Communication alléguée sans consentement de renseignements personnels pour des fins secondaires de marketing par une banque
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-83
[Principes 4.3, 4.3.2, 4.3.3, 4.3.5 de l'Annexe 1 et paragraphe 5(3)]
Plainte
Une personne a déposé une plainte parce qu'une banque recueille, utilise ou divulgue des renseignements personnels pour des fins secondaires de marketing, sans consentement.
En particulier, elle a allégué que la banque n'informe pas ses clients de sa politique de communiquer des renseignements personnels sur les clients à ses filiales pour des fins secondaires de marketing. Elle a également allégué que la banque ne fournissait pas de renseignements clairs sur la communication et l'utilisation possibles subséquemment des données sur le client et qu'elle ne leur donnait pas l'occasion de se désister de la communication de ces renseignements.
Cette plainte est une parmi plusieurs déposées par la même personne contre un certain nombre d'organisations. Sa position se résume comme suit :
- Il convient toujours d'informer les clients et d'obtenir leur consentement avant de communiquer des renseignements pour des fins secondaires de marketing.
- Les compagnies de marketing et les clients potentiels ne partagent pas les mêmes vues au sujet du consentement qu'il convient d'obtenir.
- Les entreprises devraient non seulement déclarer les fins de la communication de renseignements personnels dans un document de politique mais aussi informer les clients individuellement de la pratique de communiquer ces renseignements, et leur donner la possibilité de retirer le consentement de les communiquer.
- Les entreprises ne respectent pas cette obligation à plusieurs égards :
(a) en se fondant sur un document qui n'est pas fourni aux clients, elles obligent ainsi le client à prendre l'initiative;
(b) en enfouissant ces renseignements dans un long document et en les imprimant en petits caractères;
(c) en ne rédigeant pas ces renseignements en termes clairs et simples pour qu'un client ordinaire puisse les comprendre;
(d) en ne fournissant pas aux clients des renseignements suffisamment détaillés au sujet de l'ampleur et des fins de l'utilisation et de la communication envisagées des renseignements personnels; et
(e) en ne donnant pas de démarche facile pour refuser le consentement de communiquer ces renseignements.
Résumé de l'enquête
L'enquête a porté sur l'examen de la documentation de la banque qui traite des renseignements personnels. L'enquête a permis de constater ce qui suit :
- La banque signale ses pratiques d'échange de renseignements dans son formulaire de demande de carte de crédit et dans son contrat de titulaire de carte/carte de crédit.
- En résumé, le contrat mentionne que les renseignements qui y figurent seront divulgués à des organisations, sans préciser lesquelles.
- Le formulaire de demande contient une demande de consentement à communiquer des renseignements personnels à des fins de rapport de solvabilité, de même qu'un consentement à recueillir, utiliser ou communiquer des renseignements, conformément aux modalités et conditions imprimées en petits caractères sur son verso.
- Toutefois, le formulaire de demande de carte de crédit électronique ne contient pas de lien au contrat et ne mentionne rien au sujet d'un consentement de communication de renseignements.
- Lorsqu'un client fait une demande de carte par téléphone, le préposé lui demande ce consentement, mais en des termes très vagues.
- La banque a adopté une déclaration de principe quant à la protection des renseignements personnels, qui contient des renseignements exhaustifs sur ses pratiques, mais elle ne distribue pas la déclaration couramment à ses clients. Ces derniers doivent en demander une copie ou y accéder sur le site Web de la banque.
- Le formulaire de demande et le contrat stipulent que le client peut retirer le consentement de lui envoyer de la publicité et des offres spéciales, s'il en fait la demande par écrit.
En résumé, l'entreprise estime que ses documents et ses procédures permettent de renseigner convenablement les clients et d'obtenir leur consentement.
Conclusions du commissaire
Rendues le 16 octobre 2002
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.
Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés; pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.3 stipule qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Le principe 4.3.5 stipule que dans l'obtention du consentement les attentes raisonnables de la personne sont pertinentes. Le paragraphe 5(3) stipule qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Le commissaire a conclu que les attentes du client décrites dans sa plainte sont raisonnables et conformes à la Loi.
Le commissaire a fait les conclusions suivantes au sujet de la question du consentement :
- Les informations dans la documentation de la banque ne représentent pas un effort raisonnable d'informer clairement les clients individuels de la banque des motifs d'utilisation ou de communication de leurs renseignements personnels.
- Les renseignements dans la documentation sont rédigés en termes tellement vagues qu'ils sont presque incompréhensibles, à moins qu'on les interprète comme voulant dire que la banque a l'intention d'utiliser les renseignements personnels comme bon lui semble et de les communiquer à qui elle veut. Le commissaire signale qu'aucune personne raisonnable ne s'attendrait et ne jugerait approprié qu'on utilise ainsi ses renseignements personnels, peu importe les circonstances.
- Le document de la banque sur sa politique de protection de renseignements personnels est rédigé en termes trop vagues et, quoi qu'il en soit, il ne peut être utilisé comme preuve de consentement, puisqu'il n'est pas distribué aux clients individuellement et n'est donc pas à porté de main pour leur permettre de s'y référer avant de prendre une décision d'autoriser ou non la communication de leurs renseignements personnels.
- Le message communiqué aux personnes qui soumettent une demande par téléphone est trop vague et ne dit pas grand-chose.
- Les renseignements figurant sur le formulaire de demande de carte de crédit sont rédigés en jargon juridique incompréhensible et imprimés en caractères tellement petits qu'ils sont difficiles à lire.
- La banque n'avertit pas convenablement ses clients que certains produits et services fournis en son nom entraîneront la communication de leurs renseignements personnels à des tiers fournisseurs de ces produits et services.
Comme la documentation en question est inadéquate, le commissaire a conclu que la banque enfreint le principe 4.3.2 de l'annexe 1 de la Loi. Cette documentation n'étant pas suffisante pour confirmer un consentement quelconque, le commissaire estime aussi que la banque viole le principe 4.3.
Il faut aussi forcément conclure qu'en utilisant la documentation en question, la banque oblige en fait les personnes souhaitant utiliser ses produits et services à donner leur consentement à recueillir, utiliser et communiquer leurs renseignements personnels pour d'autres fins que celles qui sont expressément nécessaires pour fournir les produits et services en question. Le commissaire juge donc que la banque n'observe pas le principe 4.3.3.
Le commissaire est également convaincu qu'une personne raisonnable n'accepterait jamais la collecte, l'utilisation ou la communication de ses renseignements personnels à des fins secondaires, telles qu'indiqué dans la documentation, sans l'en informer et sans son consentement. Par conséquent, la banque n'a pas respecté l'article 5 (3) de la Loi.
En dernier lieu, en ce qui a trait aux procédures de refus de consentement, le commissaire a constaté que l'omission par la banque de fournir aux clients un moyen pratique, immédiat et facile de refuser qu'elle divulgue les renseignements personnels ne cadre pas avec les attentes raisonnables des gens quant à la pertinence d'une telle demande de consentement tel qu'établi au principe 4.3.5.
Ayant déterminé que la banque avait enfreint les dispositions pertinentes de la Loi, le commissaire a conclu que la plainte était fondée.
Autres considérations
Le commissaire a fait les recommandations suivantes :
- La banque devrait rédiger de nouveau sa documentation à l'intention des demandeurs de carte de crédit et de nouveaux clients, afin de les renseigner correctement, comme l'exige les principes 4.3 et 4.3.2 de l'annexe 1, en leur fournissant notamment des réponses aux questions suivantes :
- Quels renseignements personnels seront communiqués ?
- À qui communiquera-t-on ces renseignements ?
- Comment ces renseignements seront-ils utilisés ?
- Lorsqu'elle offre un produit ou un service qui sera en fin de compte fourni par un tiers, la banque devrait renseigner le client sur l'identité de ce tiers. Si le client choisit de recevoir le produit ou service, la banque devrait lui préciser les informations personnelles qui seraient communiquées au tiers et demander son consentement licite.
- La banque devrait prendre des mesures pour répondre aux attentes raisonnables de ses demandeurs de carte de crédit afin d'offrir un processus rapide, facile et économique pour retirer leur consentement pour la collecte, l'utilisation et la communication facultatives de leurs renseignements personnels. En particulier, la banque devrait inclure dans ses formulaires une case à cocher ou un numéro sans frais que les clients peuvent appeler pour retirer leur consentement.
- Date de modification :