Sélection de la langue

Recherche

Une banque offre un bon-cadeau de 20 $ en guise d'indemnisation pour violation des renseignements personnels

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-33

[principes 4.5 et 4.7 de l'annexe 1; et paragraphe 5(3)]

Plainte

Une cliente s'est plainte que sa banque ait indûment communiqué ses renseignements personnels, spécifiquement une indication de sa faillite récente, dans la fenêtre d'adresse de son relevé de compte.

Résumé de l'enquête

La plaignante avait reçu par la poste ordinaire un relevé de compte de la banque en question. Elle était troublée de voir, dans la fenêtre d'adresse de l'enveloppe scellée, une notation indiquant qu'elle était faillie depuis une certaine date. Étant donné les liens étroits unissant les résidants de sa petite collectivité, la plaignante craignait que d'autres personnes de sa connaissance, et en particulier le maître de poste, n'aient remarqué la mention de l'affaire financière privée que constituait sa faillite récente. Lorsqu'elle s'est plainte directement, la banque a présenté des excuses verbales et un bon-cadeau de 20 $ à valoir dans un grand magasin. Jugeant cette réponse insuffisante, la plaignante a porté l'affaire au Commissariat à la protection de la vie privée.

La banque n'a jamais contesté l'allégation de la plaignante. Elle a plutôt lancé une enquête interne et fait savoir que l'incident était le fait d'une erreur humaine imputable à l'inexpérience d'un commis à l'entrée des données. Chargé d'ajouter une notation au profil de client de la plaignante, cet employé de la banque avait par inadvertance inscrit la notation dans la zone de l'adresse plutôt que dans la zone des commentaires prévue à cette fin. Plus tard, puisque cela faisait ainsi partie des détails de l'adresse de la plaignante, la notation est apparue dans la fenêtre d'adresse de l'enveloppe du relevé de compte.

La banque a corrigé l'erreur et revu ses processus internes pour vérifier que la même erreur ne s'était pas produite dans d'autres cas. La plaignante et la banque se sont mis d'accord sur un règlement plus satisfaisant, à savoir 1 000 $ à valoir sur l'achat d'un nouveau système informatique, et la plaignante a considéré l'affaire comme réglée.

Conclusions du commissaire

Rendues le 8 janvier 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le paragraphe 5(3) précise que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Les faits n'étant pas contestés, le commissaire a établi que la banque avait, dans ce cas, fait une communication inappropriée des renseignements personnels de la plaignante et n'avait pas protégé les renseignements au moyen de mesures de sécurité appropriées. Il était aussi d'avis qu'il ne serait pas raisonnable qu'un client de la banque s'attende que des renseignements au sujet d'une faillite apparaissent dans la fenêtre de l'adresse clairement visible d'un relevé de compte. Il a conclu que la banque avait donc contrevenu aux principes 4.5 et 4.7 et au paragraphe 5(3) de la Loi.

Néanmoins, il a jugé que la communication en cause avait été le fait d'une erreur humaine isolée et que la banque avait pris les mesures appropriées pour corriger cette erreur. Il a noté également que la plaignante était satisfaite du dénouement de l'affaire.

Le commissaire a donc conclu que la plainte était fondée et résolue .

Date de modification :