Annonce

Le 4 août 2020

Le Commissariat à la protection de la vie privée publie les résultats d’une enquête sur une plainte concernant la sous-traitance, par une banque, du traitement des réclamations pour fraude

Le Commissariat à la protection de la vie privée du Canada a publié les conclusions de son enquête sur une plainte concernant la décision d’une banque de sous-traiter à un tiers fournisseur de services établi en Inde le traitement des réclamations pour fraude.

L’enquête a révélé que TD Canada Trust avait fourni aux clients l’information appropriée en ce qui a trait au transfert des renseignements personnels. De plus, la banque a pris des mesures pour assurer un niveau de protection des renseignements personnels transférés qui est comparable à celui exigé en vertu de la Loi. Par exemple, elle a conclu un contrat exigeant des mesures de sécurité exhaustives et effectué régulièrement des vérifications pour assurer la conformité à ces exigences.

À terme, les enquêteurs ont conclu que TD Canada Trust avait respecté les exigences lui incombant en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé.

Les enquêteurs se sont aussi penchés sur des questions touchant les transferts aux fins de traitement, sujet sur lequel le Commissariat a récemment mené une consultation auprès de divers intervenants.

Comme le Commissariat l’a déjà souligné, les dispositions de la LPRPDE régissant la circulation des données à l’échelle mondiale comportent des lacunes.

Ces transferts peuvent procurer des avantages considérables aux clients et aux organisations, mais ils comportent aussi des risques d’atteinte à la vie privée qui nécessitent des mesures de protection législatives vigoureuses. Le Commissariat estime que les mesures en place à l’heure actuelle sont nettement insuffisantes et il formulera des recommandations pour les renforcer dans une future loi.

L’enquête sur TD Canada Trust a aussi mis en évidence plusieurs pratiques exemplaires dont pourraient s’inspirer d’autres organisations qui transfèrent des renseignements personnels à des tiers aux fins de traitement. En effet, la banque a adopté diverses mesures pour réduire le risque d’atteinte à la sécurité des renseignements personnels de ses clients, dont les suivantes :

• Avant de passer le contrat, elle a mené des évaluations pour cerner et atténuer les risques d’atteinte à la vie privée associés à la collaboration avec le fournisseur de services. Les conclusions de ces évaluations ont été intégrées au contrat.
• Elle exige que le fournisseur de services surveille l’environnement de travail afin d’empêcher la copie ou la communication de renseignements concernant les clients ou les employés de TD Canada Trust.
• Elle limite l’accès du fournisseur de services aux renseignements personnels de manière stricte, de même que l’utilisation de ces renseignements par celui-ci, grâce à des dispositions prévues au contrat et à de solides mesures de protection.
• Elle surveille de manière proactive les mesures de protection et les pratiques du fournisseur de services pour assurer la conformité aux obligations contractuelles, notamment en veillant à ce que ces mesures et pratiques fassent régulièrement l’objet de vérifications par un tiers indépendant. De plus, elle exige que tout problème soulevé soit soumis à un contrôle par le vérificateur afin qu’il soit réglé.

Pour en savoir plus sur cette enquête, vous pouvez consulter le Rapport de conclusions.