Une banque utilise les numéros d'assurance sociale aux fins de correspondance de crédit sans consentement valable
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-142
[Principes 4.3 et 4.3.2 de l'annexe 1]
Plainte
Une personne s'est plainte qu'une banque utilise indûment des numéros d'assurance sociale (NAS) pour confirmer l'identité des demandeurs de cartes de crédit auprès des bureaux de crédit et le fait sans informer de façon appropriée les demandeurs et sans obtenir leur consentement. Le plaignant était également préoccupé par le fait que le langage du contrat de la carte de crédit n'indiquait pas clairement que les clients avaient l'option de refuser une telle utilisation sans compromettre leur accès aux services bancaires.
Résumé de l'enquête
L'objectif visé par la banque en utilisant le NAS, obtenu dans le contexte d'une demande de carte de crédit, consiste à la jumeler fidèlement au dossier des antécédents de crédit des créanciers. Du point de vue de la banque, c'est un but très limité et légitime, qu'elle communique explicitement dans le cadre de la demande de crédit. La banque a déclaré que cette exigence de fournir un NAS à cette fin est facultative et qu'un client peut s'abstenir de le fournir ou de demander à la banque de l'enlever de son dossier.
Les versions électroniques et papier des formulaires de demande incluent une déclaration concernant l'utilisation du NAS aux fins d'identification. Cependant, ni l'une ni l'autre des versions n'indique que la communication du NAS est facultative. En fait, les deux types de formulaire contiennent des instructions stipulant qu'il est nécessaire de donner tous les renseignements demandés. La version électronique semble indiquer que le demandeur peut retirer son consentement pour l'utilisation du NAS aux fins de correspondance du crédit. Cependant, la banque informe que, dans les faits, cette disposition de refus ne s'applique pas au NAS. Les deux versions contiennent des énoncés indiquant qu'en signant le formulaire ou en cliquant sur la boîte appropriée, le demandeur accepte toutes les conditions contenues dans le formulaire.
La banque a convenu que le langage de ses formulaires de demande était problématique et a déclaré son intention d'apporter des changements aux formulaires, en clarifiant le fait que la communication du NAS aux fins de correspondance des antécédents de crédit était facultative.
Conclusions du commissaire
Rendues le 18 mars 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tous les ouvrages, entreprises ou secteurs d'activités fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une banque est un ouvrage, une entreprise ou un secteur d'activités fédéral selon la définition de la Loi.
Application : Le principe 4.3 établit que la personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 énonce que les organisations doivent faire un effort raisonnable pour assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour rendre le consentement valable, les objectifs doivent être énoncés d'une manière telle que la personne peut raisonnablement comprendre comment les renseignements seront utilisés ou communiqués.
Le commissaire a ouvert ses commentaires en faisant remarquer que les usages du NAS autorisés par la loi se sont accrus depuis sa création en 1964 et qu'il est maintenant utilisé comme un numéro de compte-client dans l'administration du Régime de pensions du Canada et divers programmes d'assurance-emploi. Il a souligné que le gouvernement fédéral, dans un effort visant à prévenir l'usage du NAS comme un identificateur universel, a publié une politique limitant la collecte et l'usage du NAS à des lois, des règlements et à des programmes particuliers. Il a de plus fait remarquer que, bien qu'il n'existe aucune loi empêchant les organisations de demander le NAS à d'autres fins, comme l'identification, les organisations qui sont assujetties à la Loi doivent clairement indiquer au client que la communication du NAS est facultative et n'est pas une condition de l'obtention de services.
Dans ce cas, le commissaire a déterminé que la banque n'avait pas pris des mesures adéquates pour communiquer sa politique selon laquelle le NAS était facultatif et non une condition d'obtention de services. Étant donné que la banque ne faisait pas un effort raisonnable, conformément aux attentes établies dans le principe 4.3.2, pour assurer que le client était adéquatement informé du fait que le NAS était facultatif, le commissaire a conclu que la banque n'obtenait pas de consentement valable et explicite des demandeurs, comme le stipule le principe 4.3.
Le commissaire a donc conclu que la plainte était fondée.
Autres considérations
Même si le commissaire s'est réjoui du fait que la banque a pris les mesures pour aborder cet enjeu en clarifiant, dans les formulaires de demande, le fait que la communication du NAS aux fins d'identification était facultative, il a profité de l'occasion pour insister sur le fait que le NAS n'est pas une pièce d'identité et ne devrait pas être utilisé comme tel. Il a déclaré :
« Conformément à la position du gouvernement fédéral selon laquelle le NAS devrait être utilisé uniquement à des fins autorisées par loi, j'exhorterai les Canadiens et les Canadiennes à s'abstenir de communiquer leur NAS aux fins d'identification. Agir autrement risquerait de faire du NAS un identificateur national de facto, au lieu d'être simplement le numéro de compte d'une personne aux fins d'avantages sociaux. »
- Date de modification :