Exemples de cas

Trois conseils scolaires, un collège et deux universités ont communiqué avec le CIPVP pour signaler une attaque par rançongiciel sur guard.me. Guard.me, une société tierce qui fournit de l’assurance aux élèves et étudiants étrangers qui fréquentent ces institutions, a été victime d’une attaque par rançongiciel qui a touché les renseignements personnels de certains élèves et étudiants.

À cette époque, de nombreux élèves et étudiants étrangers de ces établissements étaient tenus de fournir des renseignements personnels à guard.me, ou encouragés à le faire, pour recevoir une assurance obligatoire. Dans la plupart des cas, ils fournissaient leurs renseignements pour les demandes de règlement à guard.me et l’établissement ne donnait que des renseignements limités pour l’inscription. Pendant son examen, le CIPVP a constaté que certains établissements n’avaient pas conclu d’entente contractuelle avec guard.me pour assurer la confidentialité et la sécurité des renseignements personnels divulgués à cette compagnie. En outre, certains établissements n’avaient pas obtenu le consentement des élèves et étudiants ni fourni à ceux-ci un avis clair avant de fournir à guard.me des renseignements personnels qui les concernaient. Après notre examen, les établissements ont apporté les changements que nous avons proposés pour combler ces lacunes, entre autres, ou se sont engagés à le faire.

Au cours d’une période de deux mois, une ville a reçu d’une clinique juridique des demandes de renseignements sur la pauvreté, l’itinérance, les campements et la prévention des surdoses ainsi que des données fondées sur la race. La ville a rejeté sur-le-champ cinq des demandes qu’elle jugeait frivoles ou vexatoires. Les parties ont convenu de participer à un projet pilote de médiation accélérée et sont parvenues à résoudre rapidement les questions en litige. Pendant la téléconférence, l’appelant a mieux expliqué le genre de renseignements qu’il recherchait et la ville lui a donné des conseils sur la façon de reformuler sa demande en fournissant des mots-clés et en précisant des périodes. À la suite de la médiation, quatre appels ont été réglés le jour même, et le cinquième, un peu plus tard.

Après avoir appris qu’un dépositaire de renseignements sur la santé vendait prétendument des renseignements personnels sur la santé anonymisés à une tierce partie, le CIPVP a ouvert une enquête. Nous avons constaté que l’anonymisation des renseignements personnels sur la santé est une utilisation permise sans consentement en vertu de la LPRPS, mais sous réserve de certaines conditions; il faut notamment faire preuve de transparence et prendre des mesures de précaution. Nous avons conclu que les dépositaires qui comptent anonymiser des données et les vendre doivent l’indiquer clairement et explicitement dans leurs avis publics aux particuliers. Les obligations des dépositaires en matière de sécurité exigent également qu’ils prennent des mesures pour protéger et sécuriser les renseignements personnels sur la santé dont ils ont la garde, y compris pendant et après le processus d’anonymisation. Entre autres choses, les contrats de vente conclus avec des tiers doivent prévoir des mesures de sécurité et de protection de la vie privée suffisantes pour que les données anonymisées restent anonymisées, notamment un processus rigoureux de gestion de l’anonymisation comportant des évaluations régulières du risque de désanonymisation.

Au cours d’une période relativement brève, les auteurs de demande ont déposé des dizaines de demandes complexes, très détaillées et très redondantes pour obtenir l’accès à des documents concernant une poursuite en recours collectif intentée contre une ville. Les auteurs de la demande représentaient les plaignants dans cette poursuite. La ville a refusé d’accorder l’accès demandé qu’elle jugeait frivole ou vexatoire, et les auteurs de la demande ont interjeté appel. L’arbitre a jugé que la conduite des appelants, à savoir le dépôt d’un nombre très élevé de demandes détaillées et répétitives, constituait un recours abusif au droit d’accès prévu dans la LAIMPVP et que les demandes étaient frivoles ou vexatoires. L’arbitre a confirmé les décisions de la ville de rejeter les demandes et a imposé des restrictions aux futures demandes d’accès et aux futurs appels des appelants.