Documents acheminés par télécopieur aux mauvaises personnes

Résumé d'incident no 3

Au printemps 2005, le Commissariat à la protection de la vie privée du Canada a mené deux enquêtes sur des incidents concernant des télécopies envoyées par erreur aux mauvaises personnes dans le secteur bancaire. Les incidents en question, qui ont fait l’objet d’un article dans le The Gazette de Montréal en décembre 2004 et en avril 2005, concernaient deux banques.

Dans chacun des cas, les personnes qui ont reçu les télécopies ont communiqué avec les banques à de nombreuses reprises, mais sans grand succès. Faisant écho aux commentaires formulés lors d’une enquête sur un incident antérieur concernant les télécopies d’une autre banque qui étaient envoyées par erreur aux mauvaises personnes, la commissaire s’est dite préoccupée de l’efficacité des politiques et des pratiques de ces banques sur la protection de la vie privée. Il était évident que les employés de ces banques n’avaient pas perçu les répercussions qu’avaient, sur la protection de la vie privée, ces télécopies envoyées par erreur aux mauvaises personnes, qu’ils n’ont pas agi en conséquence, et que les responsables des banques en matière de protection de la vie privée n’ont été mis au courant des problèmes qu’une fois les incidents rendus publics.

Les cas ci-dessous sont d’autres exemples qui soulignent la nécessité de veiller à ce que tous les membres d’une organisation connaissent les enjeux touchant la protection de la vie privée et puissent corriger les erreurs lorsqu’elles se produisent. Ils font également ressortir la responsabilité qu’a le public de retourner tout renseignement personnel reçu par erreur à l’expéditeur, et de ne pas détruire ces renseignements. On trouvera ci-dessous le résumé de ce qui s’est produit concernant chaque banque et les recommandations du Commissariat.

Résumé d'incident - Banque no 1

L’incident en question concernait des télécopies qui provenaient de succursales de la banque qui ont été envoyées par erreur à une résidente de Montréal.

Celle-ci estimait avoir reçu plus de 100 télécopies depuis 1998, soit depuis qu’elle s’est dotée d’un télécopieur chez elle. Bien qu’elle en ait déchiqueté beaucoup, elle a gardé environ 50 documents. Le Commissariat a reçu copie de 43 d’entre eux, envoyés entre 1998 et 2003, que la banque a récupérés de la destinataire et dans lesquels les clients intéressés pouvaient être identifiés. Tous les documents concernaient des prêts hypothécaires, et la plupart des télécopies ont été envoyées sans page couverture.

La destinataire transmettait les télécopies au bon numéro ou les renvoyait à l’expéditeur. Elle a communiqué avec le siège social de la banque à deux reprises, soit en 1998 et en 2002. L’un des employés avec qui elle s’est entretenue lui a demandé d’envoyer les télécopies à la banque et indiqué qu’il verrait à faire parvenir une note à toutes les succursales pour les informer de la question. Après cet appel, le nombre de télécopies a diminué, mais la destinataire a quand même continué d’en recevoir un certain nombre.

En outre, elle a souvent contacté les succursales d’où provenaient les télécopies, mais aucun suivi n’a été effectué jusqu’à ce que l’article paraisse dans le journal. Un responsable de la banque est venu chez elle pour reprendre les télécopies qu’elle avait en sa possession. La banque a également mené une enquête pour déterminer la cause du problème et la provenance des télécopies. L’enquête a révélé que les télécopies provenaient de différentes succursales de la banque et qu’elles étaient destinées au service des prêts hypothécaires, dont le numéro de télécopieur ressemblait à celui de la destinataire. Les personnes qu’elle a contactées en 1998 et en 2002 croyaient qu’il s’agissait d’un incident isolé, à savoir une erreur de frappe de la part de l’expéditeur, et n’ont pas saisi la haute direction du problème.

La banque a déclaré qu’après les incidents concernant d’autres télécopies envoyées par erreur aux mauvaises personnes et impliquant une autre banque, elle a fait envoyer une note de rappel et prévenu tous les employés concernant la transmission d’information confidentielle par télécopieur en décembre 2004. Après la parution de l’article, la banque a pris les mesures additionnelles suivantes pour s’assurer que la situation ne se reproduise pas.

  • Elle a changé le numéro de télécopieur du service des prêts hypothécaires.
  • Elle a demandé aux succursales de programmer à l’avance les numéros afin de réduire au minimum les erreurs de frappe.
  • Elle a fait parvenir une lettre d’excuses à la destinataire.
  • Elle a contacté cette dernière pour l’informer des mesures qu’elle avait prises.

La banque a élaboré deux autres mesures pour empêcher que des télécopies soient envoyées par erreur aux mauvaises personnes et pour faire en sorte de corriger les problèmes s’ils devaient s’en reproduire. L’une concerne la politique de la banque sur la protection des renseignements personnels, qui inclut des normes régissant l’utilisation des télécopieurs. Elle précise les étapes précises qu’un employé doit suivre lorsqu’il envoie des télécopies et qu’il faut signaler des problèmes. La seconde mesure touche le processus de plainte lorsqu’il y a allégations que la banque a contrevenu à un principe inhérent à la politique sur la protection de la vie privée.

La banque a communiqué avec les clients concernés. Elle s’est excusée auprès d’eux et les a informés qu’elle avait repris les documents en possession de la destinataire et obtenu la confirmation de cette dernière qu’elle n’avait jamais utilisé ni communiqué les documents à qui que ce soit.

Résumé d'incident - Banque no2

Un homme de la région de Montréal a déclaré avoir reçu plusieurs télécopies d'une banque entre 1997 et 2001. Même s’il a détruit certaines des télécopies qu’il a reçues, il en a gardé environ 15. La majorité des télécopies n’étaient pas accompagnées d’une page couverture et comportaient plusieurs pages. Elles consistaient surtout en imprimés informatiques de diverses demandes de crédit et contenaient le nom, l’adresse et le numéro d’assurance sociale d’environ 24 clients.

Le destinataire a tenté de communiquer avec certains employés de la succursale qui avaient envoyé les télécopies, laissant parfois des messages pour les informer qu’il avait reçu une télécopie par erreur et leur demander de communiquer avec lui. Jamais personne ne l’a rappelé. Une fois que la question est sortie dans les médias, le directeur d’une succursale bancaire est venu chez lui pour reprendre les télécopies.

La banque a confirmé que le numéro de télécopieur de cet homme et celui du centre de prêts de la banque différait d’un chiffre. Après avoir été informée de la question, la banque a appelé 19 des 24 clients dont les renseignements personnels avaient été communiqués (les cinq personnes qui n’ont pas été appelées n’étaient plus des clients et la banque n'avait pas leurs coordonnées pour les informer). Les clients ont été informés de l’erreur et des mesures prises par la banque. Celle-ci a également adopté les mesures suivantes pour éviter que le problème se reproduise :

  • Elle a fait parvenir une circulaire à ses succursales exigeant de ces dernières qu’elles tiennent une réunion générale de leur personnel pour s’assurer que tout le monde comprenait clairement les lignes directrices sur l’envoi de télécopies.
  • Elle a donné des lignes directrices précises sur des questions comme la programmation des télécopieurs et l’utilisation de pages couverture.
  • Une équipe d’examen qui visite régulièrement les succursales a incorporé un examen des lignes directrices sur les télécopies à sa liste de contrôle pour l’examen des normes.

Conclusion

La Loi sur la protection des renseignements personnels et les documents électroniques oblige les organisations à protéger les renseignements personnels qu’elles conservent afin d’empêcher qu’ils soient communiqués de façon inappropriée. Dans chacun de ces cas, il est clair qu’on n’a pas pris les mesures nécessaires pour s’assurer que les documents en question étaient bien protégés et ainsi donc, l’information a été transmise à la mauvaise personne.

La Loi oblige également les organisations à mettre en œuvre des politiques et des procédures pour s’assurer de la mise en place des principes relatifs à l’équité dans le traitement des renseignements. Comme le CPVP l'a indiqué publiquement lors d’un autre incident concernant l’envoi de télécopies, il ne s’agit pas seulement de publier une politique sur la protection de la vie privée dans une brochure ou de l’afficher sur un site Web. Toute l’organisation doit être informée de la politique et doit veiller à ce que les employés la respectent, pour ensuite porter les problèmes à l’attention des personnes responsables et prendre les mesures qui s’imposent. Il est évident que cela ne s’est pas produit dans aucun de ces incidents tant que la question n’a pas été rendue publique.

Recommandations présentées aux deux banques

Même si le Commissariat est heureux de constater que les banques ont pris les mesures nécessaires pour régler le problème de la protection des renseignements personnels et s’assurer en général du respect des principes concernant les pratiques équitables de traitement des renseignements, la commissaire adjointe a également recommandé ce qui suit :

  • chaque banque doit mettre en œuvre les mesures prévues pour améliorer la communication interne des manquements à la protection de la vie privée;
  • les banques doivent s’engager à aviser tous les clients concernés lorsqu’il y a atteinte à la protection de la vie privée;
  • les banques doivent examiner leurs processus visant à confirmer que l’information envoyée par télécopieur est bien transmise à la bonne personne;
  • les banques doivent mettre en œuvre des mesures pour s’assurer que tout renseignement concernant un client qui a été transmis par erreur soit récupéré.

Les deux banques ont mis en œuvre les recommandations dans leur intégralité. La banque no 1 a revu sa politique et ses procédures sur la protection de la vie privée pour y incorporer les recommandations. Un bon nombre des changements que la banque no 2 a apportés sont inclus dans sa nouvelle politique sur la protection de la vie privée. Lorsque des renseignements personnels sont transmis, chaque banque avise les clients s’il y a lieu. Les deux banques ont apporté de nombreuses modifications au processus de transmission des télécopies. Elles ont également établi une série de mesures visant à recouvrer les télécopies envoyées par erreur et expliqué pourquoi, dans certains cas, il peut être difficile de les récupérer. De nouvelles directives sur l’utilisation de pages couverture ont été remises à chaque employé de la banque.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :