Alain Fleury et Monique Tremblay c. Caisse populaire Saint
Transcription
Alain Fleury et Monique Tremblay c. Caisse populaire Saint
DOSSIERS Nos PV 98 01 15 PV 98 01 16 PV 98 01 17 ALAIN FLEURY -etMONIQUE TREMBLAY Plaignants c. CAISSE POPULAIRE SAINT-JEAN BERCHMANS -etCAISSE EUSTACHE POPULAIRE SAINT- -etCAISSE POPULAIRE BLAINVILLE Intimées __________________________________________________________________ DÉCISION __________________________________________________________________ LA PLAINTE Les plaignants reprochent aux intimées d'avoir communiqué à des tiers, sans leur consentement, des renseignements personnels et confidentiels les concernant. LA POSITION DES PLAIGNANTS Le 20 janvier 1998, le procureur des plaignants dépose une plainte parce que les intimées ont contrevenu à la Loi sur la protection des renseignements personnels dans le secteur privé1 (la loi). Il explique que les plaignants ont acquis de M. Daniel Rivard « l'entreprise Finition Daniel Rivard (1991) inc. » et que cette PV 98 01 15 PV 98 01 16 PV 98 01 17 dernière a fait faillite en juin 1997. Il mentionne que M. Daniel Rivard détenait une balance du prix de vente et était l’un des créanciers de la faillite. À l'assemblée des créanciers de la faillite, il prétend que M. Rivard « avait en sa possession des documents qui décrivaient exhaustivement les avoirs personnels de nos clients incluant le nom des établissements, les numéros de compte dans les Caisses Populaires ci-haut mentionnées, le solde de chacun des comptes, les dates de renouvellement et les dates d'échéance des placements à terme ainsi que les dates d'ouvertures de chacun des comptes. » Il allègue que les intimées ont communiqué à M. Rivard lesdits renseignements personnels sans l'autorisation de ses clients. LES PRÉTENTIONS DES PARTIES À L'ENQUÊTE Les procureurs des parties reconnaissent que les documents à l'appui de la plainte renferment une série de renseignements personnels au sujet des plaignants, transmis par M. Daniel Rivard au syndic responsable de la faillite de l'entreprise Finition Daniel Rivard (1991) inc. Le procureur des plaignants avance que la confection par M. Rivard dudit document n'a pu se matérialiser sans qu'il n'ait recueilli les renseignements auprès des intimées. Mme Monique Tremblay, plaignante, dépose un document de deux pages obtenu par le syndic (pièce P-1 en liasse) qui recense l'ensemble des biens détenus par elle et son époux, M. Alain Fleury, chez les intimées au mois de juin 1997. Elle dit que les informations de la pièce P-1 reflètent ce qu'ils possédaient entre les 31 mai et 6 juin 1997, date apparaissant à la dernière échéance d'un placement détenu à la Caisse populaire Blainville. Elle spécifie connaître le fonctionnement administratif des intimées pour y avoir travaillé pendant 30 ans, soit jusqu'à sa retraite prise en 1993. Elle soutient que les renseignements inscrits 1 L.R.Q., c. P-39.1. PV 98 01 15 PV 98 01 16 PV 98 01 17 à la pièce P-1 n'ont pu être obtenus que par un accès au document familièrement appelé par les intimées « profil financier ». Elle indique que ce dernier document est accessible à partir du terminal informatique de la caisse populaire concernée. Elle ajoute que le profil financier identifie les comptes associés avec ceux de son époux, ayant signé mutuellement une autorisation à cet effet. Elle affirme n'avoir jamais consenti à quiconque l'accès auxdits renseignements. Elle confirme avoir appris par le syndic que M. Daniel Rivard lui a communiqué la pièce P-1, et ce, après la première assemblée des créanciers de la faillite, soit vers le 7 juillet 1997. De cette information, elle souligne avoir alors fait des démarches auprès des intimées, mais qu'elle est demeurée insatisfaite des résultats de l’inspection et de l’enquête instituées par la Confédération des caisses populaires Desjardins (la Confédération) auprès desdites caisses, d'où la plainte à la Commission d'accès à l'information du Québec (la Commission). Elle atteste que les intimées lui transmettaient, à ses bureaux de l'entreprise Finition Daniel Rivard (1991) inc., par télécopie et à sa demande, son profil financier, sauf en ce qui concerne la Caisse populaire Saint-Eustache, s’agissant d'un compte sans placement. Mme Tremblay relate avoir acheté en 1995 l'ensemble des actions détenues par M. Daniel Rivard pour l'entreprise du même nom. Elle mentionne que M. Rivard, professeur dans la région de Drummondville, n'avait plus dès lors accès à l'entreprise ni à son télécopieur. Interrogée par le procureur des intimées, Mme Tremblay indique que le profil financier est aussi désigné « Info 250 » dans le jargon des caisses populaires. Elle reconnaît la teneur de son « Info 250 » et de celle de son époux, datées les deux du 6 octobre 1997, soumises par le procureur (pièces E-1 et E-2), comme identiques à celles qu'elle recevait par télécopie des intimées. Elle affirme avoir demandé, vers la fin du mois d'avril 1997, une « Info 250 », d'une part, parce qu'elle suivait assidûment la fluctuation des taux d'intérêt et, d'autre part, parce PV 98 01 15 PV 98 01 16 PV 98 01 17 qu'elle devait faire plusieurs renouvellements de ses placements. Elle répète que l'accès à son télécopieur lui est réservé et que celui-ci ne fait pas de copie. Elle avance que la confection de la pièce P-1 peut très bien avoir été faite à partir des informations apparaissant aux pièces E-1 et E-2. Mme Tremblay informe le procureur des intimées que l'entreprise faillie avait, à l'époque, trois employés, parfois quatre ou cinq, et que ceux-ci n'étaient pas dans le bureau lors de la réception de l’« Info 250 ». Après avoir pris connaissance de la communication au syndic de la pièce P-1, elle s’est plainte à Mme Laframboise, de la Caisse populaire Blainville, et a exigé d'être renseignée sur toutes les personnes ayant requis des informations à son sujet et celui de son époux. Elle fait remarquer que Mme Laframboise lui a alors transmis un relevé la concernant ainsi que son époux provenant du Bureau de crédit Équifax. Elle précise que ce dernier relevé a été demandé par la Banque Canadienne Impériale de Commerce (CIBC) de la région de Québec à la requête du frère de M. Daniel Rivard (pièces P-3 et P-4). Elle signale que Mme Laframboise l'a informée que la CIBC n'a pas donné ledit relevé au frère de M. Rivard et certifie que cette étude du bureau de crédit a été faite sans son autorisation. Elle confirme que les intimées, à la suite de l’enquête interne, lui ont fait parvenir chacune une lettre affirmant qu'elles n'avaient communiqué aucun renseignement à son sujet à des tiers, l'enquête de la Confédération ayant conclu que M. Daniel Rivard a reçu anonymement les renseignements à son sujet. Interrogée de nouveau par son procureur, Mme Tremblay fait valoir que les employés d'une caisse populaire ont tous accès au système informatique pour produire l’« Info 250 » et qu'il n'existe aucune journalisation permettant de retrouver la personne ayant demandé ce type d'information. Elle rétorque au procureur des intimées que tous les employés d’une caisse populaire sont soumis PV 98 01 15 PV 98 01 16 PV 98 01 17 au Code de déontologie et doivent prêter un serment de confidentialité au sujet des renseignements auxquels ils ont accès. M. Alain Fleury, plaignant, témoigne et corrobore les éléments essentiels du témoignage livré par Mme Tremblay. M. Laurent Langevin, syndic de faillite, explique avoir tenu, le 7 juillet 1997, à Saint-Hyacinthe, la première assemblée des créanciers de l'entreprise Finition Daniel Rivard (1991) inc., pour et au nom de son fils qui en était la personne responsable. Il affirme qu’il ne connaissait pas à ce moment les plaignants ni M. Rivard. Il souligne avoir rédigé une note (pièce I-5) et que celle-ci mentionnait le dépôt au syndic par M. Daniel Rivard de la pièce P-1. Il se souvient que M. Rivard lui aurait mentionné que les plaignants ne devraient pas connaître la provenance de la pièce P-1. Mme Isabelle Brunette, conseillère en finances, relate s'occuper des dossiers d'épargne et de placements à la Caisse populaire Blainville et avoir comme clients attitrés les plaignants. Elle connaît l'objet de la plainte et atteste avoir préparé et sorti, à la demande de Mme Tremblay, les « Info 250 » (pièces E-1 et E-2). Elle explique que Mme Tremblay détenait des placements rachetables lui permettant de les modifier lors d'une fluctuation des taux d'intérêt. Elle reconnaît avoir expédié à Mme Tremblay plusieurs « Info 250 », entre les mois d’avril et mai 1999, en raison de la fluctuation des taux d'intérêt sévissant à l’époque. Elle affirme qu’elle ne peut avoir accès qu’aux « Info 250 » de la caisse populaire où elle travaille, celles des autres caisses populaires lui étant techniquement inaccessibles. À la suite de la plainte des plaignants, par mesure de sécurité et suivant une entente intervenue avec Mme Tremblay, Mme Brunette signale avoir fermé tous PV 98 01 15 PV 98 01 16 PV 98 01 17 les comptes des plaignants avec les anciens numéros pour leur en attribuer de nouveaux. Elle précise que les clients, de façon générale, ne connaissent généralement pas l'existence de cette « Info 250 » et n’en demandent pas copie, sauf Mme Tremblay parce qu’elle a déjà travaillé dans une caisse populaire. Elle mentionne que l’« Info 250 » est habituellement visualisée à l’écran de l’ordinateur pour lui permettre d'évaluer, par exemple, l'état de la situation d'un demandeur de prêt, mais est rarement imprimée. Lors d'une impression d'une « Info 250 », la copie est immédiatement déchiquetée après son utilisation. Elle mentionne également que l'enquête interne n'a pu démontrer que la communication des informations contenues à la pièce P-1 provenait des intimées. Mme Brunette répond à la Commission qu'elle produit rarement une « Info 250 » et qu'il n’existe pas de mécanisme lui permettant de connaître la personne ayant pu le consulter. Elle confirme avoir communiqué plusieurs « Info 250 » à la requête de Mme Tremblay et que celle-ci lui mentionnait être à côté du télécopieur lors de la réception. Elle mentionne être soumise aux directives de confidentialité des intimées et avoir fait les mises en garde d'usage à la plaignante lors de la transmission de renseignements. M. Daniel Rivard, professeur à l'École du meuble de Victoriaville, indique avoir déjà eu une compagnie de finition de meubles de cuisine et rencontré les plaignants au début de l’année 1980. En 1991, il s'associe avec les plaignants et leur vend l'entreprise Finition Daniel Rivard (1991) inc. en 1995, pour se consacrer à temps plein à l’enseignement (à Victoriaville), tout en conservant une balance du prix de vente de son entreprise. Au mois de juin 1997, un notaire communique avec lui pour vérifier si les plaignants lui devaient bien 15 000 $ et s'il acceptait de transférer sa créance à un nouvel acquéreur. Surpris, il informe le notaire que la balance du prix de vente de l'entreprise Finition Daniel Rivard (1991) inc. n'était pas de 15 000 $, mais de 45 000 $, et qu'il refuse le transfert de la dette. PV 98 01 15 PV 98 01 16 PV 98 01 17 Préoccupé de la tournure des événements, M. Rivard se rend à SaintEustache, à la fin du mois de mai ou au début du mois de juin 1997, pour vérifier sur place ce qu'il advient de son ancienne entreprise et il rencontre les employés; ceux-ci lui donnent certaines informations. Il requiert alors la collaboration des employés qu'il dit très bien connaître depuis plusieurs années. Il demande aux employés de rester vigilants et de noter tout ce qui leur paraît pertinent sur le fonctionnement de l'entreprise ou sur les plaignants. Il affirme avoir reçu chez lui, de façon anonyme, de huit à dix feuilles, dans une grande enveloppe brune, au début du mois de juin 1997 (entre le 12 et le 20 juin). Il a alors démêlé le tout et retranscrit les informations ainsi obtenues sous la forme actuelle de la pièce P-1. Il affirme également n’avoir conservé aucun des documents reçus dans l’enveloppe brune. Il admet avoir confectionné la pièce P-1 et l'avoir transmise au syndic. Il soutient que les papiers reçus peuvent ressembler aux pièces E-1 et E-2, sans pouvoir le certifier. M. Rivard allègue que les plaignants ont refusé de lui revendre l'entreprise et que celle-ci a déclaré faillite le 20 juin 1997. Dans le cadre de cette faillite, il confirme avoir sollicité l’aide de son frère pour obtenir une étude de crédit sur les plaignants. Le 23 juillet 1997, il a produit à la CIBC une demande officielle d'étude de crédit. M. Rivard expose avoir rencontré le syndic le 7 juillet 1997 avec son épouse et qu'à son arrivée, M. Langevin a cru qu'il s'agissait des plaignants. M. Langevin l’a alors entretenu de l'état de la situation de la faillite et des choses à dire lors de l'assemblée des créanciers. De cette dernière situation, il a exigé du syndic d’annuler cette première réunion des créanciers. Il mentionne avoir produit plus tard au syndic, le 29 octobre 1997, une déclaration assermentée sur ses créances. PV 98 01 15 PV 98 01 16 PV 98 01 17 Interrogé par la Commission, M. Rivard est catégorique : les employés de son ancienne entreprise ne lui ont pas révélé la teneur des informations apparaissant à la pièce P-1. Il réitère ne pas connaître la personne qui lui a fait parvenir chez lui, dans une enveloppe brune, les informations lui permettant de compléter la pièce P-1. Malgré l'insistance de la Commission, M. Rivard assure ne pas connaître la personne qui lui a fait suivre l'enveloppe brune. Il ajoute n'avoir conservé aucun des documents contenus dans celle-ci. M. Rivard répond au procureur des intimées qu'il transige avec la Banque Royale et qu'il a commencé ses recherches (« son fouillage ») pour obtenir le plus d'informations possible sur les plaignants dès l'appel téléphonique du notaire. Ainsi, il note qu’il a pu recueillir au sujet des plaignants leur numéro de plaque d'automobiles, de téléphone confidentiel, d'assurance sociale, les renseignements concernant la vente de la maison, la location du logement, etc. Il affirme ne pas être familier avec les pièces E-1 et E-2 et ne peut certifier si des documents similaires se trouvaient dans l’enveloppe brune. Il atteste ne pas avoir discuté avec les plaignants, avant la faillite, de la teneur de la pièce P-1, sinon, d'avoir exigé, lors de discussions, les états financiers de l'entreprise. Il certifie que la CIBC ne lui a jamais communiqué l'étude de crédit qu'il avait demandée à son frère. Il indique avoir beaucoup d'amis à Saint-Eustache, mais qu’il n'a demandé à aucun employé travaillant à l'une des trois caisses populaires de lui communiquer des informations au sujet des plaignants. Il réitère ne pas avoir conservé les documents reçus anonymement parce qu'il a évalué que ce n'était pas pertinent de le faire. M. Rivard dit à la Commission qu'il a demandé à l'un de ses frères s'il pouvait l'aider en faisant un « fouillage informatique » concernant les plaignants. Les parties conviennent que le témoignage d'une représentante de la Caisse populaire Saint-Jean Berchmans confirmerait que ladite caisse transmettait PV 98 01 15 PV 98 01 16 PV 98 01 17 également à Mme Tremblay des « Info 250 » et que la Caisse populaire SaintEustache n'a pas transmis cette forme de document. Mme Ginette Cusson, conseillère financière à la Caisse populaire, atteste connaître Mme Tremblay comme l’une de ses clientes spécifiques et lui avoir souvent transmis, à sa demande, des « Info 250 ». Elle avance qu'il est inhabituel pour un client d’exiger une « Info 250 » et de la transmettre par télécopieur, sauf pour Mme Tremblay. Elle souligne bien connaître Mme Tremblay ainsi que le timbre de sa voix au téléphone. Cette connaissance lui permettait, dit-elle, d’expédier à Mme Tremblay le document qu’elle demandait, sans toutefois en vérifier la réception par cette dernière. Elle reconnaît le Code de déontologie et la politique de confidentialité des intimées ainsi que le document qu'elle a signé à cet effet (pièce E-6). Elle atteste qu'une caisse populaire ne peut connaître les placements ou les actifs détenus par une personne dans une autre caisse populaire. M. Ghyslain Rivard, frère de M. Daniel Rivard et président de l'entreprise « Les conseillers en informatique d'affaires inc. » (CIA), indique avoir transmis à un ami, responsable de la CIBC de la Ville de Charlesbourg, la demande de renseignements que voulait obtenir son frère au sujet des plaignants. Le responsable de la CIBC l'a avisé ultérieurement avoir obtenu l'information désirée, mais qu'il ne pouvait la lui remettre sans une autorisation de son frère. Il a fait parvenir ladite autorisation au responsable de la CIBC (pièce E-4), mais ce dernier lui a mentionné qu'il ne pouvait lui remettre les renseignements, car l'autorisation de M. Daniel Rivard n'était pas suffisante à la communication des renseignements au sujet des plaignants. M. Ghyslain Rivard relate avoir rencontré un enquêteur de la Fédération des caisses Desjardins du Québec (la Fédération) (anciennement la Confédération), au mois d'octobre 1997, au sujet de la présente plainte. Il signale PV 98 01 15 PV 98 01 16 PV 98 01 17 que son entreprise, CIA, est consultante pour le réseau informatique des intimées. Il dépose, sous pli confidentiel, le contrat le liant avec le Mouvement Desjardins (pièce E-7), où est inscrite, à l'article 9 et à l'annexe « C », une clause de confidentialité à l'intention de l'entreprise et de ses employés. Il mentionne que son entreprise est en affaires avec le Mouvement Desjardins à la hauteur d'un montant de 25 à 30 millions de dollars et qu'il n'allait pas, pour 40 000 $, mettre en péril l'avenir et les activités de celle-ci en obtenant les renseignements exigés de son frère. Il rapporte ne plus avoir accès au système du Mouvement Desjardins depuis 1993. Il reconnaît que ses employés ont accès au système central du Mouvement Desjardins, dont aux « Info 250 ». Il rapporte que son frère et lui sont issus d'une famille de 12 enfants et qu'ils ne se rencontrent que durant la période des Fêtes. M. Jean-Noël Bélisle, responsable de l'entrepôt de données et des personnes, fait part que la Fédération est responsable du réseau informatique des caisses populaires, selon le contrat type convenu entre celle-ci et les caisses, déposé sous pli confidentiel (pièce E-8 en liasse). Il explique que la Fédération gère pour les caisses notamment la base de données des transactions effectuées par les membres (dépôts, retraits, etc.) et les documents financiers comme l'« Info 250 ». L'accès au système de la Fédération est contrôlé par un numéro d'identification et un mot de passe. La journalisation des « Info 250 » est conservée localement par la caisse les ayant produites, et ce, pendant une période de 30 jours. Il ajoute que seulement sept ou huit personnes peuvent accéder à la base de données de la Fédération et que celle-ci est dotée d'un « login » confidentiel partagé entre les employés. Il précise que, depuis 1998, le fichier des membres du Mouvement Desjardins n'est accessible qu'à trois membres ayant préalablement signé un engagement à la confidentialité. Il signale que la Fédération n'a pas un système informatique permettant d'avoir la journalisation des accès, mais que cette lacune devrait être corrigée avec la mise à jour du système PV 98 01 15 PV 98 01 16 PV 98 01 17 au mois de mars 2002. Aujourd'hui, note-t-il, les caisses populaires ont accès au système opérationnel, avec journalisation. M. Bélisle reconnaît le formulaire intitulé « Engagement à la confidentialité » que doivent signer les employés des intimées (pièce E-9) et remet, sous pli confidentiel, le document interne du Mouvement Desjardins traitant du contrôle d'accès au système et à la centrale de données, incluant les actions prises par le Bureau de surveillance et sécurité financière du Mouvement Desjardins (pièce E-10 en liasse). Interrogé par le procureur des plaignants, M. Bélisle réitère que la journalisation des accès au système pour l'« Info 250 » est conservée au système opérationnel pendant une période de 30 jours par la caisse locale. Pour accéder au système, insiste-t-il, il faut un numéro d'accès, tant pour l'employé que pour les sous-traitants, et tous doivent signer un engagement à la confidentialité. Comment explique-t-il alors la sortie d'un « Info 250 »? Il admet être difficile de répondre à cette question en l'absence de journalisation. Il souligne que la Fédération traite environ 800 millions de transactions et qu'il « a hâte que soit mis en place le journal des accès au système. » M. Roch St-Jacques, commissaire aux plaintes, maintenant désigné comme Ombudsman, mentionne avoir mené l'enquête interne pour le Mouvement Desjardins avec l’aide d’un spécialiste en informatique. Il indique relever du secrétaire de la Fédération et avoir été nommé coordonnateur en 1994 et, depuis 1995, responsable du respect du Code de déontologie, dont il a été le maître d’œuvre. Il explique que l’exercice de sa fonction requiert une certaine forme d’indépendance, avec pouvoir de recommandations, et une possibilité d’apporter en priorité des modifications au processus administratif. Il précise que le PV 98 01 15 PV 98 01 16 PV 98 01 17 Mouvement Desjardins emploie 35 000 personnes, d'où l'importance que revêt le Code de déontologie au chapitre du respect de la confidentialité, tel que le rapporte le chapitre III dudit Code, notamment pour les fournisseurs (art. 3.05) (pièce E-11 en liasse). Il illustre l’étanchéité des informations détenues entre les caisses par le fait que certains clients reprochent de ne pouvoir accéder aux renseignements les concernant par intercaisse. Il atteste avoir rencontré les trois dirigeants des caisses concernées ainsi que M. Rivard. L’objet de l’enquête, dit-il, était de connaître la provenance des renseignements détenus par M. Rivard. Il affirme que ni lui, ni l'enquêteur des caisses, ni l'expert en informatique ne peuvent certifier la provenance des renseignements détenus par M. Rivard. Il évoque alors trois hypothèses : 1) En toute probabilité, il aurait fallu qu’une personne pour chaque caisse ait donné les renseignements. Il prétend que cette hypothèse peut difficilement être retenue; 2) Il prétend également, pour les mêmes motifs, que l'accès à la Centrale de données est improbable; et 3) Les renseignements reçus par les plaignants de la part des intimées n'ont pas été traités confidentiellement. M. Fleury est interrogé par la Commission. Il atteste n’avoir jamais requis des intimées une « Info 250 », ni s'être occupé des placements, ni avoir laissé au bureau de l'entreprise les documents relatifs aux placements, les rapportant avec lui tous les soirs. Il affirme que c’est sa conjointe, Mme Trembay, qui détenait les renseignements personnels et les conservait dans sa chemise et que 90 % du temps, il dînait à l’atelier de l’entreprise. Il spécifie que les clients avaient accès au PV 98 01 15 PV 98 01 16 PV 98 01 17 bureau de l’entreprise et que les documents étaient conservés dans un classeur sous clé. Mme Tremblay précise qu’elle détenait les certificats de placement déposés chez les intimées et qu’elle demandait une « Info 250 » pour lui permettre de mettre à jour les informations et de vérifier si elle devait replacer l’argent. Elle mentionne qu’elle conservait les « Info 250 » reçues des intimées jusqu’à ce qu’elle reçoive, par la poste, confirmation écrite de la part des intimées du placement effectué. Elle soutient qu’elle apportait avec elle tous les documents. Elle mentionne qu’elle avait le compte de la Caisse populaire Saint-Eustache avec elle, mais ne « traînait » pas l’état de compte ou de renseignements sur ce compte. Elle dit que les employés avaient accès au bureau de l’entreprise pour la facturation et les commandes seulement et que les filières pour la paperasse de l’entreprise étaient fermées à clé. Elle signale avoir souvent déposé dans son automobile son sac à main avec ses documents personnels lorsqu'elle devait quitter le bureau, et ce, en raison de l'achalandage. Mme Tremblay signale avoir travaillé comme caissière remplaçante à la Caisse populaire Boisbriand en 1997 et 1998 et utilisé un code pour obtenir l'« Info 250 » d'un client. Le code étant, souligne-t-elle, universel, donné à tous les employés et modifié une fois par mois. La Commission interroge de nouveau M. Daniel Rivard qui relate que l’enveloppe brune reçue anonymement contenait des notes manuscrites et dactylographiées ainsi que la photocopie de documents, mais qu’il n’y avait pas de documents avec un en-tête identifiant qu'il s'agit d'un certificat de dépôt. Il réitère que, dès la réception de cette enveloppe, il a mis de l’ordre dans les dizaines de documents en reproduisant les adresses, les numéros de folio de comptes et les PV 98 01 15 PV 98 01 16 PV 98 01 17 montants d’argent. Il signale que les renseignements par folio étaient sur des feuilles différentes. La Commission frappe d'une interdiction de publication, de diffusion et de communication les pièces E-7, E-8 et E-10. LES ARGUMENTS DES PLAIGNANTS Le procureur des plaignants fait valoir que la preuve est claire et qu'il y a eu communication, par l'« Info 250 », de renseignements confidentiels concernant les plaignants. Il soumet que Mme Tremblay n'a pas été négligente et que les renseignements ont pu être diffusés soit par la Fédération ou par d’autres personnes ayant eu accès au système informatique des intimées. Il prétend que le témoignage du frère de M. Rivard est « boiteux », particulièrement en ce qui concerne les essais effectués pour entrer dans le système informatique des banques. Le procureur invoque l’article 10 de la loi pour soutenir que les intimées doivent impérativement avoir des mesures de sécurité adéquates pour assurer la protection des renseignements personnels qu’elles détiennent : 10. Toute personne qui exploite une entreprise et recueille, détient, utilise ou communique des renseignements personnels sur autrui doit prendre et appliquer des mesures de sécurité propres à assurer le caractère confidentiel des renseignements. Le procureur avance que le contrat du frère de M. Rivard avec la Fédération prévoit un droit d’accès à son système informatique par ses employés ou un sous-traitant et que l’on ne sait pas si cet accès est également accordé à d’autres entreprises. Il retient le témoignage de M. Bélisle soulignant que le PV 98 01 15 PV 98 01 16 PV 98 01 17 système informatique n’est pas parfait et qu'il n'y a pas de journalisation des accès. Il fait valoir qu'un seul mot de passe pour toute une série de personnes est inadéquat et que le Mouvement Desjardins a une part de responsabilité à assumer, même s'il compte 35 000 employés. Il reconnaît que les caisses ont pris tous les moyens pour corriger la situation survenue en 1997-1998, mais que la plainte doit être retenue. Le procureur reconnaît également que chaque caisse est indépendante et qu'elles ne peuvent se communiquer informatiquement des renseignements sur leurs clients. Il note l'admission concernant la demande d’enquête de crédit faite par la CIBC à la requête du frère de M. Rivard. LES ARGUMENTS DES INTIMÉES Le procureur des intimées note que Mme Tremblay n’a pas travaillé dans les caisses populaires de 1993 à 1998 et que la Caisse populaire Boisbriand n’est pas visée par la présente plainte. Quelle est la source à l'origine des renseignements personnels sur les plaignants inscrits à la pièce P-1? Les intimées et la Fédération ont-elles pris les mesures adéquates pour assurer la sécurité des renseignements personnels? Le procureur rappelle que la plaignante ainsi que deux autres caissières ont reconnu que l’information relative aux membres ne peut transiter entre les caisses populaires. L’accès à distance entre les trois caisses populaires pour les « Info 250 » est alors improbable. Il rappelle également que les témoins ont révélé qu’à leur connaissance, les renseignements n’ont pas « coulé » et qu'il y a incertitude sur un vol de documents. PV 98 01 15 PV 98 01 16 PV 98 01 17 Le procureur rapporte que M. Daniel Rivard avait un montant d’argent à recouvrer des plaignants et était en négociation pour racheter l’entreprise. Au début du mois de juin 1997, M. Rivard a visité l’entreprise, la qualifiant comme étant « son bébé ». M. Rivard a rencontré les employés, en l’absence des plaignants, pour obtenir des informations. Ultérieurement, M. Rivard reçoit, de façon anonyme, une enveloppe brune contenant huit à neuf feuilles lui ayant servi à confectionner la pièce P-1. Il retient du témoignage de M. Rivard que celui-ci n’a jamais admis ou révélé la source de ces informations. Le procureur fait part que, dès la dénonciation des plaignants, les caisses populaires ont mis en branle un processus pour en vérifier le bien-fondé, mais sans résultats probants. Y a-t-il eu « coulage » par les employés de l'entreprise? La pièce P-1 peut-elle provenir d’une « Info 250 »? Le procureur note qu'aux mois d’avril ou mai 1997, la plaignante recevait, à sa requête, par télécopieur, des « Info 250 ». Il remarque que Mme Tremblay n’a jamais reproché aux caisses populaires ni à Mme Brunette la communication de ces « Info 250 », ces derniers documents lui étant familiers, mais n'étant connus que par des initiés. Il soutient que la plaignante conservait les « Info 250 » et que les employés de son entreprise avaient accès à ses bureaux. Dans un contexte de méfiance, il est probable, selon lui, que quelqu’un ait eu accès à des renseignements au sujet des plaignants. Il reconnaît que la plaignante ne recevait pas des « Info 250 » de la Caisse populaire Saint-Eustache, mais qu'elle conservait toutefois avec elle son livret de ladite caisse. Y a-t-il eu un accès aux renseignements de la Centrale de données (pièce E-8)? PV 98 01 15 PV 98 01 16 PV 98 01 17 Le procureur indique que la Fédération gère les systèmes informatiques dont seuls les employés et les consultants dûment autorisés peuvent y accéder, mais que les caisses et leurs employés n’y ont pas accès, tout comme les employés de la Fédération ne peuvent accéder aux « Info 250 ». Il signale la transparence des intimées qui ont révélé aux plaignants l'existence d'une demande de crédit faite à la CIBC par le frère de M. Rivard, ce dernier ayant dit la même chose qu’à l’enquête interne de la Fédération (pièce E-4). Il ajoute que le frère de M. Rivard a également déclaré qu’il n’a pas eu accès, depuis 1993, à l’environnement informatique des intimées et que ses employés détenaient ce droit d'accès, mais qu'il a certifié n’avoir pas demandé à ses employés de le faire parce que cela aurait été suicidaire pour son entreprise. Le procureur plaide que M. Bélisle, tout en étant préoccupé par la protection des renseignements personnels, a admis la faiblesse du système informatique, ne pouvant pas identifier ou repérer un accès non autorisé au système informatique. M. Bélisle a toutefois insisté pour mentionner avoir un système de sécurité adéquat et révélé que le réseau informatique sera prochainement plus sécurisé par un accès limité, par une confidentialité accrue (pièce E-9) et par une journalisation des accès, incluant les « Info 250 ». Le procureur réitère que tous les témoins ont souligné l’importance pour les caisses populaires de la protection des renseignements personnels. Il signale l’existence d’un code déontologique (pièce E-6) auquel doivent adhérer les dirigeants et les employés réguliers ou permanents, la production d’un autre code déontologique (pièce E-11), le dévoilement confidentiel du contrat de services liant la Fédération avec la firme CIA (pièce E-7), le contrat de service informatique convenu entre la Fédération et les caisses populaires, préparé à la suite de l’entrée en vigueur de la loi (pièce E-8), l’engagement à la confidentialité au 3e paragraphe de la pièce E-9 et les contrôles à mettre en place pour l’accès et PV 98 01 15 PV 98 01 16 PV 98 01 17 l’utilisation des données émanant de la Division informatique (pièce E-10). Il insiste pour dire que l’aspect confidentiel est bien présent chez les intimées, les documents déposés traduisant cette préoccupation réelle. Le procureur fait valoir que MM. Bélisle et St-Jacques n’ont pas eu connaissance de l'existence « de coulage » au système central et qu'en 1997, les mesures de sécurité, même imparfaites, étaient raisonnables. Il soutient que les intimées ont appliqué des normes acceptables et respecté l’article 10 de la loi et que la Commission doit prendre acte que le système informatique sera sécurisé prochainement. LA RÉPLIQUE DES PLAIGNANTS Le procureur des plaignants prend acte de la bonification du système informatique et prétend qu'en ce sens, la plainte de ses clients aura été utile. Il retient que le système informatique n’était pas parfait en 1997 et que les intimées auraient dû le sécuriser dès 1994-95. Il rappelle que la plaignante ne s'est jamais servie de son livre de la Caisse populaire Saint-Eustache et que celui-ci n’était d'ailleurs pas à jour. LES DISPOSITIONS LÉGISLATIVES PERTINENTES L'article 81 de la loi permet à la Commission d'enquêter sur le traitement réservé par une entreprise à la protection des renseignements personnels détenus dans le cadre de ses activités : 81. La Commission peut, de sa propre initiative ou sur la plainte d'une personne intéressée, faire enquête ou charger une personne de faire enquête sur toute matière relative à la protection des renseignements personnels ainsi que sur les pratiques d'une personne qui exploite une entreprise et recueille, détient, utilise ou communique à des tiers de tels renseignements. PV 98 01 15 PV 98 01 16 PV 98 01 17 À cette fin, toute personne autorisée par la Commission à faire enquête peut: 1o avoir accès, à toute heure raisonnable, dans les installations d'une entreprise exploitée par une personne qui recueille, détient, utilise ou communique à des tiers des renseignements personnels; 2o examiner et tirer copie de tout renseignement personnel, quelle qu'en soit la forme. Il s'agit donc de déterminer si les intimées, une entreprise telle que définie à l'article 1 de la loi, ont communiqué à des tiers les renseignements de nature financière concernant les plaignants que l'on retrouve à la pièce P-1 : 1. La présente loi a pour objet d'établir, pour l'exercice des droits conférés par les articles 35 à 40 du Code civil du Québec en matière de protection des renseignements personnels, des règles particulières à l'égard des renseignements personnels sur autrui qu'une personne recueille, détient, utilise ou communique à des tiers à l'occasion de l'exploitation d'une entreprise au sens de l'article 1525 du Code civil du Québec. Elle s'applique à ces renseignements quelle que soit la nature de leur support et quelle que soit la forme sous laquelle ils sont accessibles: écrite, graphique, sonore, visuelle, informatisée ou autre. La présente loi ne s'applique pas à la collecte, la détention, l'utilisation ou la communication de matériel journalistique à une fin d'information du public. 1525. […] Constitue l'exploitation d'une entreprise l'exercice, par une ou plusieurs personnes, d'une activité économique organisée, qu'elle soit ou non à caractère commerciale, consistant dans la production ou la réalisation de biens, leur administration ou leur aliénation, ou dans la prestation de service. Il faut rappeler que la loi, prépondérante sur les autres lois ou ententes en vertu de l'article 94, prévoit, aux articles 13, 14 et 18, les principales règles régissant la communication ou l'utilisation de renseignements à la plainte sous étude : 13. Nul ne peut communiquer à un tiers les renseignements personnels contenus dans un dossier qu'il détient sur autrui ni les utiliser à des fins non pertinentes à l'objet du dossier, à moins que la personne concernée n'y consente ou que la présente loi le prévoit. PV 98 01 15 PV 98 01 16 PV 98 01 17 14. Le consentement à la communication ou à l'utilisation d'un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. Un consentement qui n'est pas donné conformément au premier alinéa est sans effet. 18. Une personne qui exploite une entreprise peut, sans le consentement de la personne concernée, communiquer un renseignement personnel contenu dans un dossier qu'elle détient sur autrui: 1o à son procureur; 2o au procureur général si le renseignement est requis aux fins d'une poursuite pour infraction à une loi applicable au Québec; 3o à une personne chargée en vertu de la loi de prévenir, détecter ou réprimer le crime ou les infractions aux lois, qui le requiert dans l'exercice de ses fonctions, si le renseignement est nécessaire pour la poursuite d'une infraction à une loi applicable au Québec; 4o à une personne à qui il est nécessaire de communiquer le renseignement dans le cadre de l'application de la loi ou d'une convention collective et qui le requiert dans l'exercice de ses fonctions; 5o à un organisme public au sens de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels (L.R.Q., chapitre A-2.1) qui, par l'entremise d'un représentant, le recueille dans l'exercice de ses attributions ou la mise en oeuvre d'un programme dont il a la gestion; 6o à une personne ou à un organisme ayant pouvoir de contraindre à leur communication et qui les requiert dans l'exercice de ses fonctions; 7o à une personne à qui cette communication doit être faite en raison d'une situation d'urgence mettant en danger la vie, la santé ou la sécurité de la personne concernée; 8o à une personne qui est autorisée à utiliser ce renseignement à des fins d'étude, de recherche ou de statistique conformément à l'article 21; 9o à une personne qui, en vertu de la loi, peut recouvrer des créances pour autrui et qui le requiert dans l'exercice de ses fonctions; 10o à une personne conformément à l'article 22 s'il s'agit d'une liste nominative. La personne qui exploite une entreprise doit inscrire toute communication faite en vertu des paragraphes 6o à 10o du premier alinéa. Cette inscription est considérée faire partie du dossier. Les personnes visées aux paragraphes 1o et 9o du premier alinéa qui reçoivent communication de renseignements peuvent communiquer ces renseignements dans la mesure où cette communication est nécessaire, dans l'exercice de leurs fonctions, à la réalisation des fins pour lesquelles elles en ont reçu communication. Une agence d'investigation ou de sécurité qui est titulaire d'un permis conformément à la Loi sur les agences d'investigation ou de sécurité (L.R.Q., chapitre A-8) ou un organisme ayant pour objet de prévenir, détecter ou réprimer le crime ou les infractions à la loi et une personne qui PV 98 01 15 PV 98 01 16 PV 98 01 17 exploite une entreprise peuvent, sans le consentement de la personne concernée, se communiquer les renseignements nécessaires à la conduite d'une enquête visant à prévenir, détecter ou réprimer un crime ou une infraction à une loi. Il en est de même, entre personnes qui exploitent une entreprise, si la personne qui communique ou recueille de tels renseignements a des motifs raisonnables de croire que la personne concernée a commis ou est sur le point de commettre, à l'égard de l'une ou l'autre des personnes qui exploitent une entreprise, un crime ou une infraction à une loi. 94. Les dispositions de la présente loi prévalent sur celles d'une loi générale ou spéciale postérieure qui leur seraient contraires, à moins que cette dernière loi n'énonce expressément s'appliquer malgré la présente loi. Toutefois elles n'ont pas pour effet de restreindre la protection des renseignements personnels ou l'accès d'une personne concernée à ces renseignements, résultant de l'application d'une autre loi, d'un règlement, d'un décret, d'une convention collective, d'un arrêté ou d'une pratique établie avant l'entrée en vigueur du présent article. LA DISCUSSION SUR LES TÉMOIGNAGES Il n'est pas contesté que M. Daniel Rivard a déposé la pièce P-1 auprès du syndic responsable de la faillite de son ancienne entreprise, renfermant des informations exhaustives sur les biens inscrits à chaque compte bancaire détenu par les intimées au sujet des plaignants. M. Rivard atteste aux enquêteurs de la Fédération, par déclaration assermentée le 29 octobre 1997, avoir reçu par la poste, sans le demander, les états de comptes des plaignants « de quelqu'un qui voulait m'aider mais j'ignore qui c'est » et qu'« il y avait aucune indication me démontrant que les états de compte venaient de Desjardins » (pièce E-5). Il a réitéré à l'audience avoir confectionné la pièce P-1 à l'aide de documents reçus de façon anonyme. Il maintient essentiellement la même déclaration lorsque interrogé par les procureurs des parties et la Commission. Mme Tremblay, plaignante et ancienne employée d'une caisse populaire, prétend que les renseignements inscrits à la pièce P-1 n'ont pu être obtenus par M. Rivard que par l'accès de celui-ci à ses « Info 250 ». Elle a reconnu avoir PV 98 01 15 PV 98 01 16 PV 98 01 17 sollicité à plusieurs reprises les intimées pour recevoir, par télécopie à ses bureaux chez l'entreprise, ce dernier type de renseignement. Elle certifie que l'accès au télécopieur de l'entreprise lui est réservé et les renseignements ainsi reçus des intimées, traités de façon confidentielle. Elle conserve le relevé obtenu par télécopie, déclare-t-elle, jusqu'au moment où les intimées lui confirment, par envoi postal, les modifications qu'elle a apportées à ses placements. Elle mentionne, tout comme M. Fleury, que les employés et les clients circulent pour affaires dans les bureaux de leur entreprise. Mmes Isabelle Brunette et Ginette Cusson, conseillères financières, responsables du dossier des plaignants pour les intimées, ont déclaré avoir déjà transmis à plusieurs reprises, par télécopieur, des informations de nature financière au sujet des plaignants, à la requête expresse de Mme Tremblay, mais qu'elles n'ont jamais donné à M. Daniel Rivard lesdites informations. Mme Brunette spécifie que l'existence des « Info 250 » n'est connue que par des personnes initiées au fonctionnement des caisses populaires et qu'elle les déchiquetait immédiatement après utilisation. Mme Cusson a signalé bien connaître la plaignante et lui avoir acheminé les « Info 250 » sur la simple reconnaissance de sa voix. M. Ghyslain Rivard, président de l'entreprise CIA, a reconnu son lien d'affaires avec la Fédération, le contrat le liant avec le Mouvement Desjardins, l'accès de ses employés au système informatique des intimées et la demande d'étude de crédit faite par son intermédiaire à la CIBC. Il a déclaré ne plus avoir accès au système informatique depuis 1993, ni requis de ses employés, ayant signé en annexe au contrat le liant à la Fédération un engagement à la confidentialité, de lui obtenir copie des « Info 250 » au sujet des plaignants, ni transmis celles-ci à son frère, et ce, au risque de perdre un contrat important. PV 98 01 15 PV 98 01 16 PV 98 01 17 M. Jean-Noël Bélisle, responsable de l'entrepôt des données à la Fédération, a, pour sa part, expliqué le fonctionnement du réseau informatique de la Fédération et celui des caisses populaires. Il a déclaré que son unité administrative ne détient aucune journalisation lui permettant de retrouver les personnes ayant accédé aux « Info 250 » chez les intimées, la journalisation des accès n'étant faite que par la caisse populaire concernée et conservée par elle pour une période maximale de 30 jours. M. Roch St-Jacques, commissaire aux plaintes, a déclaré que l'enquête spécifique portant sur l'objet de la présente plainte, tenue avec l'aide des trois dirigeants des caisses populaires visées, de l'enquêteur desdites caisses et d'un expert en informatique, n'a pu conclure d'où provenaient les renseignements détenus par M. Daniel Rivard. Il a également certifié que les intimées n'avaient plus la journalisation des personnes ayant accédé aux « Info 250 », celles-ci étant détruites dans les 30 jours. LA PREUVE DOCUMENTAIRE La preuve documentaire démontre que chaque employé des intimées doit signer un document, intitulé « Accusé de réception de l'employé de la caisse », par lequel il déclare avoir reçu un exemplaire du Code de déontologie (1991) et s'engage à en prendre connaissance (pièce E-6 en liasse), ce que nous a d'ailleurs confirmé Mme Tremblay. Ledit Code de déontologie définit le terme « renseignement » et énonce certaines des règles en ce qui a trait à sa communication : 1.1. […] s) Toute information verbale ou écrite détenue par la Caisse, sur support papier, informatique ou autre, de quelque nature que ce soit; […] PV 98 01 15 PV 98 01 16 PV 98 01 17 3.1. Tout renseignement relié à un membre, incluant le fait même d'être membre, est confidentiel. Aucune divulgation n'est permise sans le consentement de la personne concernée, à moins que ces renseignements ne soient de notoriété publique, qu'ils ne soient requis par une loi ou une ordonnance d'un tribunal ou qu'ils ne soient l'objet d'un accord inclus dans une entente ou un contrat signé avec le membre. […] 3.3. L'employé est tenu de respecter les règles déontologiques et, de façon générale, de souscrire aux règles de divulgation applicables en les circonstances, et ce même après avoir cessé d'occuper son emploi. 3.4. L'accès aux renseignements est restreint aux personnes dont le travail l'exige. Aucun renseignement ne sera accessible sans que soit auparavant vérifiée l'identité du requérant et établi son droit à obtenir ce renseignement. […] 3.7. Afin d'assurer la protection des documents contre la consultation ou la divulgation non autorisée ainsi que contre les dangers de dommages matériels ou de destruction, les documents doivent être gérés, conservés et détruits conformément aux règlements de la Confédération. Il en est de même des employés de la Fédération ayant accès à la Centrale de données (pièce E-9) et de la firme CIA et ses employés, nommément désignés contractuellement, énonçant que les informations demeurent la propriété des intimées ainsi qu'une interdiction de « divulguer à qui que soit, sans l'autorisation expresse de la confédération, toute information portée à sa connaissance ». Les employés du sous-contractant signent en annexe au contrat un engagement à la confidentialité (pièces E-7 et E-8 remises confidentiellement). L'APPRÉCIATION La Commission est d'avis que la preuve ne permet pas de façon prépondérante de déterminer s'il y a eu communication d'« Info 250 » ou de renseignements au sujet des plaignants de la part des intimées, ni d'ailleurs des employés de l'entreprise Finition Daniel Rivard (1991) inc., ni de la firme CIA, ni même des plaignants. Bien que nous soyons conscients qu'il s'agit en la présente PV 98 01 15 PV 98 01 16 PV 98 01 17 d'un cas d'espèce, en raison de la rareté de la circulation d'une « Info 250 », il se dégage au moins une certitude, reconnue par toutes les parties : M. Rivard détient des renseignements personnels détaillés au sujet des plaignants. La Commission déplore qu'un individu, indépendamment du motif à la source de sa collecte de renseignements, puisse colliger autant d'informations que celles détenues par M. Rivard. D'autant plus que, bien que différents dans ce casci, les événements récents de l'actualité nous rappellent avec acuité l'impact inapproprié que revêt une communication de renseignements personnels sans autorisation des personnes concernées à des fins autres pour lesquelles ils sont recueillis. La Commission a déjà eu l'occasion de signaler qu'une plus grande circulation de l'information entraîne inexorablement un risque plus grand d'échappement à la confidentialité. Au présent dossier, il est évident que les plaignants ont requis des intimées, à plusieurs reprises, que leur soient communiquée, par télécopie, la liste complète de renseignements financiers les concernant, et ce, vu la preuve, à un endroit où circulaient employés et clients. Les intimées, pour leur part, ne se sont pas assurées à toutes les fois que les envois par télécopie étaient bien reçus par la personne devant les recevoir. L'enseignement à tirer de la présente est qu'aucune personne n'est à l'abri d'une communication de renseignements à son sujet sans réelle et continuelle préoccupation de tous les acteurs d'assurer une meilleure protection desdits renseignements qu'elle détient ou reçoit. La Commission souligne la collaboration et la transparence dont ont fait preuve les intimées dans la recherche de la vérité dans le cadre de la présente enquête. La franchise s'est notamment illustrée lorsque la personne responsable PV 98 01 15 PV 98 01 16 PV 98 01 17 du réseau informatique pour la Fédération et les caisses populaires a révélé l'imperfection dudit système pour repérer adéquatement si l'un de leurs employés a un accès ou a établi une communication de renseignements non autorisée par ses fonctions au sujet d'un membre. Il nous a été soumis que la mise à jour du système informatique, au mois de mars 2002, comblerait les lacunes observées sur le sujet. En outre, nous avons relevé qu'il n'existe pas d'outils probants chez les intimées leur permettant de continuellement sensibiliser les employés à la protection des renseignements personnels, à la sécurité de l'information et aux procédures de sécurité. De cette situation, il faut préalablement, croyons-nous, que l'entreprise valide les renseignements que peuvent obtenir les employés par un code lui permettant de les identifier spécifiquement, par un rappel constant des règles régissant la protection des renseignements personnels, et non seulement un engagement à prendre connaissance du Code de déontologie (pièce E-6), et par une mise à jour de la façon dont l'on doit traiter la communication par télécopie. Sur ce dernier sujet, tant les plaignants, dirigeant à l'époque une entreprise, que les intimées doivent s'inspirer de la fiche Contact, intitulée « Utilisation des télécopieurs », produite par la Commission en 1995 et toujours d'actualité, traitant de l'installation, de l'emplacement et des obligations des parties lors de l'envoi d'une télécopie. POUR CES MOTIFS, LA COMMISSION : PREND ACTE que le système informatique des intimées pourra, dès le mois de mars 2002, notamment établir une nouvelle journalisation des accès; DÉCLARE la plainte non fondée; PV 98 01 15 PV 98 01 16 PV 98 01 17 RECOMMANDE aux intimées d'établir une procédure de contrôle et d'authentification des personnes ayant accès à leur système informatique; RECOMMANDE aux intimées de définir les paramètres d'autorisation des accès au système informatique, de prévoir une mise à jour périodique des droits d'accès et de désigner, le cas échéant, une personne en autorité responsable localement de celle-ci; RECOMMANDE que les employés soient continuellement sensibilisés à la protection des renseignements personnels, à la sécurité de l'information, aux procédures de sécurité et aux sanctions conséquentes de l'inobservance des règles établies; RECOMMANDE aux intimées de rappeler aux employés les exigences et les précautions à prendre en cas de transmission de renseignements personnels par télécopieur; RECOMMANDE que les intimées remettent à leurs mandataires ayant accès aux renseignements personnels les dispositions de la loi assurant le caractère confidentiel des renseignements, la non-communication sans le consentement de la personne concernée et les mesures qu'ils doivent prendre en regard de leur utilisation et conservation; et RECOMMANDE aux intimées de faire signer spécifiquement un engagement à la confidentialité aux mandataires et à toute personne qui aura accès aux renseignements personnels dans le cadre de ses fonctions. MICHEL LAPORTE Commissaire PV 98 01 15 PV 98 01 16 PV 98 01 17 HÉLÈNE GRENIER Commissaire CHRISTIANE CONSTANT Commissaire Montréal, le 22 mars 2002 Me Michel Charbonneau Procureur des plaignants Me François Bouthillier Procureur des intimées