Une banque communique les détails sur les indiscrétions d’une employée, mais pas sur les mesures disciplinaires, et ce, à juste titre
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2016-001
26 février 2016
Leçons apprises
- Les organisations peuvent contrevenir à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) si leurs employés consultent les renseignements des clients sans raison valable.
- Les gens ont le droit de connaître les détails concernant l’accès non autorisé à leurs renseignements personnels par les employés d’une organisation. Toutefois, les organisations doivent protéger les renseignements personnels de tierces personnes, par exemple, les mesures disciplinaires prises à l’égard de l’employé qui a accédé de manière inappropriée aux renseignements du client.
Une plaignante soupçonnait que sa voisine, qui travaillait à la banque où elle avait un compte, avait accédé à ses renseignements personnels sans autorisation. Après qu’elle a alerté la banque, cette dernière a confirmé que l’employée en question avait accédé de manière inappropriée à son compte, et ce, à plusieurs reprises. La plaignante a demandé de plus amples détails, y compris le nombre de fois que l’employée avait consulté son compte et les dates auxquelles elle l’avait consulté, les renseignements auxquels elle avait eu accès, si les renseignements avaient été divulgués à un tiers, et les mesures disciplinaires qui avaient été prises à l’égard de l’employée. La banque a fourni les détails concernant l’accès non autorisé, mais n’a pas transmis d’information au sujet des mesures disciplinaires prises à l’égard de l’employée.
Elle a ensuite fait part de ses préoccupations à l’ombudsman de la banque, qui l’a informée qu’elle avait obtenu tous les renseignements que la banque pouvait lui donner. L’ombudsman a noté que la banque était tenue de protéger les droits de ses employés en matière de protection des renseignements personnels, et que, par conséquent, elle pouvait seulement transmettre un minimum d’information à propos des mesures disciplinaires prises. L’avocat de la plaignante a ensuite présenté le dossier au bureau de la protection des renseignements personnels de la banque, qui a confirmé le type de renseignements que l’employée avait consultés et précisé que des mesures disciplinaires appropriées avaient été prises à l’égard de l’employée, mais qu’il lui était impossible de transmettre de plus amples détails à ce sujet.
Toujours insatisfaite, la plaignante a déposé une plainte auprès du Commissariat. Pendant notre enquête, la banque a fourni des renseignements quant à son analyse des préoccupations de la plaignante. Dans une entrevue avec le service des ressources humaines, l’employée a déclaré connaître ses obligations en vertu du code d’éthique de la banque et admis avoir accédé au compte de la plaignante sans raison professionnelle valable. L’employée a ajouté qu’elle n’avait pas divulgué les renseignements à un tiers. En outre, la banque n’a trouvé aucune preuve laissant supposer que l’employée ait pu le faire. La banque nous a informés qu’elle avait communiqué à la plaignante les dates auxquelles l’employée avait accédé à ses renseignements, le nombre de fois auquel elle y avait accédé, et le type de renseignements qui étaient accessibles. La banque a aussi confirmé qu’elle avait pris des mesures disciplinaires officielles à l’égard de l’employée, mais qu’elle ne pouvait pas divulguer la nature précise de ces mesures, car cela porterait atteinte aux droits de l’employée en matière de protection des renseignements personnels et contreviendrait à la LPRPDE.
Étant donné que l’employée de la banque a accédé au compte de la plaignante sans raison professionnelle valable, et que, par conséquent, les renseignements personnels de la plaignante ont été utilisés à d’autres fins que celles pour lesquelles ils ont été recueillis, le Commissariat a conclu que l’aspect de la plainte concernant l’utilisation non autorisée des renseignements était fondé.
Puisqu’aucune preuve ne démontre que l’employée a divulgué des renseignements à un tiers, le Commissariat a conclu que l’aspect de la plainte concernant la divulgation des renseignements n’était pas fondé.
Finalement, le Commissariat conclut que la banque a fourni à la plaignante l’information concernant la façon dont l’employée a accédé à ses renseignements personnels. Par ailleurs, le Commissariat approuve la déclaration de la banque qui soutient qu’elle est responsable de protéger les droits de ses employés en matière de protection des renseignements personnels. Autrement dit, la plaignante avait le droit d’accéder à ses renseignements personnels, notamment aux détails sur la façon dont on a eu accès à ses renseignements, ce qu’elle a obtenu, mais pas aux renseignements de l’employée, notamment aux mesures disciplinaires spécifiques prises à son égard. Ainsi, le Commissariat a conclu que l’aspect relatif à l’accès aux renseignements personnels de la plainte n’était pas fondé.
- Date de modification :