RECOMMANDÉ Montréal, le 22 juillet 2015 Monsieur … … … … Objet : Plainte à l’endroit de VCS Investigation Inc. N/Rèf. : 1004156 Monsieur, La présente donne suite à la plainte que Monsieur … (le plaignant) a adressée à la Commission d’accès à l’information (la Commission) le 20 février 2012, à l’encontre de VCS Investigation Inc. (l’entreprise). Objet de la plainte Le plaignant reproche à l’entreprise d’avoir collecté auprès d’un tiers des renseignements personnels le concernant, sans son consentement. Plus particulièrement, il allègue que l’entreprise a collecté, le 30 juin 2010, des renseignements financiers le concernant sans son consentement auprès de TransUnion (le tiers). Enquête La Commission a procédé à une enquête, conformément à l’article 81 de la Loi sur la protection des renseignements personnels dans le secteur privé 1 . L’enquête a été menée par la Direction de la surveillance de la Commission et a été complétée en mai 2013. Elle visait à recueillir et analyser les faits relativement aux allégations du plaignant afin de permettre à la Commission de déterminer si l’entreprise s’est conformée aux prescriptions de la Loi sur le privé en matière de collecte de renseignements personnels. 1 RLRQ, c. P-39.1, la Loi sur le privé. … 2
N/Réf. : 1004156 2 Le 14 août 2012, le Direction de la surveillance a écrit à l’entreprise pour obtenir sa version des faits, ainsi que des précisions quant aux renseignements collectés auprès du tiers, à la finalité de cette collecte et au mandat lui permettant de collecter de tels renseignements auprès du tiers. Le 14 septembre 2012, Madame …, vice-présidente opérations, répond pour l’entreprise. Elle ne nie pas les faits à l’origine de la plainte. Toutefois, elle précise qu’elle n’est pas en mesure de retracer le dossier du plaignant ni le document attestant du consentement de ce dernier. En effet, elle soutient qu’en vue du déménagement des bureaux de l’entreprise, le 25 mai 2012, celle-ci a fait détruire l’ensemble des documents et des fichiers contenant des renseignements personnels antérieurs à janvier 2011, à l’exception des dossiers d’enquêtes criminelles. Elle soutient également que dans le cadre de ses activités, soit la vérification en matière de préembauche, de location de logement ou de demande de crédit, l’entreprise a conclu une entente de service avec le tiers lui permettant de demander copie de fiches de crédit. Elle affirme en outre que les employés mandatés et autorisés à demander de telles fiches auprès du tiers au moment des faits à l’origine de la plainte ne sont plus à l’emploi de l’entreprise. Le 21 novembre 2012, la Direction de la surveillance de la Commission a demandé un complément d’information relativement à l’entente signée entre l’entreprise et le tiers, plus particulièrement en ce qui concerne la conservation des documents attestant du consentement des personnes concernées. Le 28 novembre 2012, la vice-présidente opérations a confirmé que l’entreprise a « une entente avec [le tiers] selon laquelle [l’entreprise doit] garder trois années en archives pour toute documentation relative aux demandes de vérifications ». Elle revient sur le fait qu’en vue du déménagement de ses bureaux, le président de l’entreprise, M. …, « a demandé à garder et déménager tous documents datant de 2011 et 2012, sauf pour ce qui traite à la comptabilité ». Elle indique alors que « par souci de confidentialité, le département des enquêtes a toujours traité lui-même la documentation en suivant les exigences de nos fournisseurs de services. Par contre, la gestion du déménagement n’a pas relevé de l’équipe des enquêtes, mais bien du président lui-même qui n’était pas au fait de nos ententes avec [le tiers] ». … 3
N/Réf. : 1004156 3 Avis de la Commission Le 1 er mai 2015, la Commission a transmis un avis d’intention à l’entreprise. Cet avis précisait que la Loi sur le privé prévoit qu’une personne qui exploite une entreprise ne doit recueillir que les renseignements personnels nécessaires à l’objet du dossier qu’elle constitue sur autrui et qu’elle doit le faire par des moyens licites. Il précisait également que ces renseignements doivent être recueillis auprès de la personne concernée, à moins que celle-ci ne consente à la cueillette auprès de tiers. Il précisait aussi que le consentement donné par la personne concernée doit être manifeste, libre, éclairé. Il doit être donné à des fins spécifiques et ne valoir que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. 5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier. Ces renseignements doivent être recueillis par des moyens licites. 6. La personne qui recueille des renseignements sur autrui doit les recueillir auprès de la personne concernée, à moins que celle-ci ne consente à la cueillette auprès de tiers. […] 14. Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui n’est pas donné conformément au premier alinéa est sans effet. Cet avis mentionnait également que la Loi sur le privé prévoit que si le tiers auprès duquel l’entreprise recueille les renseignements est aussi une entreprise, la source des renseignements doit être inscrite au dossier de la personne concernée. Il mentionnait enfin, qu’en vertu de cette même Loi, une entreprise doit adopter des mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle détient, et ce, tout au long de leur cycle de vie. … 4
N/Réf. : 1004156 4 7. La personne qui constitue un dossier sur autrui ou y consigne des renseignements personnels doit, lorsqu’elle recueille de tels renseignements auprès d’un tiers et que ce tiers est une personne qui exploite une entreprise, inscrire la source de ces renseignements. Cette inscription fait partie du dossier de la personne concernée. […] 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruit et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Constatant que l’entreprise avait détruit, en vue de son déménagement, les documents attestant du consentement des personnes concernées, et ce, avant la fin de la période de conservation de trois ans lui incombant en vertu de l’entente de service conclue avec le tiers, la Commission a indiqué, dans son avis d’intention, que même si l’entreprise ne détient plus de dossier au nom du plaignant, elle pourrait lui ordonner : - d’adopter une politique concernant la gestion et la protection des renseignements personnels qu’elle détient conforme aux obligations imposées par la Loi sur le privé et de former ses employés et ses cadres afin qu’ils appliquent cette politique au sein de l’entreprise. Modification des pratiques de l’organisme Le 11 mai 2015, l’entreprise a informé la Commission qu’elle s’est dotée d’un code d’éthique et de procédures opérationnelles qui traitent, entre autres, du traitement des informations confidentielles; qu’elle effectue régulièrement des vérifications et audits internes auprès de chacun de ses départements afin d’assurer le respect des procédures implantées; et qu’elle a resserré sa procédure quant au choix des années relatives à la destruction des données, afin d’assurer le respect des années relatives à la conservation en lien avec l’entente de service conclue avec le tiers. … 5
N/Réf. : 1004156 5 Le 10 juin 2015, à la demande de la Commission, l’entreprise a transmis un extrait de son Livre des procédures et politiques, ainsi qu’un addenda à celui-ci adopté, le 1 er novembre 2012, à la suite de la plainte du plaignant et qui a été distribué à l’ensemble des employés. Cet addenda modifie la section relative à « l’entreposage des informations confidentielles » du Livre des procédures et politiques de l’entreprise. La Commission a pris connaissance de ces documents, lesquels précisent les fins pour lesquelles un dossier peut être constitué, l’importance d’avoir le consentement de la personne concernée avant de constituer un dossier sur elle ainsi que les modes de conservation et de destruction des dossiers. La Commission se déclare satisfaite des mesures mises en place par l’entreprise. En conséquence, la Commission ferme le présent dossier. Cynthia Chassigneux Juge administratif CC/ss c.c. M. …
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.