Commission d’accès à l’information du Québec Dossier : 101888 Date : Le 16 septembre 2013 Membre: M e Lina Desbiens … Plaignante c. SKYVENTURE MONTRÉAL Entreprise DÉCISION OBJET PLAINTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé 1 . [1] Le 13 septembre 2010, la Commission d’accès à l’information (la Commission) est saisie de la plainte de Mme … (la plaignante) à l’endroit de SkyVenture (l’entreprise). [2] La plaignante reproche à l’entreprise d’avoir recueilli des renseignements personnels qui n’étaient pas nécessaires à l’objet du dossier, soit l’inscription à une activité sportive, en l’occurrence, la simulation d’un saut en parachute. De plus, la plaignante soumet que le formulaire ne donnait aucune information quant aux mesures de sécurité prises par l’entreprise pour protéger les renseignements personnels ainsi recueillis. 1 L.R.Q., c. P-39.1, la Loi sur le privé.
101888 Page : 2 [3] La Commission a procédé à une enquête conformément à l’article 81 de la Loi sur le privé. [4] Il ressort de l’enquête complétée en 2012 les faits suivants. [5] L’entreprise opère un simulateur de plongée aérienne et de chute libre intérieur dans un tunnel. Cette activité est accessible au public en général. Pour participer à l’activité, l’entreprise exige des participants qu’ils complètent le formulaire « Déclaration d’acceptation des risques et engagements du participant ». [6] Le formulaire, à l’origine de la plainte, vise à colliger des renseignements servant à identifier la personne et à connaître sa condition physique relativement à l’activité offerte par l’entreprise. De plus, cette dernière collecte un numéro contenu sur une pièce d’identité valide au motif qu’il s’agit de la seule façon d’établir hors de tout doute l’identité de la personne qui s’inscrit à l’activité. [7] Au cours de l’enquête, l’entreprise propose de modifier son formulaire de manière à collecter de façon partielle les numéros ou lettres d’une pièce d’identité. Elle propose également une modification à la section « Communication et conservation des renseignements personnels » visant à clarifier sa procédure en matière d’utilisation, de communication et de conservation des renseignements personnels inscrits au formulaire. [8] Considérant que cette collecte de renseignements personnels ne semble pas conforme à la Loi sur le privé, le 4 juillet 2013, la Commission avise l’entreprise de son intention de lui ordonner de modifier sa pratique en matière de collecte d’identifiants exigés pour participer à une activité sportive. [9] Le 3 septembre 2013, l’entreprise transmet ses observations à la suite de la réception de l’avis d’intention et du rapport factuel d’enquête. OBSERVATIONS DE L’ENTREPRISE [10] L’entreprise reconnaît qu’en septembre 2010, lorsque la plaignante s’est présentée à son établissement, sa pratique était de recueillir le numéro d’une pièce d’identité avec photo émise par une entité gouvernementale, au choix du client. Cependant, depuis la plainte, elle a modifié son formulaire qu’elle soumet à nouveau à la Commission.
101888 Page : 3 [11] Dans ce nouveau formulaire, elle ne collecte qu’une partie du numéro d’identification qui est contenu sur le document d’identification choisi par ses clients et explique ses pratiques en matière de gestion de renseignements personnels. [12] L’entreprise justifie la nécessité de recueillir ces renseignements par le fait que l’exercice de l’activité offerte comporte des risques inhérents. Elle n’accepte de recevoir comme client que des personnes majeures ou des personnes mineures ayant obtenu le consentement d’un parent, gardien ou tuteur. La condition physique de la personne est également considérée pour s’assurer qu’elle peut participer à l’activité de façon sécuritaire. De plus, les coordonnées complètes de la personne sont nécessaires en cas d’urgence si un incident se produit ou pour la localiser afin de lui remettre tout bien oublié dans ses locaux. [13] La présentation d’une pièce d’identité lui permet de vérifier que la personne est majeure et qu’elle a fourni les bonnes coordonnées. Ainsi, le document est utilisé pour permettre d’identifier et de valider les nom, prénom et date de naissance du client. [14] La conservation d’une partie du numéro du document exhibé permet de faire la preuve par la suite de cette vérification et protège également l’entreprise contre la fraude. [15] En effet, pour les transactions faites par carte de crédit, en cas de refus de paiement de la compagnie émettrice, les renseignements servent à prouver que la personne qui a payé pour l’activité est celle qui a profité du service, afin que l’entreprise puisse exiger le paiement. Plus d’une dizaine de cas de fraudes auraient été identifiés dans les trois dernières années. [16] Selon l’entreprise, le meilleur moyen d’atteindre cet objectif est de conserver une partie du numéro du document exhibé pour les fins d’identification. Ainsi, dans le cas d’une réclamation contre un client ayant annulé un paiement, elle peut démontrer, par comparaison avec la carte d’identité, que les numéros correspondent. [17] L’entreprise soutient s’être conformée au Code de la sécurité routière 2 et à la Loi sur l’assurance maladie 3 , puisqu’elle n’exige pas un document d’identification en particulier, cela est laissé au choix du client. 2 L.R.Q. c. C-24.2. 3 L.R.Q. c. A-29.
101888 Page : 4 [18] Le formulaire utilisé est semblable à celui d’autres entreprises offrant des activités comportant un risque inhérent de blessures. L’entreprise considère respecter la pratique ayant cours dans l’industrie. [19] Finalement, l’entreprise déplore les délais de traitement de la plainte par la Commission. Selon elle, le dossier aurait dû être clos lorsqu’elle a transmis son nouveau formulaire à l’analyste-enquêteur au dossier. ANALYSE [20] Dans le nouveau formulaire proposé par l’entreprise, la Commission constate que cette dernière explique de manière adéquate ses pratiques en matière de gestion de renseignements personnels et qu’elle ne recueille maintenant qu’une partie de l’identifiant contenu sur le document d’identification choisi par ses clients. [21] Il convient donc de déterminer si cette pratique de l’entreprise en matière de collecte de renseignements personnels respecte la Loi sur le privé. [22] La Loi sur le privé s’applique à l’égard des renseignements personnels sur autrui qu’une entreprise de biens ou de services recueille, détient, utilise ou communique à des tiers. L’article 2 de cette loi définit la notion de renseignement personnel comme suit : 2. Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier. [23] L’identifiant inscrit sur une pièce d’identité est un renseignement personnel qui permet d’identifier une personne physique. [24] L’article 5 de la Loi sur le privé édicte que : 5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier. Ces renseignements doivent être recueillis par des moyens licites.
101888 Page : 5 [25] Ces articles sont des dispositions impératives et une entreprise ne peut y déroger, même avec le consentement de la personne concernée 4 . [26] Ainsi, la Commission doit déterminer si les renseignements personnels collectés en l’espèce sont nécessaires à l’inscription à l’activité en cause. Le fardeau de démontrer la nécessité de collecter les renseignements personnels repose sur l’entreprise qui exige les renseignements 5 . [27] La Commission est d’avis qu’il est justifié pour une entreprise qui offre la participation à une activité sportive qui comporte des risques de recueillir les coordonnées de ses clients, leur date de naissance afin de s’assurer qu’ils sont des personnes majeures ou des personnes mineures qui ont obtenu le consentement d’un parent, gardien ou tuteur, le nom et le numéro de téléphone d’une personne à contacter en cas d’urgence, ainsi que des renseignements sur leur condition physique afin de s’assurer que la personne peut participer à cette activité de façon sécuritaire. [28] En l’espèce, l’entreprise demande la présentation d’une pièce d’identité afin de valider le nom, le prénom et la date de naissance de ses clients. De plus, elle collecte une partie de l’identifiant de la pièce d’identité exhibée afin de faire la preuve de cette vérification et pour se protéger contre la fraude. Ainsi, dans le cas où une compagnie émettrice d’une carte de crédit refuserait de payer pour des transactions, l’entreprise pourrait prouver qu’il s’agit bien de la personne qui a obtenu le service. [29] Selon la Commission, le droit de l’entreprise d’exiger la confirmation de l’identité de la personne au moyen de la présentation d’une pièce d’identité ne va pas jusqu’à lui permettre de collecter et conserver le numéro de la pièce d’identité présentée à cette fin, et ce, même en partie. [30] De plus, la collecte et la conservation du numéro inscrit sur une pièce d’identité ou d’une partie de ce numéro ne sont pas nécessaires pour prévenir la fraude. [31] En effet, l’entreprise peut noter dans le dossier quelle pièce d’identité a été présentée à des fins d’identification, mais elle n’est pas justifiée de recueillir le numéro de l’identifiant car cela n’est pas nécessaire à l’objet du dossier au sens 4 Laval (Ville de) c. X., [2003] C.A.I. 667 (C.Q.). 5 X. c. Le Groupe Jean Coutu (P.J.C.) Inc., [1995] C.A.I. 128; Tremblay c. Caisse Populaire Desjardins de St-Thomas, [2000] C.A.I. 154; Therrien c. Montréal (Ville de), [2001] C.A.I. 208 ; Julien c. Domaine Laudance, [2003] C.A.I. 77; A. c. C., [2003] C.A.I. 534.
101888 Page : 6 de l’article 5 de la Loi sur le privé. La signature de l’employé attestant avoir vu la pièce d’identité du participant ainsi que la signature du formulaire par ce dernier sont des mesures permettant de prouver que l’identité du participant a bien été vérifiée. [32] Par ailleurs, bien que le choix de la pièce d’identité présentée à des fins d’identification soit laissé au client, cela ne justifie pas la collecte de ces identifiants. [33] Finalement, l’entreprise allègue que le fait de limiter la collecte aux quatre derniers caractères de la pièce d’identité fournie est une solution acceptable puisque cette pratique ne permet pas de connaître le numéro identifiant en entier. Elle s’appuie sur la décision du Commissariat à la protection de la vie privée du Canada dans l’affaire TJX Compagnies inc./Winners Merchant International L.P. 6 [34] Toutefois, la solution proposée en l’espèce n’équivaut pas à une fonction de hachage cryptographique des identifiants comme dans cette affaire. En effet, cette procédure est décrite de la manière suivante dans la décision : Une fonction de hachage est un algorithme qui transforme une suite de chiffres – dans ce cas-ci, le numéro d’identification du client – en un nouveau code différent d’une longueur fixe ou en une clé représentant la valeur initiale. [35] De plus, avant de se prononcer sur les mesures de sécurité visant la conservation d’un renseignement personnel collecté ou d’une partie de ce renseignement, la Commission doit conclure que le renseignement est nécessaire à l’entreprise et qu’il peut ainsi être légalement recueilli. [36] En l’espèce, l’entreprise n’a pas démontré la nécessité de recueillir un numéro d’identification contenu sur une pièce d’identité comme le permis de conduire ou la carte d’assurance maladie. Il existe d’autres moyens permettant à l’entreprise de démontrer qu’elle a fait une vérification diligente de l’identité de la personne. [37] Enfin, dans ses commentaires quant au traitement de la plainte, l’entreprise déplore les délais de la présente enquête et le fait que le dossier n’ait pas été fermé après qu’elle ait soumis son nouveau formulaire à l’analyste-enquêteur chargé du dossier. 6 Cette décision peut être consultée en ligne : www.priv.gc.ca/cf-dc/2007/tjx_rep_070925_f.asp. Déjà citée note 4.
101888 Page : 7 [38] La soussignée constate que le délai écoulé depuis le dépôt de la plainte est important. Toutefois, l’entreprise n’a soulevé aucun préjudice réel causé par ce délai. Un avis d’intention a été transmis et l’entreprise a eu l’occasion de faire valoir ses observations conformément à l’article 83 de la Loi sur le privé qui prévoit que : 83. Au terme d'une enquête relative à la collecte, à la détention, à la communication ou à l'utilisation de renseignements personnels par une personne qui exploite une entreprise, la Commission peut, après lui avoir fourni l'occasion de présenter ses observations, lui recommander ou lui ordonner l'application de toute mesure corrective propre à assurer la protection des renseignements personnels. Elle peut fixer des délais pour l'exécution des mesures qu'elle ordonne. [39] Par ailleurs, seul un membre de la Commission peut exercer les fonctions et pouvoirs prévus à la section de surveillance de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels 7 . La section de surveillance de la Commission est chargée de statuer sur les plaintes en matière de collecte de renseignements personnels. [40] En effet, les articles 122 et 122.1 de la Loi sur l’accès prévoient : 122. Les fonctions et pouvoirs de la Commission prévus à la présente section sont exercés par le président et les membres affectés à la section de surveillance. 122.1. La Commission a pour fonction de surveiller l'application de la présente loi et de la Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1). La Commission est aussi chargée d'assurer le respect et la promotion de l'accès aux documents et de la protection des renseignements personnels. [41] En conclusion, la plainte est fondée en ce que la collecte, par l’entreprise, du numéro d’identifiant de ses clients apparaissant sur leurs cartes d’identité ou d’une partie de ce numéro n’est pas conforme à la Loi sur le privé. 7 L.R.Q. c. A-2.1, la Loi sur l’accès.
101888 Page : 8 POUR CES MOTIFS, LA COMMISSION : [42] DÉCLARE la plainte fondée en partie; [43] ORDONNE à l’entreprise de cesser de recueillir, même partiellement, le numéro de la pièce d’identité exhibée à des fins d’identification. [44] CONSTATE, pour le reste, que le formulaire de l’entreprise a été modifié afin qu’il soit conforme à la Loi sur le privé. LINA DESBIENS Juge administratif FASKEN MATINEAU DUMOULIN (M e Antoine Aylwin) Avocat de l’entreprise
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.