Commission d’accès à l’information du Québec Dossier : 102039 Date : Le 7 janvier 2014 Membre: M e Diane Poitras COMMISSION D'ACCÈS À L'INFORMATION LES IMMEUBLES S. YANEX Entreprise DÉCISION OBJET ENQUÊTE menée par la Commission d’accès à l’information (la Commission) de sa propre initiative en vertu de l’article 81 de la Loi sur la protection des renseignements personnels dans le secteur privé 1 . [1] À la suite d’une information reçue le 13 août 2010, indiquant que des dossiers étaient entreposés dans un immeuble vacant situé au 8425 du boulevard Saint-Laurent à Montréal, la Commission a ouvert une enquête concernant le respect des dispositions de la Loi sur le privé par l’entreprise Les Immeubles S. Yanex (l’entreprise) qui administre et exploite des immeubles résidentiels. [2] Cette enquête s’est déroulée du 12 avril au 21 décembre 2011 et portait plus particulièrement sur les mesures mises en place par l’entreprise pour protéger les renseignements personnels qu’elle détient. 1 L.R.Q., c. P-39.1, la Loi sur le privé.
102039 Page : 2 LES FAITS [3] Informée par la Commission qu’une enquête est en cours, l’entreprise l’avise qu’elle procédera, le 23 juin 2011, au transfert des documents vers ses nouveaux locaux, situés sur le Chemin Queen-Mary à Montréal. L’immeuble du boulevard Saint-Laurent a été vendu le 12 décembre 2010 après avoir été condamné par la Ville de Montréal vers le mois de décembre 2007. [4] Lors de ce transfert, l’enquêteuse de la Commission a procédé à une visite de l’ancien local, situé au 8425 du boulevard Saint-Laurent. La porte d’entrée était fermée à l’aide d’un cadenas, mais des vitres étaient fracassées. [5] Cette visite a permis de constater qu’environ 200 boîtes de documents contenant notamment des comptes fournisseurs, des comptes clients, des dossiers de location, des dossiers d’employés incluant des numéros d’assurance sociale (NAS), étaient empilées dans l’immeuble laissé vacant, sans système d’alarme. Ces documents n’étaient pas classés ni entreposés de manière sécuritaire. Divers documents faisant partie des archives de l’entreprise traînaient également sur le sol, dont certains contenaient des renseignements personnels (relevés d’emploi, constats d’infraction, etc.). [6] Selon un employé de l’entreprise, les documents retrouvés dans l’ancien local sont de vieux documents, datant d’une vingtaine d’années, concernant une entreprise ayant appartenu au dirigeant de l’entreprise en cause, mais fermée depuis plusieurs années. Des photos ont été prises lors de cette visite. [7] Le même jour, l’enquêteuse de la Commission a aussi effectué une visite des nouveaux locaux de l’entreprise. Les documents contenant majoritairement des renseignements personnels au sujet des locataires des immeubles étaient entreposés dans un local fermé à clé. Les documents actifs étaient rangés dans des classeurs non verrouillés et il n’y avait pas de système d’alarme. Lors du transfert des documents, plusieurs boîtes sont demeurées entassées dans le garage de l’immeuble, près des voitures garées, après le départ des déménageurs. Des photos ont également été prises lors de cette visite. [8] Le 24 octobre 2011, l’enquêteuse de la Commission est retournée dans les nouveaux locaux de l’entreprise et a constaté que les boîtes de documents provenant de l’ancien local étaient maintenant entreposées dans une pièce attenante au bureau du propriétaire, dont la porte est verrouillée. Toutefois, cette pièce est contiguë à un bureau de recherche d’emploi et est accessible à des tiers.
102039 Page : 3 [9] Ces boîtes de documents contenant des renseignements personnels étaient toujours entreposées pêle-mêle et peu de documents semblaient avoir été archivés ou détruits. Aucune procédure de destruction n’était planifiée par l’entreprise. [10] L’enquête a également démontré que l’entreprise n’a pas adopté de procédure relative à la collecte, la communication, les droits d’accès et de rectification, l’utilisation, la conservation et la destruction des renseignements personnels qu’elle détient. [11] Le rapport factuel d’enquête a été communiqué à l’entreprise le 14 décembre 2011 afin d’obtenir ses observations. L’entreprise n’a transmis aucun commentaire. OBSERVATIONS AU TERME DE L’ENQUÊTE [12] Le 21 octobre 2013, la Commission transmet à l’entreprise un avis d’intention l’informant qu’elle envisage de lui ordonner : - de prendre des mesures pour assurer la sécurité physique des renseignements personnels qu’elle détient, notamment de conserver les documents contenant des renseignements personnels dans un local verrouillé à accès restreint; - d’adopter une politique concernant la gestion et la protection des renseignements personnels qu’elle détient conforme aux obligations imposées par la Loi sur le privé et de former les membres de son personnel afin qu’ils appliquent cette politique de l’entreprise. - d’adopter des mesures de sécurité visant à assurer la destruction sécuritaire des renseignements personnels périmés. [13] Tel qu’indiqué dans cet avis, l’entreprise pouvait faire parvenir à la Commission ses observations écrites dans les trente jours de sa réception. L’avis d’intention a été retourné à la Commission le 31 octobre 2013 puis posté à nouveau, par courrier recommandé. Il a été reçu par l’entreprise le 7 novembre suivant. [14] À ce jour, l’entreprise n’a soumis aucune observation à la Commission.
102039 Page : 4 ANALYSE [15] La Loi sur le privé prévoit les règles relatives à la protection des renseignements personnels 2 qu’une entreprise 3 doit respecter dans le cadre de l’exercice de ses activités. [16] L’article 10 de la Loi sur le privé prévoit qu’une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels qu’elle détient : 10. Toute personne qui exploite une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. [17] L’enquête démontre que l’entreprise n’a pas pris des mesures raisonnables pour assurer la protection des renseignements personnels qu’elle détient. [18] Des boîtes de documents contenant des renseignements personnels sensibles (ex. relevés d’emplois incluant le NAS) ont été laissées pendant plusieurs années dans un local abandonné, dont les vitres étaient fracassées. [19] Bien que l’entreprise ait récupéré ces documents à la suite de l’intervention de la Commission, ils étaient toujours non classés et entreposés dans un local accessible à des tiers qui ne sont pas des employés de l’entreprise lors de la dernière visite de l’enquêteuse de la Commission. L’entreprise n’a pas indiqué à la Commission son intention d’adopter et de mettre en œuvre des mesures de sécurité propres à assurer la confidentialité de ces renseignements personnels ni de les détruire de manière sécuritaire. [20] L’enquête démontre également que l’entreprise n’a adopté aucune politique, directive ou procédure concernant la gestion sécuritaire des renseignements personnels qu’elle détient, afin d’en assurer la confidentialité et 2 L’art. 2 de la Loi sur le privé prévoit qu’un renseignement personnel est tout renseignement qui concerne une personne physique et permet de l'identifier. 3 Constitue l'exploitation d'une entreprise l'exercice, par une ou plusieurs personnes, d'une activité économique organisée, qu'elle soit ou non à caractère commercial, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de services (art. 1 de la Loi sur le privé et 1525 du C.c.Q.).
102039 Page : 5 de respecter les obligations imposées par la Loi sur le privé lors de leur collecte, leur utilisation, leur communication, leur conservation et leur destruction. CONCLUSION [21] À la lumière de l’enquête, la Commission conclut que l’entreprise a contrevenu à l’article 10 de la Loi sur le privé en ne prenant pas des mesures de sécurité propres à assurer la confidentialité des renseignements personnels qu’elle détient. POUR CES MOTIFS, LA COMMISSION : [22] ORDONNE à l’entreprise de prendre des mesures adéquates pour assurer la sécurité physique des renseignements personnels qu’elle détient, notamment de conserver les documents contenant des renseignements personnels dans un local verrouillé à accès restreint; [23] ORDONNE à l’entreprise d’adopter une politique concernant la gestion et la protection des renseignements personnels qu’elle détient conforme aux obligations imposées par la Loi sur le privé et de former les membres de son personnel afin qu’ils appliquent cette politique. [24] ORDONNE à l’entreprise d’adopter des mesures de sécurité propres à assurer la destruction sécuritaire des renseignements personnels périmés. Diane Poitras Juge administratif
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.