Enquête sur les pratiques relatives à la protection des renseignements personnels de Bureau en gros Canada en ce qui concerne les appareils électroniques destinés à la revente dans le cadre de son programme Boîte ouverte

Conclusions en vertu de la LPRPDE no 2025-004

Le 1er décembre 2025

---

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Points à retenir

La présente enquête rappelle aux entreprises qu’elles ont les responsabilités suivantes dans le cadre de la revente d’appareils remis à neuf :

• Les organisations doivent effectuer une réinitialisation d’usine complète, conforme aux instructions des fabricants, pour adéquatement tous les renseignements personnels stockés sur les appareils électroniques tels que les ordinateurs portables;
• Les organisations doivent élaborer, puis fournir à leurs employés, des instructions claires, cohérentes et normalisées sur la manière d’effectuer les tâches techniques nécessaires pour tous les renseignements personnels stockés sur les appareils électroniques retournés;
• Les organisations doivent fournir à leurs employés des formations afin qu’ils soient en mesure d’accomplir les tâches techniques liées à tous les renseignements personnels stockés sur les appareils électroniques retournés.

Rapport de conclusions

Vue d’ensemble

1. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a reçu une plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) d’une personne ayant travaillé chez Staples [Bureau en gros] Canada (Bureau en gros ou l’intimé). La personne plaignante a affirmé que Bureau en gros n’avait pas protégé ni effacé adéquatement les renseignements personnels d’utilisateurs stockés sur les ordinateurs portables retournés par des clients, puis remis en vente. La personne plaignante a également indiqué que les politiques et processus de Bureau en gros n’étaient pas suffisantes pour permettre à ses employés d’effacer les renseignements personnels des ordinateurs portables retournés et que l’entreprise n’avait pas suffisamment formé ses employés sur la manière d’effacer les données de ces ordinateurs.
2. Le principe 4.7.1 de la LPRPDE exige que les entreprises disposent de mesures de sécurité afin de protéger les renseignements personnels contre la consultation et la communication non autorisées. En outre, le principe 4.7.3 exige que les méthodes de protection comprennent des moyens matériels, des mesures administratives ainsi que des mesures techniques.
3. Le Commissariat a relevé un certain nombre de lacunes dans les politiques, procédures et formations internes de Bureau en gros. Conséquemment, les renseignements personnels stockés sur les ordinateurs portables retournés n’étaient pas protégés adéquatement.
4. Pour faire en sorte que Bureau en gros respecte les exigences de la LPRPDE en matière de mesures de sécurité, le Commissariat a recommandé à l’entreprise de démontrer, dans les neuf mois suivant la publication du rapport définitif, qu’elle a i) mis au point des procédures et des normes claires qui décrivent la façon dont ses employés doivent nettoyer les appareils conformément aux directives des fabricants en matière de réinitialisation et de nettoyage des données; ii) amélioré son programme de formation destiné aux employés responsables d’effacer les données stockées sur les appareils retournés; et iii) veillé à ce que tous ses employés responsables de nettoyer les appareils aient suivi les formations à cet égard avant d’effectuer le travail. L’entreprise a accepté de mettre en œuvre ces recommandations.
5. Le Commissariat a également recommandé à Bureau en gros de désigner un tiers indépendant pour effectuer une vérification ponctuelle annuelle des appareils retournés dans les magasins Bureau en gros participant au programme Boîte ouverte pendant une période de trois ans suivant la publication du rapport final. Les magasins doivent être sélectionnés par le tiers, répartis dans plusieurs provinces et doivent changer d’une année à l’autre. Dans le cadre des vérifications ponctuelles, le tiers devrait examiner un échantillon raisonnable d’appareils retournés dans chaque magasin sélectionné afin de confirmer qu’ils ont été nettoyés correctement. L’entreprise a aussi accepté de mettre en œuvre cette recommandation.
6. Comme Bureau en gros a accepté d’améliorer ses mesures de sécurité en matière de nettoyage des appareils retournés, nous concluons que l’affaire est fondée et conditionnellement résolue.

Contexte et plainte

7. Bureau en gros est une entreprise canadienne privée de vente au détail qui compte plus de 300 magasins partout au pays et qui vend des produits électroniques (notamment des ordinateurs portables) et des fournitures de bureau. L’entreprise gère le programme Boîte ouverte, qui permet aux clients de retourner des ordinateurs portables dans les 14 jours suivant l’achat, que son personnel qualifié remet alors à neuf et remet en vente.
8. La personne plaignante a été à l’emploi d’un magasin Bureau en gros à titre de spécialiste technico-commerciale. Elle a affirmé y avoir constaté des pratiques inadéquates qui ne permettaient pas de garantir la suppression des renseignements personnels des anciens clients ou utilisateurs stockés sur les ordinateurs portables retournés avant leur remise en vente. Par exemple, elle a affirmé que les ordinateurs portables n’étaient pas toujours nettoyés dans les délais prescrits après avoir été retournés et que, dans certains cas, ils étaient rangés dans un endroit accessible aux employés et le nom d’utilisateur et le mot de passe de l’ancien propriétaire étaient indiqués sur l’appareil. La personne plaignante a également expliqué qu’elle avait observé un cas où un ordinateur portable avait été revendu alors qu’il contenait encore certains renseignements personnels (renseignements relatifs au paiement) d’un ancien client ou utilisateur. De plus, elle a affirmé que Bureau en gros n’offrait pas de formations à ses employés sur la façon d’effacer des données stockées sur les ordinateurs portables retournés et que la plupart des employés participant à ces processus n’étaient pas formés adéquatement.
9. La personne plaignante a déclaré avoir fait part aux gestionnaires de Bureau en gros de ses préoccupations à l’égard des mesures de protection et que l’entreprise n’a pas modifié ses pratiques. Elle a ainsi décidé de déposer une plainte auprès du Commissariat.
10. Il convient de noter qu’en 2011, le Commissariat avait procédé à un examen des politiques, pratiques et processus de gestion des renseignements personnels de Bureau en gros à la suite d’enquêtes sur deux plaintes semblables où il avait été établi que les données n’avaient pas été supprimées des appareils de stockage de données. Lors de cet examen, le Commissariat s’était surtout penché sur la gestion des dispositifs de stockage de donnée retournés. À ce moment, nous avions conclu que les procédures de Bureau en gros étaient inefficaces et inadéquates. L’entreprise avait accepté les recommandations du Commissariat visant à améliorer ses pratiques et s’était engagée à « tester des moyens de nettoyer les données sur [les] produit[s] retourné[s]^{Note de bas de page 1} ».

Méthodologie

11. Nous avons analysé les observations et les renseignements fournis par Bureau en gros en réponse aux questions soulevées par le Commissariat.
12. En outre, des employés du Commissariat se sont rendus dans quatre magasins Bureau en gros situés en Ontario afin de recueillir et d’analyser un échantillon d’ordinateurs portables retournés. Lors de ces visites, nous avons inspecté les magasins pour comprendre où et comment ces appareils sont rangés. Nous avons également interrogé plusieurs employés des magasins (notamment des gestionnaires, le personnel responsable de nettoyer les appareils retournés et une personne à la caisse) pour mieux comprendre les pratiques et les procédures de réception, de rangement et de nettoyage des ordinateurs portables retournés.
13. Pour déterminer si les ordinateurs portables retournés contenaient des renseignements personnels des anciens utilisateurs, les analystes techniques du Commissariat ont inspecté les appareils, notamment pour vérifier si une réinitialisation de base avait été effectuée. Ils ont également créé une image des disques durs et analysé leur contenu au moyen de logiciels d’investigation.

Question : Les mesures de sécurité de Bureau en gros sont-elles adéquates pour protéger les renseignements personnels des anciens utilisateurs stockés sur les ordinateurs portables retournés?

14. Le principe 4.7.1 de l’annexe 1 de la LPRPDE exige que toutes les organisations mettent en place des mesures de sécurité pour protéger les renseignements personnels contre la consultation et la communication non autorisées. En outre, le principe 4.7.3 exige que les méthodes de protection comprennent des moyens matériels, des mesures administratives et des mesures techniques.
15. En règle générale, nous nous attendrions à ce que les détaillants qui remettent en vente des appareils retournés disposent de procédures techniques adéquates et consignées, de formations efficaces et de mécanismes de contrôle pour veiller à ce que tous les renseignements personnels des anciens propriétaires soient effacés des appareils avant leur remise en vente. Nous estimons que pour satisfaire aux exigences énoncées aux principes 4.7.1 et 4.7.3 et être jugées adéquates, ces procédures techniques doivent respecter les directives du fabricant de l’appareil en matière de réinitialisation et de nettoyage des données.
16. La politique de retour et de remboursement de Bureau en gros indique que l’entreprise « s’assure que toutes les données sur les articles technologiques sont effacées lors du retour ». En ce qui concerne les procédures techniques, Bureau en gros a fait valoir que ses employés suivaient les procédures de nettoyage des données et de réinitialisation recommandées par les fabricants. Bien que nous soyons d’avis que le respect des instructions des fabricants est une mesure adéquate, nous avons constaté que les employés de Bureau en gros ne suivaient pas toujours ces instructions au moment de nettoyer les appareils. Les détails de ce que nous avons observé se trouvent ci-dessous.
17. Bureau en gros a indiqué que les processus précis d’effacement des données ne sont pas décrits dans ses politiques internes. L’entreprise a fourni au Commissariat des copies de ses procédures, de son guide de formation et de ses normes décrivant la marche à suivre pour recevoir et nettoyer les appareils retournés avant de les remettre en vente. Voici un résumé des procédures visant les ordinateurs portables :
    1. Lorsqu’un client retourne un ordinateur portable, un employé désigné doit effectuer un nettoyage des données et une réinitialisation, même si le client indique avoir effacé toutes les données de l’ordinateur portable^{Note de bas de page 2}.
    2. Après le nettoyage, le spécialiste des services techniques doit examiner le reçu de validation du logiciel afin de confirmer que la réinitialisation est réussie^{Note de bas de page 3}, remplir un formulaire d’évaluation de la suppression des données (document indiquant les actions effectuées sur l’appareil) et traiter le retour dans le système interne de Bureau en gros.
    3. Dans les 24 heures suivant un retour, un gestionnaire doit vérifier que le processus de nettoyage des données et de réinitialisation a été achevé. L’ordinateur portable n’est remis en vente qu’une fois les documents requis remplis, et un autocollant est apposé sur la boîte de l’ordinateur portable pour indiquer qu’il s’agit d’un article du programme Boîte ouverte.
18. Après avoir examiné les documents internes de Bureau en gros, nous avons constaté qu’aucun d’entre eux n’exige explicitement que les employés examinent ou suivent les procédures de nettoyage des données et de réinitialisation d’un fabricant au moment d’effacer les renseignements personnels stockés sur un appareil. On demande simplement aux employés désignés d’effectuer le nettoyage des données et la réinitialisation.
19. Bureau en gros a indiqué qu’il n’intègre pas dans ses documents internes les procédures de nettoyage des données propres aux fabricants, car les procédures varient selon l’unité de gestion de stock^{Note de bas de page 4} et qu’il serait complexe et déraisonnable d’intégrer chacune des différentes procédures dans ses documents, d’autant plus que celles-ci pourraient changer au fil du temps.
20. Nous comprenons qu’il peut être difficile d’inclure des instructions propres à chaque appareil dans les documents d’orientation internes. Cependant, nous estimons que les instructions pour le nettoyage des données et la réinitialisation que Bureau en gros fournit à ses employés, sous leur forme actuelle, sont inadéquates, car elles ne précisent pas les mesures que les employés doivent prendre, notamment où trouver les instructions propres aux appareils et comment les appliquer.
21. Après avoir examiné les politiques, normes et procédures internes que Bureau en gros lui a présentées, le Commissariat a aussi déterminé qu’elles contiennent des instructions contradictoires^{Note de bas de page 5}, notamment les suivantes :
    1. Bureau en gros a affirmé que les employés désignés doivent suivre les procédures de nettoyage des données et de réinitialisation des fabricants; toutefois, son guide de formation sur les retours et la revente de produits précise plutôt que tous les ordinateurs doivent être nettoyés à l’aide d’une clé TechScan+. Nous notons que cette approche ne cadre pas avec les instructions pour le nettoyage des données et la réinitialisation de la plupart des fabricants.
    2. Bureau en gros a soutenu que les spécialistes des services techniques doivent effectuer le nettoyage des données et la réinitialisation de l’ordinateur portable retourné devant le client et que, si aucun associé ou technicien qualifié (spécialiste des services techniques) ou aucun gestionnaire n’est disponible pour effectuer ces tâches immédiatement, on demande au client de revenir plus tard pour retourner son ordinateur portable. Cependant, selon les procédures internes de l’entreprise, tout nettoyage de données doit être effectué dans un délai de 72 heures^{Note de bas de page 6}. Compte tenu de ces instructions incohérentes, il semble possible pour un client de retourner un appareil et de quitter un magasin sans que l’appareil ne soit nettoyé en sa présence.

Formation des employés :

22. Les entrevues menées auprès des employés de Bureau en gros qui participent au processus de nettoyage des données ont révélé que leurs pratiques ne cadrent pas avec les politiques de l’entreprise et que les mesures prises varient selon les magasins. Par exemple :
    1. Moins des deux tiers des employés interrogés ont indiqué que la procédure pour nettoyer les appareils retournés consiste à effectuer une réinitialisation d’usine.
    2. Certains employés ont déclaré accepter les retours sans nettoyer l’appareil devant le client si celui-ci ne veut pas attendre ou si aucun spécialiste des services techniques n’est disponible.
    3. Les employés ne semblaient pas tous savoir qui dans le magasin était responsable de recevoir les ordinateurs portables retournés et d’effacer les renseignements personnels stockés sur ceux-ci.
23. Cependant, nous n’avons trouvé aucun élément de preuve pour corroborer les allégations de la personne plaignante selon lesquelles les identifiants des clients figuraient sur une étiquette apposée sur les ordinateurs portables retournés et que ces derniers étaient rangés dans un endroit accessible aux employés. Nous avons plutôt découvert que des employés n’exigeaient pas les identifiants des clients pour nettoyer les appareils et que les ordinateurs portables retournés étaient rangés dans un espace sécurisé, accessible à un nombre limité de détenteurs de clés.
24. Bureau en gros a affirmé qu’avant le lancement du programme Boîte ouverte, des formations ont été offertes au personnel sur la gestion et le suivi des appareils du programme et sur les processus de réception et de vérification des appareils retournés. De plus, l’entreprise a indiqué que les gestionnaires sont tenus de former les associés responsables de gérer les ordinateurs portables dans le cadre du programme Boîte ouverte et que les gestionnaires des ventes de chaque division sont chargés de mettre en œuvre un processus de formation continue. Bureau en gros a également fourni au Commissariat une copie de son guide de formation destiné aux employés.
25. Nous avons constaté que les documents de formation présentés par Bureau en gros étaient de nature générale et ne fournissaient pas suffisamment de détails sur les mesures que le personnel responsable du nettoyage des appareils devait prendre. Par exemple, les documents de formation n’offrent pas de directives techniques sur le processus que les employés doivent suivre pour nettoyer un ordinateur portable ou confirmer que le nettoyage s’est bien déroulé.
26. Lors de nos entrevues menées auprès des employés des magasins, certains spécialistes des services techniques ont indiqué qu’ils n’avaient jamais reçu de formation sur le nettoyage d’un appareil et qu’ils avaient tout appris eux-mêmes. Le manque de formation mentionné par les spécialistes des services techniques interrogés est préoccupant, car ces derniers sont responsables de nettoyer les ordinateurs portables retournés. Nous avons aussi constaté que leur description de poste n’indique pas explicitement qu’ils doivent savoir comment effacer les données stockées sur les ordinateurs portables et réinitialiser ces derniers.
27. Comme il a été mentionné plus tôt, le Commissariat a réalisé une analyse technique d’un échantillon d’appareils retournés. Bien que l’analyse ait confirmé qu’une réinitialisation de base avait été effectuée sur tous ces appareils, nous avons constaté que le nettoyage n’avait pas été fait en suivant les directives des fabricants^{Note de bas de page 7} quant à la façon d’effectuer un nettoyage complet. En effet, environ 23 % des appareils analysés par le Commissariat contenaient des données résiduelles des anciens utilisateurs^{Note de bas de page 8}.
28. Voici quelques exemples de renseignements personnels des utilisateurs trouvés sur les appareils :
    1. Nom complet de certains individus;
    2. Adresse courriel de certains individus;
    3. Nom d’utilisateur de comptes Windows;
    4. Courriel partiel envoyé par un utilisateur;
    5. Image partielle du visage d’un individu;
    6. Certaines données supplémentaires, comme des titres de documents.
29. Un nettoyage inadéquat ou incomplet présente un risque, car les renseignements personnels de l’ancien client ou utilisateur deviennent accessibles, d’une part, aux employés du magasin et, d’autre part, à l’acheteur ultérieur de l’appareil. Cette situation pourrait entraîner de graves conséquences pour l’ancien client ou utilisateur, notamment des pertes financières ou la fraude.
30. En tenant compte des lacunes cernées dans les procédures et les formations de Bureau en gros et des éléments de preuve démontrant que l’entreprise n’a pas systématiquement procédé à des nettoyages complets des ordinateurs portables retournés selon les instructions des fabricants, le Commissariat a conclu que les procédures en place et les formations destinées aux employés sur la manière de nettoyer les appareils ne sont pas adéquates. Nous concluons donc que Bureau en gros a contrevenu aux principes 4.7.1 et 4.7.3 de l’annexe 1 de la LPRPDE.

Recommandations

31. Compte tenu des contraventions énoncées dans le présent rapport et pour faire en sorte que Bureau en gros respecte la LPRPDE, nous avons recommandé à l’entreprise de démontrer, dans les neuf mois suivant la transmission du rapport final, qu’elle prenne les mesures suivantes, ce que l’entreprise a accepté :
    1. Mettre au point et adopter des procédures et des normes claires précisant que les employés de Bureau en gros responsables de nettoyer les appareils doivent le faire conformément aux directives des fabricants en matière de réinitialisation et de nettoyage des données;
    2. Améliorer les formations destinées aux employés responsables de nettoyer les appareils retournés;
    3. Veiller à ce que tous les employés responsables de nettoyer les appareils aient suivi les formations à cet égard avant d’effectuer le travail;
    4. Désigner un tiers indépendant et prendre des dispositions pour qu’il effectue une vérification ponctuelle annuelle des appareils retournés dans les magasins Bureau en gros participant au programme Boîte ouverte, et ce, pour une période de trois ans. Les magasins doivent être sélectionnés par le tiers, répartis dans plusieurs provinces et doivent changer d’une année à l’autre. Dans le cadre des vérifications ponctuelles, le tiers devrait examiner un échantillon raisonnable d’appareils retournés dans chaque magasin sélectionné afin de confirmer qu’ils ont été nettoyés correctement.

Réponse de Bureau en gros aux recommandations

32. L’entreprise a indiqué qu’elle était en train de mettre à jour ses politiques et procédures et a confirmé qu’elle mettrait en œuvre les recommandations énoncées ci-dessus.

Conclusion

33. Compte tenu de ce qui précède, nous concluons que la présente affaire est fondée et conditionnellement résolue.
34. Nous profitons de l’occasion pour souligner que les organisations qui remettent en vente des appareils pouvant contenir des données personnelles sont tenues, au titre de la LPRPDE, de prendre systématiquement des mesures raisonnables, conformes aux instructions des fabricants, pour effacer tous les renseignements personnels des appareils avant de remettre ceux-ci en vente.