Une erreur technique d’une organisation entraîne la communication de renseignements personnels d’un client à un autre client

Résumé des conclusions de plainte réglée rapidement no 2016-02

Le 10 août 2016

Lessons Learned:

  • Les organisations doivent veiller à ce que leur personnel de première ligne reçoive la formation nécessaire sur leurs politiques et procédures relatives à la protection de la vie privée afin de savoir quand acheminer les préoccupations d’un client en matière de protection des renseignements personnels au responsable de la protection de la vie privée.
  • Les organisations qui offrent des services en ligne intégrés avec d’autres établissements devraient conclure des accords contractuels comportant des dispositions pour réduire les incidents ou la communication accidentelle de renseignements personnels des clients.

Résumé de la plainte

Une personne qui utilisait une interface logicielle de services en ligne pour suivre les renseignements personnels la concernant détenus par d’autres organisations a remarqué que les renseignements personnels d’une autre personne s’affichaient dans son compte. Elle a contacté le service à la clientèle de l’entreprise de services en ligne afin qu’il corrige le problème.

Pendant des mois, la personne a tenté en vain de travailler avec le service à la clientèle de l’entreprise et les spécialistes de la TI afin qu’ils remédient à la situation.

Après plusieurs mois de tentatives infructueuses pour faire connaître ses préoccupations au responsable de la protection de la vie privéede l’entreprise en ligne, la personne concernée a déposé une plainte auprès du Commissariat, alléguant que l’entreprise ne réglait pas le problème.

Résultat

Le Commissariat a communiqué avec le responsable de la protection de la vie privée au sujet du problème, et l’entreprise a immédiatement mené une enquête. Par la suite, on a découvert que le problème était attribuable à une erreur technique liée à l’interface logicielle d’une autre organisation, qui était utilisée par la personne concernée. Les nombreuses discussions avec l’entreprise en ligne et l’autre organisation ont permis de corriger l’erreur technique au bénéfice de tous les utilisateurs, ainsi que le problème spécifique de la personne concernée.

À la suite de l’intervention du Commissariat, l’entreprise en ligne a : 1) modifié ses politiques et ses procédures internes relatives au traitement des préoccupations concernant la protection des renseignements personnels soulevées par les clients à son Centre de service à la clientèle en intégrant un processus d’acheminement à son chef de la protection de la vie privée; 2) collaboré avec l’autre organisation pour corriger l’erreur technique à l’origine de l’affichage accidentel de renseignements personnels concernant une mauvaise personne; 3) conclu avec l’autre organisation un accord contractuel pluriannuel qui couvre tout problème technique susceptible de survenir dans la prestation des services, qui comprend des dispositions améliorées sur le consentement de l’utilisateur et qui accroît les avantages mutuels découlant de la conformité à la LPRPDE.

La personne concernée a indiqué que le problème qu’elle a eu avec son compte a été réglé à sa satisfaction, et la plainte a été considérée comme étant réglée rapidement.

Date de modification :