![]() ![]() ![]() |
![]() |
![]() |
![]() |
![]() ![]() ![]() ![]() ![]() |
|
![]() |
![]() |
|
![]() |
![]() ![]() ![]() ![]() ![]() |
![]() |
![]() Résumé de conclusions d'enquête en vertu de la LPRPDÉ #348Communication inappropriée d'un diagnostic, mais la compagnie d'assurances maintient que ses politiques et ses pratiques concernant la protection des renseignements personnels sont transparentes[Principes 4.3, 4.8 et 4.8.2] Un jour, pendant qu’elle se trouvait dans le bureau d’une collègue qui était administratrice des avantages sociaux pour l’employeur de la plaignante, cette dernière a appris que des renseignements médicaux très confidentiels qui la concernaient avaient été laissés dans un message sur la boîte vocale de l’administratrice des avantages sociaux par une employée de la compagnie d’assurances qui verse des prestations au nom de l’employeur de la plaignante. L’employée de la compagnie d’assurances a immédiatement constaté son erreur et cette dernière a écrit à la plaignante pour s’en excuser et lui faire part des mesures qu’elle avait prises pour remédier à la situation. Cependant, la plaignante estimait qu’on aurait dû lui dire de porter la question à l’attention de l’agent de la compagnie d’assurances responsable de la protection des renseignements personnels et affirmait que la compagnie manquait de transparence dans ses politiques et pratiques concernant la protection des renseignements personnels. La commissaire adjointe à la protection de la vie privée a convenu que la communication était inappropriée, mais elle a fait remarquer que la compagnie avait adopté plusieurs mesures pour corriger le problème. En outre, elle ne partageait pas l’opinion de la plaignante selon qui les politiques et les pratiques de la compagnie concernant la protection des renseignements personnels manquent de transparence. Voici un aperçu détaillé de l’enquête et des conclusions de la commissaire adjointe.Résumé de l’enquêteLa plaignante se trouvait dans le bureau de l’administratrice des avantages sociaux de son employeur, quand on lui a demandé d’écouter un message vocal concernant une réclamation qu’elle avait déposée un mois auparavant. L’administratrice des avantages sociaux trouvait que le message était difficile à comprendre et qu’on semblait faire état de dates qui ne coïncidaient pas avec celles de la dernière réclamation de la plaignante. Étant donné que celle‑ci se trouvait dans son bureau à ce moment‑là, l’administratrice a demandé à la plaignante d’écouter le message. La personne qui téléphonait semblait faire référence à une réclamation déposée un an auparavant. Cependant, tant la plaignante que l’administratrice des avantages sociaux avaient de la difficulté à la comprendre. Par la suite, les deux se sont rendu compte que la personne qui téléphonait faisait référence à un diagnostic concernant une réclamation antérieure. Les deux étaient renversées de constater que la personne qui téléphonait avait révélé de tels renseignements. L’administratrice des avantages sociaux s’est excusée auprès de la plaignante, lui disant qu’elle aborderait la question avec la compagnie d’assurances et lui promettait de ne communiquer les renseignements à personne d’autre. Elle a envoyé un courriel à une personne qu’elle connaissait à la compagnie d’assurances le jour ouvrable suivant et comme la personne qui connaissait l’administratrice des avantages sociaux n’avait pas besoin d’entendre le message, l’administratrice des avantages sociaux n’a pas produit de transcription du message et l’a effacé. Elle a confirmé que seulement elle et la plaignante avaient entendu le message téléphonique. Selon l’administratrice des avantages sociaux, les communications entre la compagnie d’assurances et l’employeur de la plaignante se limitent habituellement au dévoilement, par l’administratrice des avantages sociaux à la compagnie d’assurances, de détails comme les dates d’embauche de l’employée, les dates d’invalidité et les dates de retour au travail. Les conversations téléphoniques ne portent pas en général sur le diagnostic, les traitements ou les médicaments. La plaignante a porté la question à l’attention d’un cadre supérieur au travail. Cette personne a communiqué avec un cadre supérieur de la compagnie d’assurances qui a écrit à la plaignante pour s’excuser de l’incident, précisant que l’employée, même si elle était bien intentionnée, s’était rendu compte de son erreur après avoir fait l’appel téléphonique. Le cadre supérieur a informé la plaignante que l’employée comprenait tout à fait l’ampleur de son erreur. La responsable de la compagnie d’assurances a décrit les mesures que celle‑ci avait prises pour s’assurer qu’un tel incident ne se reproduise pas. Elle a décrit la politique et le code régissant la protection des renseignements personnels de la compagnie d’assurances, qui sont examinés avec le personnel responsable des demandes de pensions d’invalidité à divers moments au cours de l’année. Elle a précisé toutefois que par suite de l’erreur, la compagnie d’assurances revoyait actuellement sa politique avec la participation directe de tout le personnel. En outre, le programme de formation destiné au personnel de soutien a été amélioré pour que la formation sur la politique et le code concernant la protection des renseignements personnels soit examinée plus tôt et plus en détail qu’auparavant. Peu de temps après, la plaignante a écrit au responsable de la protection des renseignements personnels de la compagnie d’assurances concernant la gravité de la communication. Ce qui l’inquiétait, c’est qu’on ne lui ait pas dit qu’elle aurait dû contacter cette personne responsable de la protection des renseignements personnels de la compagnie au sujet de la situation. Ce dernier a écrit à la plaignante pour s’excuser de la communication. Il a admis que les renseignements médicaux n’auraient jamais dû être mentionnés dans le message vocal et que, « en tentant d’expliquer la raison pour laquelle on avait besoin de précisions sur les dates, l’information sur le diagnostic avait été révélée par erreur ». Nous avons demandé des renseignements supplémentaires sur la façon dont la compagnie d’assurances a abordé l’incident à l’interne. L’employée en question a rencontré sa gestionnaire, qui a insisté à nouveau sur l’importance de la protection des renseignements personnels et sur la gravité du non‑respect de cette politique. Le tout a été suivi d’une réunion avec tous les membres de l’équipe que l’incident concernait. Les lignes directrices de la compagnie sur la protection des renseignements personnels ont été examinées. On a insisté sur la question de savoir à qui l’on doit s’adresser concernant les réclamations et quels renseignements doivent être révélés. Plus tard au cours du même mois, des réunions ont eu lieu avec les personnes responsables de la section des demandes d’invalidité et de la section de la formation pour discuter des documents de formation, afin de s’assurer qu’ils traitent bien des directives relatives à la protection des renseignements personnels, peu importe le contenu du document actuel de formation. Une réunion de suivi entre les représentants de ces deux groupes a confirmé que les formateurs insistent maintenant beaucoup plus sur les lignes directrices sur la protection des renseignements personnels. Le Commissariat a examiné certains des documents de formation qui concernent la nature de la plainte. Ces documents concernent le consentement, la façon de traiter les incidents touchant la protection des renseignements personnels (comment acheminer les problèmes aux autorités supérieures et comment ces problèmes sont traités à cet échelon) et le code de conduite de la compagnie, que les employés doivent examiner et signer tous les ans. Le Code renferme les 10 principes concernant la protection des renseignements personnels inclus à l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. Les employés sont informés des règles concernant la protection des renseignements personnels, y compris des conseils pertinents, et peuvent faire un apprentissage interactif en ligne pour évaluer leurs connaissances. La compagnie d’assurances a fait remarquer que sa politique et son code sur la protection des renseignements personnels se trouvent sur son site Web et qu’on y trouve aussi les coordonnées téléphoniques d’une personne‑ressource ainsi que l’adresse courriel de la personne responsable de la protection des renseignements personnels. Les clients reçoivent une brochure sur la question depuis 2003, soit directement du siège social, soit par l’entremise des partenaires de distribution de la compagnie d’assurances. Si une personne utilise le numéro de téléphone général de la compagnie concernant un problème spécifique sur la protection des renseignements personnels, la personne sera renvoyée à l’agent responsable de la protection des renseignements personnels de la section en question. Si la personne qui téléphone demande à parler à l’agent responsable de la protection des renseignements personnels, son appel sera transmis à cet agent. La compagnie d’assurances fournit également des renseignements sur la protection des renseignements personnels (y compris son numéro de téléphone sans frais, son adresse postale, son adresse courriel et son site Web) dans les brochures destinées aux membres. Ces brochures servent de guide de référence pour les régimes d’avantages sociaux et les promoteurs doivent remettre une brochure à chaque membre du régime. L’employeur de la plaignante avait remis à celle‑ci un exemplaire de la brochure.ConclusionsRendues le 14 août 2006 Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.8 énonce qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Quant au principe 4.8.2, il stipule les renseignements qui doivent être fournis et précise que l’on doit inclure le nom ou la fonction de même que l’adresse de la personne responsable de la politique et des pratiques de l’organisation et à qui il faut acheminer les plaintes et les demandes de renseignements. Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :
Compte tenu des éléments ci‑dessus, la commissaire adjointe a conclu que la plainte concernant la communication est fondée et résolue.
Par conséquent, la commissaire adjointe conclut que la plainte concernant la transparence est non fondée. |
![]() |
||||
Date de diffusion : 2006-11-01 |
![]() |
Avis importants |