Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Une banque se fie à son afficheur pour identifier une cliente et accède à l'information du compte de celle-ci

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-155

[Principes 4.3 et 4.7]

Plainte

Une personne a allégué qu'une représentante d'une banque a accédé à l'information de son compte sans avoir préalablement confirmé son identité.

Résumé de l'enquête

La plaignante a appelé une succursale bancaire pour poser une question d'ordre général. Comme elle ne s'était pas identifiée et qu'elle avait un numéro confidentiel, elle présumait que l'appel resterait anonyme. Toutefois, au cours de la conversation, la représentante de la banque l'a appelée par son nom. La plaignante lui a alors demandé comment elle savait à qui elle parlait et a appris que son nom et son numéro de téléphone apparaissaient sur l'afficheur de la banque. La représentante a confirmé qu'elle avait accédé à l'information sur le compte de la plaignante, mais elle a affirmé qu'elle l'avait fait pour être en mesure de donner un bon service à la cliente.

La plaignante a fait valoir que la banque ne devrait pas se fier à son afficheur pour vérifier l'identité de ses clients, que l'on devrait pouvoir rester anonyme quand on appelle pour une question d'ordre général et que les représentants de la banque ne devraient pas accéder à l'information sur les comptes sans que les clients y aient consenti.

La banque a affirmé que, lorsque ses représentants ne sont pas absolument certains de s'adresser au titulaire d'un compte donné, ils ne doivent fournir aucun renseignement personnel à leur interlocuteur. La politique de la banque est que ses représentants sont tenus de vérifier l'identité des clients qui appellent, en suivant une certaine procédure.

En l'occurrence, la représentante n'a pas vérifié l'identité de la plaignante, parce que celle-ci appelait simplement pour obtenir des renseignements généraux. La banque a affirmé que les seuls renseignements qui ont été communiqués étaient le nom et la succursale de la plaignante - information que la représentante ne croyait pas hautement confidentielle.

Conclusions du commissaire

Rendues le 15 avril 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, ouvrage, entreprise ou secteur d'activité fédéral. Le commissaire avait compétence dans cette cause, parce qu'une banque est une installation, ouvrage, entreprise ou secteur d'activité fédéral au sens de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Bien que la banque ait une procédure établie qui semblait satisfaire aux exigences du principe 4.7, il était clair que celle-ci n'a pas été suivie dans ce cas. Même si la représentante de la banque pensait parler à la bonne personne, puisque la plaignante ne l'avait pas corrigée, et bien que, de toute façon, aucune information hautement confidentielle n'ait été communiquée, le commissaire a déclaré que les employés de banque sont tenus de protéger la confidentialité des comptes des clients en suivant la procédure établie, et non en procédant par élimination, pour vérifier l'identité d'un client. Sinon, a-t-il fait remarquer, la banque risque de communiquer indûment des renseignements hautement personnels. Le commissaire a donc jugé qu'en se fiant uniquement à l'afficheur plutôt que de suivre la procédure établie pour vérifier l'identité de la plaignante, la banque avait contrevenu au principe 4.7.

Quant à la question du consentement, le commissaire a tenu compte des attentes de la plaignante lorsqu'elle a téléphoné à la banque. Il était clair, étant donné la nature de sa question et le fait qu'elle ne s'était pas volontairement identifiée, qu'elle ne pensait pas que la représentante de la banque allait consulter son compte à l'écran. En revanche, si la cliente avait appelé au sujet d'un point spécifique relatif à son compte, la représentante aurait pu interpréter l'appel comme un consentement implicite et accéder à l'information sur son compte après avoir identifié la cliente comme il se devait. Cependant, les faits sont que l'identité de la plaignante n'a pas été vérifiée et, du propre aveu de la banque, que sa question était d'ordre général, une question pour laquelle, a estimé le commissaire, il ne devrait pas être nécessaire de consulter le compte d'un client. De l'avis du commissaire, si la représentante a accédé au compte pour offrir un bon service, elle aurait dû, dès lors, commencer par obtenir le consentement de la plaignante. Par conséquent, il a conclu que la banque a contrevenu au principe 4.3.

Le commissaire a donc conclu que la plainte était fondée.

Autres considérations

Bien que le commissaire ait été convaincu que l'incident était un cas isolé et que la banque avait une procédure en place pour vérifier l'identité des appelants, il a néanmoins recommandé que la banque rappelle la procédure à ses employés et qu'elle exige d'eux qu'ils s'abstiennent d'accéder aux comptes des clients pour répondre à des questions d'ordre général.

Date de modification :