Alain Fleury et Monique Tremblay c. Caisse populaire Saint

DOSSIERS Nos PV 98 01 15
PV 98 01 16
PV 98 01 17
ALAIN FLEURY
-etMONIQUE TREMBLAY
Plaignants
c.
CAISSE POPULAIRE SAINT-JEAN
BERCHMANS
-etCAISSE
EUSTACHE
POPULAIRE
SAINT-
-etCAISSE POPULAIRE BLAINVILLE
Intimées
__________________________________________________________________
DÉCISION
__________________________________________________________________
LA PLAINTE
Les plaignants reprochent aux intimées d'avoir communiqué à des tiers,
sans leur consentement, des renseignements personnels et confidentiels les
concernant.
LA POSITION DES PLAIGNANTS
Le 20 janvier 1998, le procureur des plaignants dépose une plainte parce
que les intimées ont contrevenu à la Loi sur la protection des renseignements
personnels dans le secteur privé1 (la loi). Il explique que les plaignants ont acquis
de M. Daniel Rivard « l'entreprise Finition Daniel Rivard (1991) inc. » et que cette
PV 98 01 15
PV 98 01 16
PV 98 01 17
dernière a fait faillite en juin 1997. Il mentionne que M. Daniel Rivard détenait une
balance du prix de vente et était l’un des créanciers de la faillite. À l'assemblée des
créanciers de la faillite, il prétend que M. Rivard « avait en sa possession des
documents qui décrivaient exhaustivement les avoirs personnels de nos clients
incluant le nom des établissements, les numéros de compte dans les Caisses
Populaires ci-haut mentionnées, le solde de chacun des comptes, les dates de
renouvellement et les dates d'échéance des placements à terme ainsi que les
dates d'ouvertures de chacun des comptes. » Il allègue que les intimées ont
communiqué à M. Rivard lesdits renseignements personnels sans l'autorisation de
ses clients.
LES PRÉTENTIONS DES PARTIES À L'ENQUÊTE
Les procureurs des parties reconnaissent que les documents à l'appui de
la plainte renferment une série de renseignements personnels au sujet des
plaignants, transmis par M. Daniel Rivard au syndic responsable de la faillite de
l'entreprise Finition Daniel Rivard (1991) inc. Le procureur des plaignants avance
que la confection par M. Rivard dudit document n'a pu se matérialiser sans qu'il
n'ait recueilli les renseignements auprès des intimées.
Mme Monique Tremblay, plaignante, dépose un document de deux pages
obtenu par le syndic (pièce P-1 en liasse) qui recense l'ensemble des biens
détenus par elle et son époux, M. Alain Fleury, chez les intimées au mois de juin
1997. Elle dit que les informations de la pièce P-1 reflètent ce qu'ils possédaient
entre les 31 mai et 6 juin 1997, date apparaissant à la dernière échéance d'un
placement détenu à la Caisse populaire Blainville. Elle spécifie connaître le
fonctionnement administratif des intimées pour y avoir travaillé pendant 30 ans,
soit jusqu'à sa retraite prise en 1993. Elle soutient que les renseignements inscrits
1
L.R.Q., c. P-39.1.
PV 98 01 15
PV 98 01 16
PV 98 01 17
à la pièce P-1 n'ont pu être obtenus que par un accès au document familièrement
appelé par les intimées « profil financier ». Elle indique que ce dernier document
est accessible à partir du terminal informatique de la caisse populaire concernée.
Elle ajoute que le profil financier identifie les comptes associés avec ceux de son
époux, ayant signé mutuellement une autorisation à cet effet. Elle affirme n'avoir
jamais consenti à quiconque l'accès auxdits renseignements. Elle confirme avoir
appris par le syndic que M. Daniel Rivard lui a communiqué la pièce P-1, et ce,
après la première assemblée des créanciers de la faillite, soit vers le 7 juillet 1997.
De cette information, elle souligne avoir alors fait des démarches auprès des
intimées, mais qu'elle est demeurée insatisfaite des résultats de l’inspection et de
l’enquête instituées par la Confédération des caisses populaires Desjardins (la
Confédération) auprès desdites caisses, d'où la plainte à la Commission d'accès à
l'information du Québec (la Commission). Elle atteste que les intimées lui
transmettaient, à ses bureaux de l'entreprise Finition Daniel Rivard (1991) inc., par
télécopie et à sa demande, son profil financier, sauf en ce qui concerne la Caisse
populaire Saint-Eustache, s’agissant d'un compte sans placement.
Mme Tremblay relate avoir acheté en 1995 l'ensemble des actions
détenues par M. Daniel Rivard pour l'entreprise du même nom. Elle mentionne que
M. Rivard, professeur dans la région de Drummondville, n'avait plus dès lors accès
à l'entreprise ni à son télécopieur.
Interrogée par le procureur des intimées, Mme Tremblay indique que le
profil financier est aussi désigné « Info 250 » dans le jargon des caisses
populaires. Elle reconnaît la teneur de son « Info 250 » et de celle de son époux,
datées les deux du 6 octobre 1997, soumises par le procureur (pièces E-1 et E-2),
comme identiques à celles qu'elle recevait par télécopie des intimées. Elle affirme
avoir demandé, vers la fin du mois d'avril 1997, une « Info 250 », d'une part, parce
qu'elle suivait assidûment la fluctuation des taux d'intérêt et, d'autre part, parce
PV 98 01 15
PV 98 01 16
PV 98 01 17
qu'elle devait faire plusieurs renouvellements de ses placements. Elle répète que
l'accès à son télécopieur lui est réservé et que celui-ci ne fait pas de copie. Elle
avance que la confection de la pièce P-1 peut très bien avoir été faite à partir des
informations apparaissant aux pièces E-1 et E-2.
Mme Tremblay informe le procureur des intimées que l'entreprise faillie
avait, à l'époque, trois employés, parfois quatre ou cinq, et que ceux-ci n'étaient
pas dans le bureau lors de la réception de l’« Info 250 ». Après avoir pris
connaissance de la communication au syndic de la pièce P-1, elle s’est plainte à
Mme Laframboise, de la Caisse populaire Blainville, et a exigé d'être renseignée sur
toutes les personnes ayant requis des informations à son sujet et celui de son
époux. Elle fait remarquer que Mme Laframboise lui a alors transmis un relevé la
concernant ainsi que son époux provenant du Bureau de crédit Équifax. Elle
précise que ce dernier relevé a été demandé par la Banque Canadienne Impériale
de Commerce (CIBC) de la région de Québec à la requête du frère de M. Daniel
Rivard (pièces P-3 et P-4). Elle signale que Mme Laframboise l'a informée que la
CIBC n'a pas donné ledit relevé au frère de M. Rivard et certifie que cette étude du
bureau de crédit a été faite sans son autorisation. Elle confirme que les intimées, à
la suite de l’enquête interne, lui ont fait parvenir chacune une lettre affirmant
qu'elles n'avaient communiqué aucun renseignement à son sujet à des tiers,
l'enquête de la Confédération ayant conclu que M. Daniel Rivard a reçu
anonymement les renseignements à son sujet.
Interrogée de nouveau par son procureur, Mme Tremblay fait valoir que
les employés d'une caisse populaire ont tous accès au système informatique pour
produire l’« Info 250 » et qu'il n'existe aucune journalisation permettant de
retrouver la personne ayant demandé ce type d'information. Elle rétorque au
procureur des intimées que tous les employés d’une caisse populaire sont soumis
PV 98 01 15
PV 98 01 16
PV 98 01 17
au Code de déontologie et doivent prêter un serment de confidentialité au sujet
des renseignements auxquels ils ont accès.
M. Alain Fleury, plaignant, témoigne et corrobore les éléments essentiels
du témoignage livré par Mme Tremblay.
M. Laurent Langevin, syndic de faillite, explique avoir tenu, le 7 juillet
1997, à Saint-Hyacinthe, la première assemblée des créanciers de l'entreprise
Finition Daniel Rivard (1991) inc., pour et au nom de son fils qui en était la
personne responsable. Il affirme qu’il ne connaissait pas à ce moment les
plaignants ni M. Rivard. Il souligne avoir rédigé une note (pièce I-5) et que celle-ci
mentionnait le dépôt au syndic par M. Daniel Rivard de la pièce P-1. Il se souvient
que M. Rivard lui aurait mentionné que les plaignants ne devraient pas connaître la
provenance de la pièce P-1.
Mme Isabelle Brunette, conseillère en finances, relate s'occuper des
dossiers d'épargne et de placements à la Caisse populaire Blainville et avoir
comme clients attitrés les plaignants. Elle connaît l'objet de la plainte et atteste
avoir préparé et sorti, à la demande de Mme Tremblay, les « Info 250 » (pièces E-1
et E-2). Elle explique que Mme Tremblay détenait des placements rachetables lui
permettant de les modifier lors d'une fluctuation des taux d'intérêt. Elle reconnaît
avoir expédié à Mme Tremblay plusieurs « Info 250 », entre les mois d’avril et mai
1999, en raison de la fluctuation des taux d'intérêt sévissant à l’époque. Elle
affirme qu’elle ne peut avoir accès qu’aux « Info 250 » de la caisse populaire où
elle travaille, celles des autres caisses populaires lui étant techniquement
inaccessibles.
À la suite de la plainte des plaignants, par mesure de sécurité et suivant
une entente intervenue avec Mme Tremblay, Mme Brunette signale avoir fermé tous
PV 98 01 15
PV 98 01 16
PV 98 01 17
les comptes des plaignants avec les anciens numéros pour leur en attribuer de
nouveaux. Elle précise que les clients, de façon générale, ne connaissent
généralement pas l'existence de cette « Info 250 » et n’en demandent pas copie,
sauf Mme Tremblay parce qu’elle a déjà travaillé dans une caisse populaire. Elle
mentionne que l’« Info 250 » est habituellement visualisée à l’écran de l’ordinateur
pour lui permettre d'évaluer, par exemple, l'état de la situation d'un demandeur de
prêt, mais est rarement imprimée. Lors d'une impression d'une « Info 250 », la
copie est immédiatement déchiquetée après son utilisation. Elle mentionne
également que l'enquête interne n'a pu démontrer que la communication des
informations contenues à la pièce P-1 provenait des intimées.
Mme Brunette répond à la Commission qu'elle produit rarement une « Info
250 » et qu'il n’existe pas de mécanisme lui permettant de connaître la personne
ayant pu le consulter. Elle confirme avoir communiqué plusieurs « Info 250 » à la
requête de Mme Tremblay et que celle-ci lui mentionnait être à côté du télécopieur
lors de la réception. Elle mentionne être soumise aux directives de confidentialité
des intimées et avoir fait les mises en garde d'usage à la plaignante lors de la
transmission de renseignements.
M. Daniel Rivard, professeur à l'École du meuble de Victoriaville, indique
avoir déjà eu une compagnie de finition de meubles de cuisine et rencontré les
plaignants au début de l’année 1980. En 1991, il s'associe avec les plaignants et
leur vend l'entreprise Finition Daniel Rivard (1991) inc. en 1995, pour se consacrer
à temps plein à l’enseignement (à Victoriaville), tout en conservant une balance du
prix de vente de son entreprise. Au mois de juin 1997, un notaire communique
avec lui pour vérifier si les plaignants lui devaient bien 15 000 $ et s'il acceptait de
transférer sa créance à un nouvel acquéreur. Surpris, il informe le notaire que la
balance du prix de vente de l'entreprise Finition Daniel Rivard (1991) inc. n'était
pas de 15 000 $, mais de 45 000 $, et qu'il refuse le transfert de la dette.
PV 98 01 15
PV 98 01 16
PV 98 01 17
Préoccupé de la tournure des événements, M. Rivard se rend à SaintEustache, à la fin du mois de mai ou au début du mois de juin 1997, pour vérifier
sur place ce qu'il advient de son ancienne entreprise et il rencontre les employés;
ceux-ci lui donnent certaines informations. Il requiert alors la collaboration des
employés qu'il dit très bien connaître depuis plusieurs années. Il demande aux
employés de rester vigilants et de noter tout ce qui leur paraît pertinent sur le
fonctionnement de l'entreprise ou sur les plaignants. Il affirme avoir reçu chez lui,
de façon anonyme, de huit à dix feuilles, dans une grande enveloppe brune, au
début du mois de juin 1997 (entre le 12 et le 20 juin). Il a alors démêlé le tout et
retranscrit les informations ainsi obtenues sous la forme actuelle de la pièce P-1. Il
affirme également n’avoir conservé aucun des documents reçus dans l’enveloppe
brune. Il admet avoir confectionné la pièce P-1 et l'avoir transmise au syndic. Il
soutient que les papiers reçus peuvent ressembler aux pièces E-1 et E-2, sans
pouvoir le certifier.
M. Rivard allègue que les plaignants ont refusé de lui revendre
l'entreprise et que celle-ci a déclaré faillite le 20 juin 1997. Dans le cadre de cette
faillite, il confirme avoir sollicité l’aide de son frère pour obtenir une étude de crédit
sur les plaignants. Le 23 juillet 1997, il a produit à la CIBC une demande officielle
d'étude de crédit.
M. Rivard expose avoir rencontré le syndic le 7 juillet 1997 avec son
épouse et qu'à son arrivée, M. Langevin a cru qu'il s'agissait des plaignants.
M. Langevin l’a alors entretenu de l'état de la situation de la faillite et des choses à
dire lors de l'assemblée des créanciers. De cette dernière situation, il a exigé du
syndic d’annuler cette première réunion des créanciers. Il mentionne avoir produit
plus tard au syndic, le 29 octobre 1997, une déclaration assermentée sur ses
créances.
PV 98 01 15
PV 98 01 16
PV 98 01 17
Interrogé par la Commission, M. Rivard est catégorique : les employés de
son ancienne entreprise ne lui ont pas révélé la teneur des informations
apparaissant à la pièce P-1. Il réitère ne pas connaître la personne qui lui a fait
parvenir chez lui, dans une enveloppe brune, les informations lui permettant de
compléter la pièce P-1. Malgré l'insistance de la Commission, M. Rivard assure ne
pas connaître la personne qui lui a fait suivre l'enveloppe brune. Il ajoute n'avoir
conservé aucun des documents contenus dans celle-ci.
M. Rivard répond au procureur des intimées qu'il transige avec la Banque
Royale et qu'il a commencé ses recherches (« son fouillage ») pour obtenir le plus
d'informations possible sur les plaignants dès l'appel téléphonique du notaire.
Ainsi, il note qu’il a pu recueillir au sujet des plaignants leur numéro de plaque
d'automobiles, de téléphone confidentiel, d'assurance sociale, les renseignements
concernant la vente de la maison, la location du logement, etc. Il affirme ne pas
être familier avec les pièces E-1 et E-2 et ne peut certifier si des documents
similaires se trouvaient dans l’enveloppe brune. Il atteste ne pas avoir discuté avec
les plaignants, avant la faillite, de la teneur de la pièce P-1, sinon, d'avoir exigé,
lors de discussions, les états financiers de l'entreprise. Il certifie que la CIBC ne lui
a jamais communiqué l'étude de crédit qu'il avait demandée à son frère. Il indique
avoir beaucoup d'amis à Saint-Eustache, mais qu’il n'a demandé à aucun employé
travaillant à l'une des trois caisses populaires de lui communiquer des informations
au sujet des plaignants. Il réitère ne pas avoir conservé les documents reçus
anonymement parce qu'il a évalué que ce n'était pas pertinent de le faire.
M. Rivard dit à la Commission qu'il a demandé à l'un de ses frères s'il
pouvait l'aider en faisant un « fouillage informatique » concernant les plaignants.
Les parties conviennent que le témoignage d'une représentante de la
Caisse populaire Saint-Jean Berchmans confirmerait que ladite caisse transmettait
PV 98 01 15
PV 98 01 16
PV 98 01 17
également à Mme Tremblay des « Info 250 » et que la Caisse populaire SaintEustache n'a pas transmis cette forme de document.
Mme Ginette Cusson, conseillère financière à la Caisse populaire, atteste
connaître Mme Tremblay comme l’une de ses clientes spécifiques et lui avoir
souvent transmis, à sa demande, des « Info 250 ». Elle avance qu'il est inhabituel
pour un client d’exiger une « Info 250 » et de la transmettre par télécopieur, sauf
pour Mme Tremblay. Elle souligne bien connaître Mme Tremblay ainsi que le timbre
de sa voix au téléphone. Cette connaissance lui permettait, dit-elle, d’expédier à
Mme Tremblay le document qu’elle demandait, sans toutefois en vérifier la
réception par cette dernière. Elle reconnaît le Code de déontologie et la politique
de confidentialité des intimées ainsi que le document qu'elle a signé à cet effet
(pièce E-6). Elle atteste qu'une caisse populaire ne peut connaître les placements
ou les actifs détenus par une personne dans une autre caisse populaire.
M. Ghyslain Rivard, frère de M. Daniel Rivard et président de l'entreprise
« Les conseillers en informatique d'affaires inc. » (CIA), indique avoir transmis à un
ami, responsable de la CIBC de la Ville de Charlesbourg, la demande de
renseignements que voulait obtenir son frère au sujet des plaignants. Le
responsable de la CIBC l'a avisé ultérieurement avoir obtenu l'information désirée,
mais qu'il ne pouvait la lui remettre sans une autorisation de son frère. Il a fait
parvenir ladite autorisation au responsable de la CIBC (pièce E-4), mais ce dernier
lui a mentionné qu'il ne pouvait lui remettre les renseignements, car l'autorisation
de M. Daniel Rivard n'était pas suffisante à la communication des renseignements
au sujet des plaignants.
M. Ghyslain Rivard relate avoir rencontré un enquêteur de la Fédération
des
caisses
Desjardins
du
Québec
(la
Fédération)
(anciennement
la
Confédération), au mois d'octobre 1997, au sujet de la présente plainte. Il signale
PV 98 01 15
PV 98 01 16
PV 98 01 17
que son entreprise, CIA, est consultante pour le réseau informatique des intimées.
Il dépose, sous pli confidentiel, le contrat le liant avec le Mouvement Desjardins
(pièce E-7), où est inscrite, à l'article 9 et à l'annexe « C », une clause de
confidentialité à l'intention de l'entreprise et de ses employés. Il mentionne que son
entreprise est en affaires avec le Mouvement Desjardins à la hauteur d'un montant
de 25 à 30 millions de dollars et qu'il n'allait pas, pour 40 000 $, mettre en péril
l'avenir et les activités de celle-ci en obtenant les renseignements exigés de son
frère. Il rapporte ne plus avoir accès au système du Mouvement Desjardins depuis
1993. Il reconnaît que ses employés ont accès au système central du Mouvement
Desjardins, dont aux « Info 250 ». Il rapporte que son frère et lui sont issus d'une
famille de 12 enfants et qu'ils ne se rencontrent que durant la période des Fêtes.
M. Jean-Noël Bélisle, responsable de l'entrepôt de données et des
personnes, fait part que la Fédération est responsable du réseau informatique des
caisses populaires, selon le contrat type convenu entre celle-ci et les caisses,
déposé sous pli confidentiel (pièce E-8 en liasse). Il explique que la Fédération
gère pour les caisses notamment la base de données des transactions effectuées
par les membres (dépôts, retraits, etc.) et les documents financiers comme l'« Info
250 ». L'accès au système de la Fédération est contrôlé par un numéro
d'identification et un mot de passe. La journalisation des « Info 250 » est
conservée localement par la caisse les ayant produites, et ce, pendant une période
de 30 jours. Il ajoute que seulement sept ou huit personnes peuvent accéder à la
base de données de la Fédération et que celle-ci est dotée d'un « login »
confidentiel partagé entre les employés. Il précise que, depuis 1998, le fichier des
membres du Mouvement Desjardins n'est accessible qu'à trois membres ayant
préalablement signé un engagement à la confidentialité. Il signale que la
Fédération n'a pas un système informatique permettant d'avoir la journalisation des
accès, mais que cette lacune devrait être corrigée avec la mise à jour du système
PV 98 01 15
PV 98 01 16
PV 98 01 17
au mois de mars 2002. Aujourd'hui, note-t-il, les caisses populaires ont accès au
système opérationnel, avec journalisation.
M.
Bélisle
reconnaît
le
formulaire
intitulé
« Engagement
à
la
confidentialité » que doivent signer les employés des intimées (pièce E-9) et remet,
sous pli confidentiel, le document interne du Mouvement Desjardins traitant du
contrôle d'accès au système et à la centrale de données, incluant les actions
prises par le Bureau de surveillance et sécurité financière du Mouvement
Desjardins (pièce E-10 en liasse).
Interrogé par le procureur des plaignants, M. Bélisle réitère que la
journalisation des accès au système pour l'« Info 250 » est conservée au système
opérationnel pendant une période de 30 jours par la caisse locale. Pour accéder
au système, insiste-t-il, il faut un numéro d'accès, tant pour l'employé que pour les
sous-traitants, et tous doivent signer un engagement à la confidentialité.
Comment explique-t-il alors la sortie d'un « Info 250 »? Il admet être
difficile de répondre à cette question en l'absence de journalisation. Il souligne que
la Fédération traite environ 800 millions de transactions et qu'il « a hâte que soit
mis en place le journal des accès au système. »
M. Roch St-Jacques, commissaire aux plaintes, maintenant désigné
comme Ombudsman, mentionne avoir mené l'enquête interne pour le Mouvement
Desjardins avec l’aide d’un spécialiste en informatique. Il indique relever du
secrétaire de la Fédération et avoir été nommé coordonnateur en 1994 et, depuis
1995, responsable du respect du Code de déontologie, dont il a été le maître
d’œuvre. Il explique que l’exercice de sa fonction requiert une certaine forme
d’indépendance, avec pouvoir de recommandations, et une possibilité d’apporter
en priorité des modifications au processus administratif. Il précise que le
PV 98 01 15
PV 98 01 16
PV 98 01 17
Mouvement Desjardins emploie 35 000 personnes, d'où l'importance que revêt le
Code de déontologie au chapitre du respect de la confidentialité, tel que le
rapporte le chapitre III dudit Code, notamment pour les fournisseurs (art. 3.05)
(pièce E-11 en liasse). Il illustre l’étanchéité des informations détenues entre les
caisses par le fait que certains clients reprochent de ne pouvoir accéder aux
renseignements les concernant par intercaisse. Il atteste avoir rencontré les trois
dirigeants des caisses concernées ainsi que M. Rivard. L’objet de l’enquête, dit-il,
était de connaître la provenance des renseignements détenus par M. Rivard. Il
affirme que ni lui, ni l'enquêteur des caisses, ni l'expert en informatique ne peuvent
certifier la provenance des renseignements détenus par M. Rivard. Il évoque alors
trois hypothèses :
1)
En toute probabilité, il aurait fallu qu’une personne pour chaque
caisse ait donné les renseignements. Il prétend que cette hypothèse
peut difficilement être retenue;
2)
Il prétend également, pour les mêmes motifs, que l'accès à la
Centrale de données est improbable; et
3)
Les renseignements reçus par les plaignants de la part des intimées
n'ont pas été traités confidentiellement.
M. Fleury est interrogé par la Commission. Il atteste n’avoir jamais requis
des intimées une « Info 250 », ni s'être occupé des placements, ni avoir laissé au
bureau de l'entreprise les documents relatifs aux placements, les rapportant avec
lui tous les soirs. Il affirme que c’est sa conjointe, Mme Trembay, qui détenait les
renseignements personnels et les conservait dans sa chemise et que 90 % du
temps, il dînait à l’atelier de l’entreprise. Il spécifie que les clients avaient accès au
PV 98 01 15
PV 98 01 16
PV 98 01 17
bureau de l’entreprise et que les documents étaient conservés dans un classeur
sous clé.
Mme Tremblay précise qu’elle détenait les certificats de placement
déposés chez les intimées et qu’elle demandait une « Info 250 » pour lui permettre
de mettre à jour les informations et de vérifier si elle devait replacer l’argent. Elle
mentionne qu’elle conservait les « Info 250 » reçues des intimées jusqu’à ce
qu’elle reçoive, par la poste, confirmation écrite de la part des intimées du
placement effectué. Elle soutient qu’elle apportait avec elle tous les documents.
Elle mentionne qu’elle avait le compte de la Caisse populaire Saint-Eustache avec
elle, mais ne « traînait » pas l’état de compte ou de renseignements sur ce
compte. Elle dit que les employés avaient accès au bureau de l’entreprise pour la
facturation et les commandes seulement et que les filières pour la paperasse de
l’entreprise étaient fermées à clé. Elle signale avoir souvent déposé dans son
automobile son sac à main avec ses documents personnels lorsqu'elle devait
quitter le bureau, et ce, en raison de l'achalandage.
Mme Tremblay signale avoir travaillé comme caissière remplaçante à la
Caisse populaire Boisbriand en 1997 et 1998 et utilisé un code pour obtenir
l'« Info 250 » d'un client. Le code étant, souligne-t-elle, universel, donné à tous les
employés et modifié une fois par mois.
La Commission interroge de nouveau M. Daniel Rivard qui relate que
l’enveloppe brune reçue anonymement contenait des notes manuscrites et
dactylographiées ainsi que la photocopie de documents, mais qu’il n’y avait pas de
documents avec un en-tête identifiant qu'il s'agit d'un certificat de dépôt. Il réitère
que, dès la réception de cette enveloppe, il a mis de l’ordre dans les dizaines de
documents en reproduisant les adresses, les numéros de folio de comptes et les
PV 98 01 15
PV 98 01 16
PV 98 01 17
montants d’argent. Il signale que les renseignements par folio étaient sur des
feuilles différentes.
La Commission frappe d'une interdiction de publication, de diffusion et de
communication les pièces E-7, E-8 et E-10.
LES ARGUMENTS DES PLAIGNANTS
Le procureur des plaignants fait valoir que la preuve est claire et qu'il y a
eu communication, par l'« Info 250 », de renseignements confidentiels concernant
les plaignants. Il soumet que Mme Tremblay n'a pas été négligente et que les
renseignements ont pu être diffusés soit par la Fédération ou par d’autres
personnes ayant eu accès au système informatique des intimées. Il prétend que le
témoignage du frère de M. Rivard est « boiteux », particulièrement en ce qui
concerne les essais effectués pour entrer dans le système informatique des
banques.
Le procureur invoque l’article 10 de la loi pour soutenir que les intimées
doivent impérativement avoir des mesures de sécurité adéquates pour assurer la
protection des renseignements personnels qu’elles détiennent :
10.
Toute personne qui exploite une entreprise et
recueille,
détient,
utilise
ou
communique
des
renseignements personnels sur autrui doit prendre et
appliquer des mesures de sécurité propres à assurer le
caractère confidentiel des renseignements.
Le procureur avance que le contrat du frère de M. Rivard avec la
Fédération prévoit un droit d’accès à son système informatique par ses employés
ou un sous-traitant et que l’on ne sait pas si cet accès est également accordé à
d’autres entreprises. Il retient le témoignage de M. Bélisle soulignant que le
PV 98 01 15
PV 98 01 16
PV 98 01 17
système informatique n’est pas parfait et qu'il n'y a pas de journalisation des
accès. Il fait valoir qu'un seul mot de passe pour toute une série de personnes est
inadéquat et que le Mouvement Desjardins a une part de responsabilité à
assumer, même s'il compte 35 000 employés.
Il reconnaît que les caisses ont pris tous les moyens pour corriger la
situation survenue en 1997-1998, mais que la plainte doit être retenue. Le
procureur reconnaît également que chaque caisse est indépendante et qu'elles ne
peuvent se communiquer informatiquement des renseignements sur leurs clients. Il
note l'admission concernant la demande d’enquête de crédit faite par la CIBC à la
requête du frère de M. Rivard.
LES ARGUMENTS DES INTIMÉES
Le procureur des intimées note que Mme Tremblay n’a pas travaillé dans
les caisses populaires de 1993 à 1998 et que la Caisse populaire Boisbriand n’est
pas visée par la présente plainte.
Quelle est la source à l'origine des renseignements personnels sur les
plaignants inscrits à la pièce P-1? Les intimées et la Fédération ont-elles pris les
mesures adéquates pour assurer la sécurité des renseignements personnels?
Le procureur rappelle que la plaignante ainsi que deux autres caissières
ont reconnu que l’information relative aux membres ne peut transiter entre les
caisses populaires. L’accès à distance entre les trois caisses populaires pour les
« Info 250 » est alors improbable. Il rappelle également que les témoins ont révélé
qu’à leur connaissance, les renseignements n’ont pas « coulé » et qu'il y a
incertitude sur un vol de documents.
PV 98 01 15
PV 98 01 16
PV 98 01 17
Le procureur rapporte que M. Daniel Rivard avait un montant d’argent à
recouvrer des plaignants et était en négociation pour racheter l’entreprise. Au
début du mois de juin 1997, M. Rivard a visité l’entreprise, la qualifiant comme
étant « son bébé ». M. Rivard a rencontré les employés, en l’absence des
plaignants, pour obtenir des informations. Ultérieurement, M. Rivard reçoit, de
façon anonyme, une enveloppe brune contenant huit à neuf feuilles lui ayant servi
à confectionner la pièce P-1. Il retient du témoignage de M. Rivard que celui-ci n’a
jamais admis ou révélé la source de ces informations.
Le procureur fait part que, dès la dénonciation des plaignants, les caisses
populaires ont mis en branle un processus pour en vérifier le bien-fondé, mais
sans résultats probants.
Y a-t-il eu « coulage » par les employés de l'entreprise? La pièce P-1
peut-elle provenir d’une « Info 250 »?
Le procureur note qu'aux mois d’avril ou mai 1997, la plaignante recevait,
à sa requête, par télécopieur, des « Info 250 ». Il remarque que Mme Tremblay n’a
jamais reproché aux caisses populaires ni à Mme Brunette la communication de ces
« Info 250 », ces derniers documents lui étant familiers, mais n'étant connus que
par des initiés. Il soutient que la plaignante conservait les « Info 250 » et que les
employés de son entreprise avaient accès à ses bureaux. Dans un contexte de
méfiance, il est probable, selon lui, que quelqu’un ait eu accès à des
renseignements au sujet des plaignants. Il reconnaît que la plaignante ne recevait
pas des « Info 250 » de la Caisse populaire Saint-Eustache, mais qu'elle
conservait toutefois avec elle son livret de ladite caisse.
Y a-t-il eu un accès aux renseignements de la Centrale de données
(pièce E-8)?
PV 98 01 15
PV 98 01 16
PV 98 01 17
Le procureur indique que la Fédération gère les systèmes informatiques
dont seuls les employés et les consultants dûment autorisés peuvent y accéder,
mais que les caisses et leurs employés n’y ont pas accès, tout comme les
employés de la Fédération ne peuvent accéder aux « Info 250 ». Il signale la
transparence des intimées qui ont révélé aux plaignants l'existence d'une demande
de crédit faite à la CIBC par le frère de M. Rivard, ce dernier ayant dit la même
chose qu’à l’enquête interne de la Fédération (pièce E-4). Il ajoute que le frère de
M. Rivard a également déclaré qu’il n’a pas eu accès, depuis 1993, à
l’environnement informatique des intimées et que ses employés détenaient ce droit
d'accès, mais qu'il a certifié n’avoir pas demandé à ses employés de le faire parce
que cela aurait été suicidaire pour son entreprise.
Le procureur plaide que M. Bélisle, tout en étant préoccupé par la
protection des renseignements personnels, a admis la faiblesse du système
informatique, ne pouvant pas identifier ou repérer un accès non autorisé au
système informatique. M. Bélisle a toutefois insisté pour mentionner avoir un
système de sécurité adéquat et révélé que le réseau informatique sera
prochainement plus sécurisé par un accès limité, par une confidentialité accrue
(pièce E-9) et par une journalisation des accès, incluant les « Info 250 ».
Le procureur réitère que tous les témoins ont souligné l’importance pour
les caisses populaires de la protection des renseignements personnels. Il signale
l’existence d’un code déontologique (pièce E-6) auquel doivent adhérer les
dirigeants et les employés réguliers ou permanents, la production d’un autre code
déontologique (pièce E-11), le dévoilement confidentiel du contrat de services liant
la Fédération avec la firme CIA (pièce E-7), le contrat de service informatique
convenu entre la Fédération et les caisses populaires, préparé à la suite de
l’entrée en vigueur de la loi (pièce E-8), l’engagement à la confidentialité au 3e
paragraphe de la pièce E-9 et les contrôles à mettre en place pour l’accès et
PV 98 01 15
PV 98 01 16
PV 98 01 17
l’utilisation des données émanant de la Division informatique (pièce E-10). Il insiste
pour dire que l’aspect confidentiel est bien présent chez les intimées, les
documents déposés traduisant cette préoccupation réelle.
Le procureur fait valoir que MM. Bélisle et St-Jacques n’ont pas eu
connaissance de l'existence « de coulage » au système central et qu'en 1997, les
mesures de sécurité, même imparfaites, étaient raisonnables.
Il soutient que les intimées ont appliqué des normes acceptables et
respecté l’article 10 de la loi et que la Commission doit prendre acte que le
système informatique sera sécurisé prochainement.
LA RÉPLIQUE DES PLAIGNANTS
Le procureur des plaignants prend acte de la bonification du système
informatique et prétend qu'en ce sens, la plainte de ses clients aura été utile. Il
retient que le système informatique n’était pas parfait en 1997 et que les intimées
auraient dû le sécuriser dès 1994-95. Il rappelle que la plaignante ne s'est jamais
servie de son livre de la Caisse populaire Saint-Eustache et que celui-ci n’était
d'ailleurs pas à jour.
LES DISPOSITIONS LÉGISLATIVES PERTINENTES
L'article 81 de la loi permet à la Commission d'enquêter sur le traitement
réservé par une entreprise à la protection des renseignements personnels détenus
dans le cadre de ses activités :
81.
La Commission peut, de sa propre initiative ou sur la
plainte d'une personne intéressée, faire enquête ou charger
une personne de faire enquête sur toute matière relative à la
protection des renseignements personnels ainsi que sur les
pratiques d'une personne qui exploite une entreprise et
recueille, détient, utilise ou communique à des tiers de tels
renseignements.
PV 98 01 15
PV 98 01 16
PV 98 01 17
À cette fin, toute personne autorisée par la Commission à
faire enquête peut:
1o avoir accès, à toute heure raisonnable, dans les
installations d'une entreprise exploitée par une personne qui
recueille, détient, utilise ou communique à des tiers des
renseignements personnels;
2o examiner et tirer copie de tout renseignement
personnel, quelle qu'en soit la forme.
Il s'agit donc de déterminer si les intimées, une entreprise telle que
définie à l'article 1 de la loi, ont communiqué à des tiers les renseignements de
nature financière concernant les plaignants que l'on retrouve à la pièce P-1 :
1.
La présente loi a pour objet d'établir, pour l'exercice
des droits conférés par les articles 35 à 40 du Code civil du
Québec en matière de protection des renseignements
personnels, des règles particulières à l'égard des
renseignements personnels sur autrui qu'une personne
recueille, détient, utilise ou communique à des tiers à
l'occasion de l'exploitation d'une entreprise au sens de
l'article 1525 du Code civil du Québec.
Elle s'applique à ces renseignements quelle que soit la
nature de leur support et quelle que soit la forme sous
laquelle ils sont accessibles: écrite, graphique, sonore,
visuelle, informatisée ou autre.
La présente loi ne s'applique pas à la collecte, la
détention, l'utilisation ou la communication de matériel
journalistique à une fin d'information du public.
1525. […]
Constitue l'exploitation d'une entreprise l'exercice, par une
ou plusieurs personnes, d'une activité économique
organisée, qu'elle soit ou non à caractère commerciale,
consistant dans la production ou la réalisation de biens, leur
administration ou leur aliénation, ou dans la prestation de
service.
Il faut rappeler que la loi, prépondérante sur les autres lois ou ententes en
vertu de l'article 94, prévoit, aux articles 13, 14 et 18, les principales règles
régissant la communication ou l'utilisation de renseignements à la plainte sous
étude :
13.
Nul ne peut communiquer à un tiers les
renseignements personnels contenus dans un dossier qu'il
détient sur autrui ni les utiliser à des fins non pertinentes à
l'objet du dossier, à moins que la personne concernée n'y
consente ou que la présente loi le prévoit.
PV 98 01 15
PV 98 01 16
PV 98 01 17
14.
Le consentement à la communication ou à
l'utilisation d'un renseignement personnel doit être
manifeste, libre, éclairé et être donné à des fins spécifiques.
Ce consentement ne vaut que pour la durée nécessaire à la
réalisation des fins pour lesquelles il a été demandé.
Un consentement qui n'est pas donné conformément au
premier alinéa est sans effet.
18.
Une personne qui exploite une entreprise peut, sans
le consentement de la personne concernée, communiquer
un renseignement personnel contenu dans un dossier
qu'elle détient sur autrui:
1o à son procureur;
2o au procureur général si le renseignement est requis
aux fins d'une poursuite pour infraction à une loi applicable
au Québec;
3o à une personne chargée en vertu de la loi de
prévenir, détecter ou réprimer le crime ou les infractions aux
lois, qui le requiert dans l'exercice de ses fonctions, si le
renseignement est nécessaire pour la poursuite d'une
infraction à une loi applicable au Québec;
4o à une personne à qui il est nécessaire de
communiquer le renseignement dans le cadre de
l'application de la loi ou d'une convention collective et qui le
requiert dans l'exercice de ses fonctions;
5o à un organisme public au sens de la Loi sur l'accès
aux documents des organismes publics et sur la protection
des renseignements personnels (L.R.Q., chapitre A-2.1) qui,
par l'entremise d'un représentant, le recueille dans l'exercice
de ses attributions ou la mise en oeuvre d'un programme
dont il a la gestion;
6o à une personne ou à un organisme ayant pouvoir de
contraindre à leur communication et qui les requiert dans
l'exercice de ses fonctions;
7o à une personne à qui cette communication doit être
faite en raison d'une situation d'urgence mettant en danger
la vie, la santé ou la sécurité de la personne concernée;
8o à une personne qui est autorisée à utiliser ce
renseignement à des fins d'étude, de recherche ou de
statistique conformément à l'article 21;
9o à une personne qui, en vertu de la loi, peut recouvrer
des créances pour autrui et qui le requiert dans l'exercice de
ses fonctions;
10o à une personne conformément à l'article 22 s'il s'agit
d'une liste nominative.
La personne qui exploite une entreprise doit inscrire toute
communication faite en vertu des paragraphes 6o à 10o du
premier alinéa. Cette inscription est considérée faire partie
du dossier.
Les personnes visées aux paragraphes 1o et 9o du
premier alinéa qui reçoivent communication de
renseignements peuvent communiquer ces renseignements
dans la mesure où cette communication est nécessaire,
dans l'exercice de leurs fonctions, à la réalisation des fins
pour lesquelles elles en ont reçu communication.
Une agence d'investigation ou de sécurité qui est titulaire
d'un permis conformément à la Loi sur les agences
d'investigation ou de sécurité (L.R.Q., chapitre A-8) ou un
organisme ayant pour objet de prévenir, détecter ou réprimer
le crime ou les infractions à la loi et une personne qui
PV 98 01 15
PV 98 01 16
PV 98 01 17
exploite une entreprise peuvent, sans le consentement de la
personne concernée, se communiquer les renseignements
nécessaires à la conduite d'une enquête visant à prévenir,
détecter ou réprimer un crime ou une infraction à une loi. Il
en est de même, entre personnes qui exploitent une
entreprise, si la personne qui communique ou recueille de
tels renseignements a des motifs raisonnables de croire que
la personne concernée a commis ou est sur le point de
commettre, à l'égard de l'une ou l'autre des personnes qui
exploitent une entreprise, un crime ou une infraction à une
loi.
94. Les dispositions de la présente loi prévalent sur celles
d'une loi générale ou spéciale postérieure qui leur seraient
contraires, à moins que cette dernière loi n'énonce
expressément s'appliquer malgré la présente loi.
Toutefois elles n'ont pas pour effet de restreindre la
protection des renseignements personnels ou l'accès d'une
personne concernée à ces renseignements, résultant de
l'application d'une autre loi, d'un règlement, d'un décret,
d'une convention collective, d'un arrêté ou d'une pratique
établie avant l'entrée en vigueur du présent article.
LA DISCUSSION SUR LES TÉMOIGNAGES
Il n'est pas contesté que M. Daniel Rivard a déposé la pièce P-1 auprès
du syndic responsable de la faillite de son ancienne entreprise, renfermant des
informations exhaustives sur les biens inscrits à chaque compte bancaire détenu
par les intimées au sujet des plaignants. M. Rivard atteste aux enquêteurs de la
Fédération, par déclaration assermentée le 29 octobre 1997, avoir reçu par la
poste, sans le demander, les états de comptes des plaignants « de quelqu'un qui
voulait m'aider mais j'ignore qui c'est » et qu'« il y avait aucune indication me
démontrant que les états de compte venaient de Desjardins » (pièce E-5). Il a
réitéré à l'audience avoir confectionné la pièce P-1 à l'aide de documents reçus de
façon anonyme. Il maintient essentiellement la même déclaration lorsque interrogé
par les procureurs des parties et la Commission.
Mme Tremblay, plaignante et ancienne employée d'une caisse populaire,
prétend que les renseignements inscrits à la pièce P-1 n'ont pu être obtenus par
M. Rivard que par l'accès de celui-ci à ses « Info 250 ». Elle a reconnu avoir
PV 98 01 15
PV 98 01 16
PV 98 01 17
sollicité à plusieurs reprises les intimées pour recevoir, par télécopie à ses bureaux
chez l'entreprise, ce dernier type de renseignement. Elle certifie que l'accès au
télécopieur de l'entreprise lui est réservé et les renseignements ainsi reçus des
intimées, traités de façon confidentielle. Elle conserve le relevé obtenu par
télécopie, déclare-t-elle, jusqu'au moment où les intimées lui confirment, par envoi
postal, les modifications qu'elle a apportées à ses placements. Elle mentionne, tout
comme M. Fleury, que les employés et les clients circulent pour affaires dans les
bureaux de leur entreprise.
Mmes Isabelle Brunette et Ginette Cusson, conseillères financières,
responsables du dossier des plaignants pour les intimées, ont déclaré avoir déjà
transmis à plusieurs reprises, par télécopieur, des informations de nature
financière au sujet des plaignants, à la requête expresse de Mme Tremblay, mais
qu'elles n'ont jamais donné à M. Daniel Rivard lesdites informations. Mme Brunette
spécifie que l'existence des « Info 250 » n'est connue que par des personnes
initiées au fonctionnement des caisses populaires et qu'elle les déchiquetait
immédiatement après utilisation. Mme Cusson a signalé bien connaître la
plaignante et lui avoir acheminé les « Info 250 » sur la simple reconnaissance de
sa voix.
M. Ghyslain Rivard, président de l'entreprise CIA, a reconnu son lien
d'affaires avec la Fédération, le contrat le liant avec le Mouvement Desjardins,
l'accès de ses employés au système informatique des intimées et la demande
d'étude de crédit faite par son intermédiaire à la CIBC. Il a déclaré ne plus avoir
accès au système informatique depuis 1993, ni requis de ses employés, ayant
signé en annexe au contrat le liant à la Fédération un engagement à la
confidentialité, de lui obtenir copie des « Info 250 » au sujet des plaignants, ni
transmis celles-ci à son frère, et ce, au risque de perdre un contrat important.
PV 98 01 15
PV 98 01 16
PV 98 01 17
M. Jean-Noël Bélisle, responsable de l'entrepôt des données à la
Fédération, a, pour sa part, expliqué le fonctionnement du réseau informatique de
la Fédération et celui des caisses populaires. Il a déclaré que son unité
administrative ne détient aucune journalisation lui permettant de retrouver les
personnes ayant accédé aux « Info 250 » chez les intimées, la journalisation des
accès n'étant faite que par la caisse populaire concernée et conservée par elle
pour une période maximale de 30 jours.
M. Roch St-Jacques, commissaire aux plaintes, a déclaré que l'enquête
spécifique portant sur l'objet de la présente plainte, tenue avec l'aide des trois
dirigeants des caisses populaires visées, de l'enquêteur desdites caisses et d'un
expert en informatique, n'a pu conclure d'où provenaient les renseignements
détenus par M. Daniel Rivard. Il a également certifié que les intimées n'avaient
plus la journalisation des personnes ayant accédé aux « Info 250 », celles-ci étant
détruites dans les 30 jours.
LA PREUVE DOCUMENTAIRE
La preuve documentaire démontre que chaque employé des intimées doit
signer un document, intitulé « Accusé de réception de l'employé de la caisse », par
lequel il déclare avoir reçu un exemplaire du Code de déontologie (1991) et
s'engage à en prendre connaissance (pièce E-6 en liasse), ce que nous a d'ailleurs
confirmé
Mme
Tremblay.
Ledit
Code
de
déontologie
définit
le
terme
« renseignement » et énonce certaines des règles en ce qui a trait à sa
communication :
1.1.
[…]
s)
Toute information verbale ou écrite détenue par la
Caisse, sur support papier, informatique ou autre, de quelque
nature que ce soit;
[…]
PV 98 01 15
PV 98 01 16
PV 98 01 17
3.1.
Tout renseignement relié à un membre, incluant le fait
même d'être membre, est confidentiel. Aucune divulgation
n'est permise sans le consentement de la personne
concernée, à moins que ces renseignements ne soient de
notoriété publique, qu'ils ne soient requis par une loi ou une
ordonnance d'un tribunal ou qu'ils ne soient l'objet d'un
accord inclus dans une entente ou un contrat signé avec le
membre.
[…]
3.3.
L'employé est tenu de respecter les règles
déontologiques et, de façon générale, de souscrire aux règles
de divulgation applicables en les circonstances, et ce même
après avoir cessé d'occuper son emploi.
3.4.
L'accès aux renseignements est restreint aux
personnes dont le travail l'exige. Aucun renseignement ne
sera accessible sans que soit auparavant vérifiée l'identité du
requérant et établi son droit à obtenir ce renseignement.
[…]
3.7.
Afin d'assurer la protection des documents contre la
consultation ou la divulgation non autorisée ainsi que contre
les dangers de dommages matériels ou de destruction, les
documents doivent être gérés, conservés et détruits
conformément aux règlements de la Confédération.
Il en est de même des employés de la Fédération ayant accès à la
Centrale de données (pièce E-9) et de la firme CIA et ses employés, nommément
désignés contractuellement, énonçant que les informations demeurent la propriété
des intimées ainsi qu'une interdiction de « divulguer à qui que soit, sans
l'autorisation expresse de la confédération, toute information portée à sa
connaissance ». Les employés du sous-contractant signent en annexe au contrat
un engagement à la confidentialité (pièces E-7 et E-8 remises confidentiellement).
L'APPRÉCIATION
La Commission est d'avis que la preuve ne permet pas de façon
prépondérante de déterminer s'il y a eu communication d'« Info 250 » ou de
renseignements au sujet des plaignants de la part des intimées, ni d'ailleurs des
employés de l'entreprise Finition Daniel Rivard (1991) inc., ni de la firme CIA, ni
même des plaignants. Bien que nous soyons conscients qu'il s'agit en la présente
PV 98 01 15
PV 98 01 16
PV 98 01 17
d'un cas d'espèce, en raison de la rareté de la circulation d'une « Info 250 », il se
dégage au moins une certitude, reconnue par toutes les parties : M. Rivard détient
des renseignements personnels détaillés au sujet des plaignants.
La Commission déplore qu'un individu, indépendamment du motif à la
source de sa collecte de renseignements, puisse colliger autant d'informations que
celles détenues par M. Rivard. D'autant plus que, bien que différents dans ce casci, les événements récents de l'actualité nous rappellent avec acuité l'impact
inapproprié que revêt une communication de renseignements personnels sans
autorisation des personnes concernées à des fins autres pour lesquelles ils sont
recueillis.
La Commission a déjà eu l'occasion de signaler qu'une plus grande
circulation de l'information entraîne inexorablement un risque plus grand
d'échappement à la confidentialité. Au présent dossier, il est évident que les
plaignants ont requis des intimées, à plusieurs reprises, que leur soient
communiquée, par télécopie, la liste complète de renseignements financiers les
concernant, et ce, vu la preuve, à un endroit où circulaient employés et clients. Les
intimées, pour leur part, ne se sont pas assurées à toutes les fois que les envois
par télécopie étaient bien reçus par la personne devant les recevoir.
L'enseignement à tirer de la présente est qu'aucune personne n'est à
l'abri d'une communication de renseignements à son sujet sans réelle et
continuelle préoccupation de tous les acteurs d'assurer une meilleure protection
desdits renseignements qu'elle détient ou reçoit.
La Commission souligne la collaboration et la transparence dont ont fait
preuve les intimées dans la recherche de la vérité dans le cadre de la présente
enquête. La franchise s'est notamment illustrée lorsque la personne responsable
PV 98 01 15
PV 98 01 16
PV 98 01 17
du réseau informatique pour la Fédération et les caisses populaires a révélé
l'imperfection dudit système pour repérer adéquatement si l'un de leurs employés a
un accès ou a établi une communication de renseignements non autorisée par ses
fonctions au sujet d'un membre. Il nous a été soumis que la mise à jour du
système informatique, au mois de mars 2002, comblerait les lacunes observées
sur le sujet.
En outre, nous avons relevé qu'il n'existe pas d'outils probants chez les
intimées leur permettant de continuellement sensibiliser les employés à la
protection des renseignements personnels, à la sécurité de l'information et aux
procédures de sécurité. De cette situation, il faut préalablement, croyons-nous, que
l'entreprise valide les renseignements que peuvent obtenir les employés par un
code lui permettant de les identifier spécifiquement, par un rappel constant des
règles régissant la protection des renseignements personnels, et non seulement
un engagement à prendre connaissance du Code de déontologie (pièce E-6), et
par une mise à jour de la façon dont l'on doit traiter la communication par télécopie.
Sur ce dernier sujet, tant les plaignants, dirigeant à l'époque une entreprise, que
les intimées doivent s'inspirer de la fiche Contact, intitulée « Utilisation des
télécopieurs », produite par la Commission en 1995 et toujours d'actualité, traitant
de l'installation, de l'emplacement et des obligations des parties lors de l'envoi
d'une télécopie.
POUR CES MOTIFS, LA COMMISSION :
PREND ACTE que le système informatique des intimées pourra, dès le
mois de mars 2002, notamment établir une nouvelle journalisation des accès;
DÉCLARE la plainte non fondée;
PV 98 01 15
PV 98 01 16
PV 98 01 17
RECOMMANDE aux intimées d'établir une procédure de contrôle et
d'authentification des personnes ayant accès à leur système informatique;
RECOMMANDE aux intimées de définir les paramètres d'autorisation des
accès au système informatique, de prévoir une mise à jour périodique des droits
d'accès et de désigner, le cas échéant, une personne en autorité responsable
localement de celle-ci;
RECOMMANDE que les employés soient continuellement sensibilisés à
la protection des renseignements personnels, à la sécurité de l'information, aux
procédures de sécurité et aux sanctions conséquentes de l'inobservance des
règles établies;
RECOMMANDE aux intimées de rappeler aux employés les exigences et
les précautions à prendre en cas de transmission de renseignements personnels
par télécopieur;
RECOMMANDE que les intimées remettent à leurs mandataires ayant
accès aux renseignements personnels les dispositions de la loi assurant le
caractère confidentiel des renseignements, la non-communication sans le
consentement de la personne concernée et les mesures qu'ils doivent prendre en
regard de leur utilisation et conservation; et
RECOMMANDE aux intimées de faire signer spécifiquement un
engagement à la confidentialité aux mandataires et à toute personne qui aura
accès aux renseignements personnels dans le cadre de ses fonctions.
MICHEL LAPORTE
Commissaire
PV 98 01 15
PV 98 01 16
PV 98 01 17
HÉLÈNE GRENIER
Commissaire
CHRISTIANE CONSTANT
Commissaire
Montréal, le 22 mars 2002
Me Michel Charbonneau
Procureur des plaignants
Me François Bouthillier
Procureur des intimées