Une banque utilise à des fins de formation non identifiée l'enregistrement sur bande sonore d'une conversation téléphonique avec un client sans l'avertir; l'enregistrement est communiqué à un autre client

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-180

[Principes 4.2.4, 4.3, 4.3.2, 4.3.5, 4.5, 4.7 et 4.7.1 de l'annexe 1]

Plainte

Un couple s'est plaint que la banque

1. n'avait pas réussi à protéger les renseignements personnels de l'époux au moyen des mesures de protection appropriées, de sorte que l'information avait été communiquée à un tiers non autorisé sans le consentement de ce dernier;
2. avait eu recours à une conversation enregistrée sur bande sonore avec l'époux sans son consentement, et dans un but non identifié préalablement.

Résumé de l'enquête

Un client a appelé la banque pour signaler qu'en effectuant une transaction téléphonique, il avait été raccordé par erreur à l'enregistrement des propos tenus par un autre client dans le cadre d'une transaction. L'autre client s'est avéré être l'époux, soit le plaignant. En avisant l'époux que l'information relative à son compte avait été compromise, la banque lui a expliqué qu'un de ses appels téléphoniques récents avait enregistré et que celui-ci était utilisé à des fins de formation.

Les plaignants étaient mécontents parce que la banque avait non seulement permis à un tiers d'entendre les détails d'une transaction bancaire de l'époux, y compris son numéro de carte client, mais avait également, semble-t-il, fait en sorte que l'appel téléphonique enregistré sur bande sonore soit accessible au cours d'un certain exercice de formation. On avait avisé l'époux que l'appel pouvait être enregistré pour des besoins de contrôle de la qualité, mais il n'avait pas saisi que ce faisant, l'enregistrement pouvait servir d'outil de formation. Les plaignants étaient d'avis que la banque n'avait pas obtenu le consentement de l'époux pour se servir de l'enregistrement sur bande sonore à des fins de formation, et qu'elle n'était pas habilitée à le faire sans son consentement.

La banque n'avait pas mis en doute le fait qu'il y avait eu divulgation inappropriée à un tiers, mais selon elle, il s'agissait d'un incident isolé résultant d'une simple erreur d'une employée d'un centre de services. En tentant d'effectuer un transfert d'appel au service pertinent, cette employée avait omis de sélectionner la ligne supplémentaire appropriée à son écran d'ordinateur. L'employée aurait donc composé par mégarde le numéro correspondant au dernier numéro composé, soit celui du poste par défaut. Le dernier numéro composé par l'employée était celui d'un poste téléphonique mis en place à des fins de formation. Plus précisément, le numéro permettait donnait accès hebdomadairement à un bel exemple d'un appel de service aux clients. Cette semaine-là, c'est l'appel de l'époux qui avait été sélectionné.

La banque avait l'habitude d'enregistrer au hasard les appels des clients et d'aviser dûment ceux-ci, au début de la conversation, que leur appel pouvait être enregistré à des fins de contrôle de la qualité. L'institution bancaire jugeait que cet avis englobait, à la limite, le type d'utilisation faite par le centre de services de l'enregistrement de l'appel de l'époux. Néanmoins, la banque a abandonné l'exercice de formation en cause et détruit l'enregistrement en question. Par ailleurs, il a été établi que l'enregistrement avait été détruit peu après l'incident.

Conclusions du commissaire

Rendues le 10 juillet 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tout ouvrage, entreprise ou secteur d'activité fédéral. Le commissaire avait compétence dans cette cause parce cette banque constitue un ouvrage, une entreprise ou un secteur d'activité fédéral aux termes de la Loi.

Application : Le principe 4.2.4 stipule que lorsque des renseignements personnels doivent être utilisés à des fins non précisées antérieurement, les nouvelles fins doivent être précisées et le consentement de la personne concernée doit être obtenu avant l'utilisation. Le principe 4.3 précise que toute personne doit être informée de la collecte, de l'utilisation ou de la communication des renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Suivant le principe 4.3.2, les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.5 stipule que dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Suivant le principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. Le principe 4.7 précise que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées quelle que soit la forme sous laquelle ils sont conservés.

Pour ce qui est de la première allégation, le commissaire a déterminé que la banque avait effectivement divulgué à un tiers des renseignements personnels concernant le plaignant à son insu et sans son consentement. Il ne fait aucun doute pour le commissaire que la communication était attribuable à l'erreur d'une employée. Cependant, en permettant au personnel d'accéder à une ligne téléphonique qui présentait des enregistrements de renseignements personnels de clients, le centre de services n'avait pas suffisamment pris en considération la nature sensible de l'information, la possibilité de divulgation en raison d'une erreur d'un employé et les mesures de protection adéquates visant à se prémunir contre ce genre d'erreur. Par conséquent, le commissaire a jugé que l'institution bancaire avait enfreint les principes 4.7 et 4.7.1.

En ce qui concerne la deuxième allégation, le commissaire a examiné l'argument de la banque, à savoir qu'elle avait obtenu le consentement quant à son intention d'utiliser les renseignements personnels comme en bout de ligne elle l'avait fait. Il a formulé les considérations suivantes :

• La banque faisait valoir de fait qu'en poursuivant la conversation après avoir été avisé que celle-ci pouvait être enregistrée pour les besoins de contrôle de la qualité, le plaignant acceptait tacitement que le centre de services utilise l'enregistrement comme il l'a fait - c'est-à-dire qu'il était d'accord avec l'approche qui consiste, en général, à se servir des enregistrements comme outil de formation auprès des employés. La question était de savoir ce qu'on entendait raisonnablement par « contrôle de la qualité ».
• Bien que la question puisse être considérée comme une simple question d'ordre sémantique, deux dispositions qui figurent à la Loi, soit les principes 4.3.2 et 4.3.5, stipulent que l'organisation est tenue de déclarer ses intentions par respect pour la personne et de s'assurer que la terminologie commune est comprise.
• En ce qui a trait au principe 4.3.5, le commissaire faisait remarquer que s'il consentait lui-même à laisser une banque enregistrer un appel pour les besoins de contrôle de la qualité, il ne serait pas étonné qu'un superviseur écoute l'enregistrement pour évaluer le rendement ou la compétence de l'employé ayant pris l'appel. Il pourrait même s'attendre à ce que le superviseur responsable de l'encadrement et l'employé écoutent l'enregistrement ensemble dans le cadre d'une critique constructive et afin d'améliorer le rendement.
• Cependant, si les renseignements personnels de nature délicate le concernaient, comme dans le cas du plaignant, il ne se serait pas attendu à ce que la définition du « contrôle de la qualité » inclue l'intégration d'une conversation personnelle, textuelle et non anonyme, et s'étende jusqu'à un programme de formation accessible à tout le personnel sur un simple coup de fil à une extension téléphonique précise.
• Au sujet du principe 4.3.2, le commissaire a expliqué qu'une organisation doit s'efforcer raisonnablement de permettre aux personnes de comprendre comment en définitive leurs renseignements personnels seront utilisés. Si une organisation compte utiliser les appels des clients enregistrés sur bande sonore dans le cadre d'un exercice de formation générale, celle-ci devrait l'expliquer en des termes qu'un client puisse raisonnablement comprendre. Non seulement le plaignant n'avait pas compris, mais en écoutant la déclaration d'intention de la banque, il n'avait pas pu raisonnablement saisir que ses renseignements personnels serviraient d'« exemple » aux besoins de formation d'un centre de services de l'institution bancaire.

Bref, le commissaire a jugé que cette utilisation était distincte, et qu'elle constituait un besoin distinct qui devait être défini et pour lequel un consentement était nécessaire. La banque n'avait pas défini l'utilisation, en termes raisonnablement compréhensibles et d'une manière conforme aux attentes raisonnables du plaignant, comme étant un objectif de la cueillette des renseignements personnels le concernant. Par conséquent, à cet égard la banque ne pouvait pas prétendre avoir obtenu le consentement du client lors de la cueillette. Pas plus qu'elle n'avait entrepris ultérieurement d'en définir l'utilisation comme étant un nouveau besoin et de demander le consentement spécifique du plaignant. Par conséquent, le commissaire a conclu que la banque avait enfreint les principes 4.3.2, 4.3, 4.2.4 et 4.5.

Le commissaire a donc conclu que la plainte était fondée.

Autres considérations

Le commissaire a fait remarquer qu'il était heureux que la banque ait cessé de plein gré la pratique controversée. Néanmoins, il a remarqué que l'enregistrement sur bande sonore avait été détruit par l'institution bancaire à l'insu et sans le consentement du plaignant et que, par conséquent, cela aurait bien pu susciter une autre plainte aux termes du principe 4.3. Quoiqu'il aurait préféré être consulté à ce sujet, en définitive, le plaignant se disait soulagé d'apprendre que ses renseignements ne pourraient plus être communiqués sans autorisation; il s'est déclaré en outre satisfait d'avoir été autorisé par la banque à écouter l'enregistrement avant sa destruction. Il avait donc décidé de ne pas déposer une autre plainte.