Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Un employé d'une banque utilise des renseignements sur un client pour commettre une fraude

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-121

[Principes 4.3 et 4.5 de l'annexe 1]

Plainte

Une personne s'est plainte qu'un employé de la banque ait utilisé des renseignements personnels à son sujet à son insu et sans son consentement aux fins de vol d'identité et de fraude.

Résumé de l'enquête

Tandis qu'il effectuait des transactions bancaires à sa succursale locale, le plaignant s'est aperçu que le solde de sa marge de crédit personnelle était anormalement élevé. La banque a effectué une enquête, puis a découvert, à la suite d'une conversation téléphonique avec le plaignant, qu'un employé de la banque avait eu accès au compte du plaignant à son insu et sans son consentement, utilisé le nom du plaignant ainsi que son mot de passe pour le service bancaire par téléphone pour s'inscrire au service bancaire par Internet, changé l'adresse postale du plaignant dans la base de données de la banque, émis des chèques à la fausse adresse et fait plusieurs chèques à partir de la marge de crédit.

Par la suite, la banque a fermé le compte de la marge de crédit du plaignant. Elle a annulé la dette contractée et a ouvert un nouveau compte au nom du plaignant. La banque lui a offert un règlement monétaire, mais il l'a refusé affirmant que le règlement n'était pas proportionnel à la gravité de l'incident.

L'enquête de la banque a permis de révéler l'identité de l'employé en question, qui a par la suite été mis à pied. Cet employé avait été embauché moins d'un an avant l'incident, mais on avait vérifié son casier judiciaire et il avait participé à la formation sur la protection des renseignements personnels obligatoire pour tous les employés.

La banque a reconnu que, malgré ses efforts de vigilance et son engagement dynamique pour continuer à mettre en place des contre-mesures, il existe toujours une possibilité pour une personne déterminée ayant des intentions criminelles de contourner temporairement les mesures de sécurité et de frauder la banque.

Conclusions du commissaire

Rendues le 23 janvier 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à tout ouvrage, entreprise ou secteur d'activité fédéraux. Cette plainte était du ressort du commissaire, parce que les banques sont des ouvrages, des entreprises ou des secteurs d'activité fédéraux au sens de la Loi.

Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concerne et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige.

Le commissaire a noté que la banque n'avait pas essayé de contester que l'un de ses employés avait utilisé des renseignements personnels du plaignant, à son insu et sans son consentement, à des d'autres fins que celles pour lesquelles ils avaient été recueillis - plus particulièrement, à commettre un acte frauduleux. Compte tenu que la banque a assumé la responsabilité du comportement de son employé concernant ses clients, le commissaire a conclu que la banque avait par conséquent enfreint les principes 4.3 et 4.5.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire a noté que la banque avait offert une indemnisation au plaignant qui semblait appropriée dans les circonstances.

Lors de l'examen des initiatives de prévention et de détection des fraudes de la banque, le commissaire n'a pas jugé nécessaire de recommander des mesures correctrices dans ce cas. Il n'a pas vu le vol d'identité ni la fraude en question comme une preuve d'échec systémique remédiable, mais plutôt comme un acte de tromperie volontaire et imprévisible de la part d'un employé qui ne possédait aucun antécédent criminel et qui, grâce à sa connaissance du système, avait réussi temporairement à contourner les mesures de sécurité du système. Le commissaire est du même avis que la banque selon lequel aucun système de sécurité, peu importe qu'il soit compliqué ou non, ou encore très efficace, ne peut complètement enrayer la possibilité d'un tel acte. Il a été rassuré de voir que, malgré cette infraction temporaire, la banque a réussi, grâce à son système de sécurité, à confirmer l'existence d'un acte frauduleux et à y mettre fin ainsi qu'à établir l'identité de la personne coupable et de s'occuper de son cas promptement.

Date de modification :