Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Un client s'oppose à ce qu'une banque utilise son numéro d'assurance sociale pour activer les cartes de crédit

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-105

[Principes 4.2.4, 4.3.2 et 4.5 de l'annexe 1]

Plainte

Une personne s'est plainte que sa banque avait utilisé de façon inappropriée son numéro d'assurance sociale (NAS) pour des fins auxquelles elle n'avait pas consenti.

Résumé de l'enquête

Lorsque le plaignant a appelé la banque pour activer sa nouvelle carte de crédit, la banque lui a demandé son NAS afin de confirmer son identité. Comme le plaignant n'avait pas indiqué son NAS sur le formulaire de demande de carte de crédit mais qu'il l'avait donné précédemment au moment d'acheter un produit portant intérêts de la banque, il a conclu que la banque n'avait pas de banques de données distinctes pour ses produits. Il a maintenu que la banque devrait conserver ces renseignements de façon distincte pour s'assurer que le NAS ne serve qu'aux fins de la déclaration de revenus.

La politique sur la protection des renseignements personnels de la banque porte sur l'utilisation du NAS en indiquant qu'il est nécessaire pour les produits portant intérêts afin de se conformer aux exigences sur la déclaration de revenus de l'Agence des douanes et du revenu du Canada. La politique indique qu'il est optionnel de fournir le NAS pour les produits de crédits.

La banque fait savoir qu'elle possède une base de données distincte pour chacun de ses produits ainsi qu'une base de données contenant des renseignements sur les consommateurs qui regroupe une grande partie des renseignements sur chaque client. La base de données sur les clients contiendra le NAS du client si celui-ci a acheté des produits facturables. Les représentants du service à la clientèle de la banque peuvent avoir accès à cette base de données.

Dans ce cas-ci, la base de données sur la carte de crédit du client ne contenait que très peu de renseignements personnels. Par conséquent, on a conclu que le représentant du service à la clientèle a eu accès à la base de données contenant des renseignements sur le consommateur, notamment son NAS.

La banque a maintenu que l'utilisation du NAS à des fins d'identification ne contrevenait pas à la Loi et a souligné que l'activation d'une carte de crédit était simplement une transaction interne visant à aider le consommateur. La banque était d'avis qu'elle avait implicitement obtenu la permission des clients d'utiliser les renseignements personnels fournis antérieurement, lorsqu'elle leur avait envoyé sa politique sur les renseignements personnels, qui comprenait un énoncé général sur l'utilisation de tels renseignements afin de servir le consommateur. Néanmoins, la banque a reconnu que l'utilisation du NAS était une question de nature délicate pour bien des gens et a cessé de l'utiliser pour activer les cartes de crédit.

Conclusions du commissaire

Rendues le 19 décembre 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.2.4 énonce qu'avant de se servir de renseignements personnels à des fins non précisées antérieurement, les nouvelles fins doivent être précisées avant l'utilisation. À moins que les nouvelles fins auxquelles les renseignements sont destinés ne soient prévues par une loi, il faut obtenir le consentement de la personne concernée avant d'utiliser les renseignements à cette nouvelle fin. Le principe 4.3.2 élabore sur la question des connaissances et du consentement et énonce que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige.

Même si le commissaire estimait que la banque avait adéquatement énoncé les fins initiales de la collecte des NAS auprès des consommateurs, il ne pensait pas que ces fins envisageaient l'utilisation du NAS comme identificateur lors de l'activation de carte de crédit. Comme l'identification du client pour l'activation d'une carte de crédit est une nouvelle utilisation, un nouvel énoncé de but et un nouveau consentement sont requis. Il a déterminé que la banque n'avait pas fait l'effort raisonnable pour les obtenir.

Le commissaire a étudié la déclaration de la politique sur la protection des renseignements personnels concernant l'utilisation des renseignements afin de servir le consommateur et l'a jugé trop large et vague pour former une base raisonnable pour l'obtention d'un consentement valable dans cette affaire. Il a déclaré que, si une organisation a l'intention d'utiliser le NAS comme identificateur, elle devrait dire exactement cela aux consommateurs.

Il a établi que la banque n'avait aucune base valable afin de conclure de l'utilisation supplémentaire et, en demandant le NAS comme identificateur, elle utilisait les renseignements personnels sans consentement à des fins autres que celles auxquelles ils ont été recueillis. Il a donc conclu que la banque contrevenait aux principes 4.2.4, 4.3.2 et 4.5. Toutefois, il était heureux que la banque ait éliminé l'utilisation du NAS pour activer les cartes de crédit.

Le commissaire a donc conclu que la plainte était fondée et résolue.

Date de modification :