignements sur les patientes – dont le fait qu’elles étaient des patientes de la maternité – constituent de toute évidence des « renseignements personnels » au sens de la Loi. En outre, il est incontestable que Global n’avait pas obtenu le consentement pour la collecte et l’utilisation de ces renseignements. Les patientes dont les renseignements sont visés par l’atteinte n’avaient pas consenti à la divulgation de leurs renseignements par Rouge Valley aux courtiers de Global ou à d’autres distributeurs de REEE aux fins de marketing.
59. Le Commissariat n’a pas été en mesure de déterminer si les renseignements personnels de la plaignante avaient été recueillis et utilisés précisément par la représentante, car Global n’a pas conservé de copie des listes achetées par la représentante. Toutefois, Rouge Valley a confirmé que la plaignante faisait partie des personnes potentiellement touchées par l’atteinte. De plus, la plaignante a déclaré qu’elle avait reçu un appel de la représentante environ deux mois après son accouchement et que celle-ci lui avait dit que ses renseignements avaient été obtenus auprès de Rouge Valley. Selon Global, la représentante a nié cette allégation, mais elle a également nié, initialement, avoir obtenu des renseignements de Rouge Valley. Selon Global, la représentante ne pouvait pas non plus confirmer où elle avait obtenu les coordonnées de la plaignante. Dans ces circonstances, il semble hautement probable que les renseignements personnels de la plaignante faisaient partie des renseignements que la représentante avait obtenus de Rouge Valley, et que ces renseignements avaient été utilisés par la représentante pour communiquer avec la plaignante afin de lui vendre les produits de Global.
60. Quoi qu’il en soit, nous sommes convaincus, à la lumière des éléments de preuve, que la représentante a recueilli et utilisé les renseignements personnels des patientes de la maternité de Rouge Valley sans leur consentement.
61. Dans le cadre de notre enquête, Global a expressément refusé de prendre position à savoir si, en tant qu’organisation, elle était responsable en vertu de la Loi des actions de la représentante quant à la collecte et à l’utilisation des renseignements personnels provenant de Rouge Valley.
62. Pour les raisons décrites ci-dessous, le Commissariat est d’avis que Global est responsable, en vertu de la Loi, des actions de ses RCI quant à la collecte et à l’utilisation de renseignements personnels dans le but de vendre les produits de Global, y compris des actions de la représentante visée dans la présente affaire.
63. Global exerce un important degré de contrôle sur ses RCI, leurs activités et les renseignements qu’ils recueillent. Dans le cadre de notre enquête, Global a indiqué qu’elle était chargée d’embaucher et de congédier les RCI, de mettre à leur disposition un espace de travail et de leur fournir continuellement de la formation par l’entremise de ses DS et d’autres employés de l’organisation. Global a également mentionné que les RCI avaient accès à son portail interne et étaient tenus de présenter des rapports hebdomadaires, de participer aux réunions de leur succursale et de communiquer de façon générale avec les DS chaque semaine, voire chaque jour. Global oblige ses RCI à signer une entente aux termes de laquelle ils sont, entre autres, tenus de respecter les lois en matière de protection des renseignements personnels et la politique de confidentialité interne de Global. Cette entente prévoit également que Global doit maintenir le contrôle et la propriété de tous les livres et registres de ses RCI.
64. Les RCI agissent au nom de Global lorsqu’ils vendent des produits de REEE. À cet égard, l’entente de représentant de courtier prévoit clairement que les RCI entretiennent une relation mandant-mandataire avec Global et, pour cette raison, sont autorisés à agir au nom de cette dernière. Global a précisé que les RCI se présentaient aux éventuels clients comme des « représentants de Global ».
65. Bien qu’elle ait agi probablement à l’encontre des politiques et des ententes de Global, la représentante s’était prêtée à une activité de sollicitation au nom de Global et avait recueilli et utilisé les renseignements personnels concernés en vue de vendre des produits de Global.
66. Enfin, de nombreux documents appartenant à Global indiquent que l’organisation est responsable des actions de ses RCI en vertu de la Loi. Plus précisément, aux termes du Code de Global et de son formulaire de demande d’adhésion pour les nouveaux clients, Global est expressément responsable des actions de ses RCI.
67. Dans les circonstances, nous concluons que Global a enfreint le principe 4.3 de la Loi, en raison du fait que la représentante a recueilli et utilisé sans consentement des renseignements personnels de patientes du service de maternité de Rouge Valley dans l’objectif de faire la promotion des produits de Global.

Imputabilité

68. Notre Commissariat s’est également penché sur la question de savoir si les politiques et procédures de Global étaient suffisantes pour garantir que ses RCI suivent des méthodes appropriées pour obtenir les coordonnées de leurs clients actuels ou potentiels et éviter que se reproduisent les événements faisant l’objet de la présente plainte. Dans le cadre de notre enquête, Global a fait plusieurs déclarations qui nous ont préoccupés quant à son imputabilité à l’égard des renseignements en sa possession, notamment son incapacité à déterminer la provenance des renseignements personnels recueillis par ses RCI.
69. En effet, nous avons découvert que Global ignorait souvent le moyen précis par lequel un RCI avait recueilli les renseignements personnels d’un client (potentiel ou actuel), bien qu’elle connaisse les méthodes généralement employées par ses RCI à cette fin.
70. De plus, nous avons constaté que malgré le fait que la représentante était incapable de se rappeler la méthode par laquelle elle avait obtenu les renseignements de la plaignante et que son DS ait admis que cette situation était suspecte, aucune enquête interne n’avait été menée. De plus, après qu’il ait été révélé, le 14 janvier 2015, que la représentante était bel et bien impliquée dans l’atteinte, Global a admis qu’aucune autre enquête interne n’avait été menée et qu’aucune démarche n’avait été entreprise pour connaître les noms qui avaient été obtenus par la représentante grâce à l’atteinte et déterminer si la représentante avait communiqué avec ces personnes pour faire la promotion des produits de Global.
71. Pendant nos entretiens avec la RCI et le DS, nous avons aussi remarqué que certains aspects de la protection des renseignements personnels (comme le consentement et la collecte à une fin précise) n’étaient pas bien compris; une formation appropriée sur la confidentialité, les obligations juridiques applicables et la protection des renseignements personnels semblait faire défaut.
72. À titre d’organisation commerciale visée par la Loi, Global est responsable des renseignements personnels qui sont sous son contrôle, sa possession ou sa garde, et doit être en mesure de prouver qu’elle a mis en place un système fiable pour appliquer les principes prévus par la Loi, et ce, sur une base quotidienne.
73. Bien que nous soyons heureux de constater que Global a ajouté un document obligatoire à son formulaire de demande d’adhésion qui décrit la méthode par laquelle le RCI a obtenu les renseignements du client (comme nous l’avons mentionné plus haut), ce document doit uniquement être rempli lorsqu’un éventuel client a accepté de faire affaire avec Global.
74. Global semble n’avoir ni politique ni procédure ou formation en place qui explique clairement aux RCI leurs obligations en vertu de la Loi relativement à l’obtention du consentement pour la collecte et l’utilisation des coordonnées des clients potentiels. Les politiques en place font simplement mention de la nécessité de se conformer à la Loi, sans expliquer précisément ce que cela suppose dans l’obtention du consentement aux fins de la collecte et de l’utilisation des renseignements personnels de clients potentiels pour des besoins de commercialisation.
75. De plus, Global ne dispose d’aucune procédure de vérification des RCI destinée à garantir que les listes de clients potentiels qu’ils utilisent ont été obtenues avec consentement ou conformément à une exception valide prévue dans la Loi. Des vérifications ponctuelles ou régulières pourraient aider à garantir que les RCI agissent en conformité avec la Loi et n’utilisent pas les listes qu’ils ont obtenues de manière incorrecte et sans avoir obtenu le consentement requis. Global devrait également mettre en place des procédures visant à mener des enquêtes approfondies lorsque des problèmes de conformité sont soulevés, problèmes qui étaient évidents dans le présent cas.
76. À la lumière des actions de la représentante et des renseignements recueillis dans le cadre de notre enquête, le Commissariat conclut que Global n’a pas respecté les normes de responsabilité prévues aux principes 4.1 et 4.1.4. Cette non-conformité est particulièrement inquiétante étant donné que l’organisation œuvre dans un secteur traitant une importante quantité de renseignements personnels de nature délicate, dont des renseignements financiers.

Rapport d’enquête préliminaire et recommandations

77. Le 9 juillet 2015, le Commissariat a remis un rapport d’enquête préliminaire à Global dans lequel il présentait ses conclusions préliminaires et les recommandations suivantes :
    1. Mettre en place des politiques et des procédures destinées à protéger les renseignements personnels, et notamment :
       1. élaborer et mettre en place des politiques et des procédures visant à garantir que Global est en mesure de déterminer la provenance des renseignements personnels de chaque client, potentiel ou actuel, qui ont été recueillis et utilisés par ses RCI et ses employés;
       2. élaborer et mettre en place des politiques, des procédures et des mesures (notamment des vérifications et, lorsqu’elles sont justifiées, des enquêtes) pour assurer que ses employés et ses RCI recueillent et utilisent les coordonnées des clients potentiels et actuels en conformité avec la Loi.
    2. Former et informer le personnel sur les politiques et les pratiques de l’organisation, y compris :
       1. voir à ce que tous les employés et les RCI reçoivent une formation portant sur leurs obligations en vertu de la Loi, et veiller à ce que chaque employé et représentant signe un document confirmant qu’il a bien reçu cette formation;
       2. voir à ce que tous les employés et les RCI reçoivent une formation portant sur les politiques et procédures, nouvelles et modifiées, élaborées et instaurées conformément au point a) ci-dessus.
    3. Accepter de faire l’objet d’une vérification sur la reddition de comptes par un tiers indépendant et de produire un rapport, dans les 120 jours suivant la publication du rapport de conclusion définitif du Commissariat, certifiant que les mesures de reddition de comptes de Global sont suffisantes pour fournir l’assurance raisonnable que les renseignements personnels traités par l’organisation sont recueillis et utilisés conformément à la Loi, et convenir de soumettre ce rapport au Commissariat aux fins d’examen et d’acceptation.
78. Pour aider Global à appliquer les recommandations susmentionnées, le Commissariat lui a également recommandé de consulter sa publication intitulée Un programme de gestion de la protection de la vie privée : la clé de la responsabilité ^{Note de bas de page 5} et d’apporter les modifications qui s’imposent à ses mesures de reddition de comptes.
79. Le Commissariat a demandé à Global de lui présenter une réponse écrite dans laquelle elle indiquerait la manière dont elle prévoit appliquer les recommandations susmentionnées.

Réponse au rapport d’enquête préliminaire

80. En réponse au rapport d’enquête préliminaire du Commissariat, Global nous a informé qu’elle avait appliqué la recommandation « a. » susmentionnée. Plus précisément, l’organisation a indiqué qu’elle avait préparé un document intitulé « Les dix volets pour l’accès aux renseignements personnels de Global » et l’avait ajouté à son manuel des politiques et des procédures de conformité. Ce document renvoie aux dix principes contenus dans l’annexe 1 de la Loi et décrit le rôle de Global et de chaque RCI à leur égard, ainsi que les mesures qui doivent être prises à l’avenir par rapport à ces principes lorsque sont traités des renseignements personnels de clients actuels ou potentiels. Global a également confirmé qu’à l’avenir, ses audits réguliers et ponctuels (menés par son RC) viseraient également à déterminer si ses DS et ses RCI respectent les obligations décrites dans ce nouveau document.
81. En réponse à la recommandation « b. », Global a indiqué qu’elle avait intégré une formation sur la protection des renseignements personnels à ses modules de formation à l’intention de tous les membres de son personnel, y compris les membres de la direction et l’équipe du service à la clientèle. Ce module de formation comporte un test destiné à vérifier que tous les employés comprennent l’importance de protéger la vie privée des clients potentiels et actuels.
82. Global a, de plus, confirmé qu’elle avait nommé un nouvel agent de protection de la vie privée qui a pris des mesures proactives dans le but de voir à ce que ses politiques et procédures de confidentialité soient respectées à la lettre.
83. Global a également convenu de faire l’objet d’une vérification sur la reddition de comptes et d’obtenir un rapport d’un tiers indépendant, comme il est mentionné à la recommandation « c. », dans un délai d’un an suivant la publication du présent rapport de conclusion.
84. Enfin, Global a confirmé qu’elle avait étudié notre publication intitulée Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

Conclusion

85. Nous sommes convaincus que les changements susmentionnés, une fois apportés, répondront aux recommandations du Commissariat. En conséquence, le Commissariat conclut que la plainte est fondée et conditionnellement résolue.