Enjeux des consommateurs relatifs au secteur des services financiers
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Comité sénatorial permanent des banques et du commerce
Le 16 février 2005
Ottawa (Ontario)
Allocution d'ouverture prononcée par Heather Black
Commissaire adjointe à la protection de la vie privée du Canada
(LE TEXTE PRONONCÉ FAIT FOI)
Je vous remercie de nous avoir invités à faire des observations sur les enjeux relatifs au secteur des services financiers.
Mes commentaires porteront aujourd'hui sur l'application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au secteur bancaire.
La LPRPDE s'applique aux banques et aux autres entreprises fédérales, comme les télécommunications et les entreprises de transport aérien depuis son entrée en vigueur le 1er janvier 2001.
Plus précisément, le Commissariat à la protection de la vie privée a compétence à l'égard de quelque 50 banques figurant aux annexes 1 et 2 de la Loi sur les banques.
Depuis le 1er janvier 2004, la LPRPDE s'applique aussi aux institutions financières telles que les sociétés de fiducie, les compagnies d'assurance et les coopératives de crédit exploitant leur entreprise dans des provinces n'ayant pas adopté une loi essentiellement similaire à la loi fédérale. Dans les provinces qui ont une loi essentiellement similaire — le Québec, l'Alberta et la Colombie-Britannique — la loi provinciale sur la protection des renseignements personnels s'applique.
Mes observations porteront davantage sur les banques parce que, comme je l'expliquerai dans un instant, nous avons beaucoup plus d'expérience auprès des banques que des autres institutions financières.
Vous savez sans doute mieux que nous que les banques sont régies par un cadre réglementaire complexe composé d'exigences législatives ayant une incidence sur leurs pratiques relatives au traitement des renseignements personnels. Par exemple, en plus de la Loi sur les banques et du Règlement sur l'accès aux services bancaires de base adopté en vertu de la Loi sur les banques, les banques sont visées par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Les banques doivent aussi se conformer à des obligations internationales « connaissez votre client » comme celles qui sont établies par le Basel Committee on Banking Supervision. De plus, nous savons très bien que nous ne sommes que l'un des organismes qui ont une responsabilité de surveillance à l'égard des institutions financières.
Dans nos rapports avec les banques, nous devons souvent tenir compte de ces exigences concurrentes. Par exemple, nous avons récemment traité des plaintes concernant une banque qui a envoyé à ses clients une lettre-type leur demandant d'indiquer s'ils étaient des citoyens américains. Il s'est avéré qu'en raison d'un changement apporté à la structure de son capital, la banque est maintenant désignée « société étrangère contrôlée » aux fins de la législation américaine de l'impôt sur le revenu. Par conséquent, elle doit déclarer au Internal Revenue Service des États-Unis les intérêts perçus sur les comptes de dépôt personnels des titulaires de compte qui sont connus comme étant des citoyens américains ou qui sont présumés l'être.
Depuis l'entrée en vigueur de la LPRPDE, nous recevons plus de plaintes à propos des banques que de tout autre secteur de l'industrie. En 2002, 42 % des plaintes déposées en vertu de la LPRPDE visaient des banques; en 2003, le pourcentage a diminué légèrement pour s'établir à 37 %. En 2004, les banques ont continué à occuper la tête du palmarès même si le champ d'application de la loi a été étendu pour inclure un éventail plus vaste d'entreprises.
À notre avis, il ne faut pas attacher trop d'importance à ces statistiques. Dans l'ensemble, les banques canadiennes sont sensibilisées à la protection de la vie privée et protègent les renseignements personnels depuis longtemps. Le nombre relativement élevé de plaintes s'explique en partie par l'omniprésence des banques. En effet, presque toutes les Canadiennes et tous les Canadiens possèdent un compte de banque, et bon nombre d'entre eux sont titulaires de cartes de crédit émises par une banque et ont contracté une hypothèque ou un autre type de prêt bancaire. En outre, je crois que le volume de plaintes indique que la plupart des Canadiennes et des Canadiens partagent notre point de vue, soit que les renseignements financiers personnels sont extrêmement délicats et méritent d'être traités avec le plus grand soin.
Bon nombre de ces plaintes portent sur des problèmes ponctuels — un employé négligent ou trop zélé qui a communiqué des renseignements sans consentement ou qui a utilisé des renseignements personnels sans consentement — et non sur des problèmes systémiques concernant les politiques des banques.
La meilleure façon de vous donner une idée de la manière dont la loi est appliquée aux banques et dont nous traitons les plaintes est peut-être de vous exposer brièvement deux problèmes systémiques qui ont été soulevés dans le secteur bancaire et de vous expliquer comment ils ont été résolus.
Nous avons reçu deux plaintes de particuliers qui soutenaient qu'une banque avait exigé, à titre de condition préalable à l'ouverture d'un nouveau compte de dépôt, qu'ils fassent l'objet d'une vérification de crédit même s'ils n'avaient pas fait de demande de crédit. À première vue, cette plainte soulevait des questions concernant le respect par la banque de la LPRPDE qui interdit aux organismes de recueillir des renseignements personnels qui ne sont pas nécessaires.
Bien que la banque affirme n'avoir utilisé l'information du bureau de crédit que pour confirmer l'identité du client et vérifier les bases de données portant sur les fraudes, nous avons déterminé que le système utilisé visait à vérifier sur les renseignements du particulier à l'égard de son crédit.
Dans le cadre de notre enquête, nous avons consulté un rapport intitulé « La diligence raisonnable des banques envers les clients (Customer due diligence for banks) » publié par le Basel Committee on Banking Supervision et le Règlement sur l'accès aux services bancaires de base pris en vertu de la Loi sur les banques, qui est entré en vigueur le 30 septembre 2003.
La commissaire a conclu que les plaintes étaient fondées. Nous avons recommandé que la banque n'enquête pas sur l'admissibilité au crédit d'un particulier à moins que celui-ci fasse une demande de crédit.
Nous avons reconnu que les banques ont l'obligation de réduire le risque de fraude et avons recommandé qu'elles mettent en place une procédure permettant aux particuliers qui désirent ouvrir un compte de dépôt personnel sans faire l'objet d'une vérification de crédit de le faire en acceptant des conditions visant à réduire les risques, comme une période de retenue des chèques déposés.
Je viens de simplifier grandement une question fort complexe, mais je voulais vous parler de ces plaintes parce que nos conclusions ont permis d'établir le principe selon lequel les particuliers peuvent ouvrir des comptes « ordinaires » en fournissant un nombre minimal de renseignements personnels.
Nous avons également fait enquête sur des plaintes concernant des banques qui enregistraient les conversations téléphoniques qu'elles avaient avec leurs clients. Il s'agit là d'une pratique répandue dans de nombreux organismes.
Nous avons rejeté la position adoptée par une banque, soit qu'une seule partie devait consentir aux appels enregistrés, dans le cas présent, l'agent du service à la clientèle de la banque. Nous sommes d'avis qu'il est approprié d'enregistrer les renseignements échangés dans le cadre d'une conversation d'affaires, à la fois pour protéger l'organisme et le particulier. Toutefois, il faut tenir compte des attentes raisonnables du client et la plupart des personnes souhaitent savoir au préalable que leur appel sera enregistré.
Dans ces cas, les banques ne répondaient vraiment pas à ces attentes et n'avaient pas obtenu le consentement du particulier pour enregistrer les appels, ce qui contrevient au principe du consentement de la LPRPDE.
Afin d'aider les organismes à se conformer à la loi, le Commissariat a élaboré des lignes directrices sur les « pratiques exemplaires » visant l'enregistrement des appels téléphoniques de clients. Pour l'essentiel, ces lignes directrices précisent que les conversations ne devraient pas être enregistrées à moins que ce soit à des fins qu'une personne raisonnable jugerait appropriées dans les circonstances et que le client doit être informé de ces fins et y consentir, sauf dans des certains cas d'exception où le consentement n'est pas requis, avant le début de l'enregistrement. Nous recommandons également d'offrir aux clients une solution de rechange, soit de se rendre à un point de service, d'envoyer une lettre ou de procéder à la transaction par l'Internet.
Les banques concernées appliquent maintenant les lignes directrices du Commissariat. J'ai choisi ces deux exemples parce qu'ils illustrent comment nous avons eu recours à la LPRPDE pour convaincre les banques de changer leurs pratiques afin de mieux protéger les renseignements personnels.
En terminant, j'aimerais remercier les membres du Comité pour nous avoir donné l'occasion de comparaître. Je vous remercie de nous avoir consacré votre temps aujourd'hui.
J'aurais le plaisir de répondre à vos questions.
- Date de modification :