Communication non autorisée d'un numéro d'assurance sociale (NAS)

Nous avons fait enquête sur une plainte d'une personne selon laquelle Développement des ressources humaines Canada (DRHC) a communiqué de manière inappropriée son NAS à un détective privé.

Le plaignant avait intenté une action en justice contre une compagnie d'assurance qu'il croyait avoir mal traité sa demande d'indemnité. Durant les procédures judiciaires, il a appris que la compagnie d'assurance avait engagé un détective privé pour examiner sa situation financière. Il a obtenu copie du rapport du détective et pris note de références à ses demandes de renseignements adressées à DRHC, de même que l'information qu'il avait reçue par la suite. Mécontent en raison d'un manque de volonté manifeste de DRHC de tenir compte de ses préoccupations concernant cette atteinte à sa vie privée, il s'est finalement adressé au Commissariat pour obtenir de l'aide.

Au cours de l'enquête sur la plainte contre DRHC, nous avons établi qu'un employé de DRHC avait consulté le dossier du plaignant dans le Registre d'assurance sociale au même moment où le détective privé avait soumis ses demandes de renseignements. Bien que le plaignant ait fait part de ses préoccupations à DRHC, le Ministère n'a pas poursuivi davantage la question jusqu'à ce que le plaignant signale son intention d'assigner des employés de DRHC à témoigner au tribunal dans le cadre de sa poursuite intentée contre la compagnie d'assurance. À ce moment, il a demandé copie du dossier d'enquête de DRHC concernant la communication de son NAS et de tout renseignement lié aux mesures prises par DRHC à cet égard. Ce ne fut qu'à ce stade - presque dix mois après que le plaigant avait fait part pour la première fois de ses préoccupations - que DRHC a décidé de faire une enquête interne afin de déterminer si son NAS pourrait avoir été compromis et comment il l'aurait été.

Il est apparu clairement, à partir des éléments de preuve obtenus durant notre enquête, que l'employé de DRHC avait obtenu l'accès au NAS de cette personne sans justification et l'avait communiqué au détective privé. Les preuves ont aussi indiqué la possibilité que l'employé avait d'avoir aussi accès à une quarantaine d'autres dossiers de clients dans le Registre d'assurance sociale, pour lesquels il n'y avait aucun dossier connexe de DRHC qui aurait exigé que l'employé consulte leurs fichiers de NAS.

L'ancien commissaire était préoccupé du manque de conviction de DRHC relativement au traitement de la plainte de la personne à propos de la communication de son NAS lorsque le Ministère en avait été tout d'abord informé. Il n'a pris aucune mesure autre que de lui émettre un nouveau NAS, en dépit du fait que plusieurs fonctionnaires étaient au courant de l'incident longtemps avant qu'il n'ait porté plainte auprès du Commissariat. L'ancien commissaire était tout aussi préoccupé du fait que, malgré les capacités apparemment adéquates des systèmes, les gestionnaires de DRHC ne surveillent pas régulièrement le Registre d'assurance sociale pour relever les activités qui sont de nature suspecte ou qui ne peuvent autrement être justifiées comme faisant partie des fonctions d'un employé et pour traiter de cela.

L'ancien commissaire a conclu que DRHC était responsable de la communication inappropriée, par son employé, du NAS de la personne au détective privé et que le Ministère avait, par conséquent, enfreint les dispositions en matière de confidentialité de la Loi sur la protection des renseignements personnels.

En réponse à cette conclusion, DRHC a entrepris de limiter les dégâts autant que possible. Le sous-ministre a envoyé une lettre d'excuses au plaignant et a mis en place des mesures qui amélioreront substantiellement la sécurité des renseignements personnels dans la base de données du Registre d'assurance sociale, et qui permettront de mieux surveiller l'accès des employés au Registre. Nous sommes confiants que ces mesures amélioreront la capacité de DRHC de protéger les renseignements personnels dont il est responsable et d'empêcher toute autre atteinte à la vie privée des clients.

DRHC a aussi décidé de soumettre la question à la Gendarmerie royale du Canada en vue d'une enquête criminelle - l'employé a finalement été congédié par DRHC pour l'infraction à la sécurité.

Date de modification :