La banque a retiré de certains de ses dossiers le numéro d'assurance sociale (NAS) du client, mais pas de tous
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-189
[Principes 4.3, 4.3.8, 4.9 et le paragraphe 8(3)]
Plainte
Une personne a déposé deux plaintes contre sa banque : (1) qu'elle n'avait pas enlevé son numéro d'assurance sociale et son numéro de permis de conduire de ses dossiers malgré une demande à cet effet; et (2) qu'elle lui avait refusé l'accès aux renseignements personnels ayant trait à son compte.
Résumé de l'enquête
Lorsqu'il a ouvert un compte à la banque, le plaignant a fourni son NAS et son numéro de permis de conduire. Un an plus tard, il a demandé à la banque qu'on retire son NAS des dossiers le concernant. La banque lui a écrit plus tard pour l'aviser qu'elle avait retiré son NAS des documents afférents à son compte.
Peu après, le plaignant a écrit à la banque et a demandé l'accès à ses renseignements personnels. Lorsqu'il a reçu les renseignements en question, il a remarqué que son NAS figurait inscrit sur l'un des documents. Il a communiqué avec la banque une fois de plus, qui a vérifié l'information et a retiré le NAS de ses dossiers.
Quant au numéro de permis de conduire, le plaignant soutient qu'il a écrit à la banque pour lui demander d'enlever ce renseignement des dossiers. Bien qu'il n'ait pas été possible d'établir si la banque avait en fait reçu la dite lettre, la banque a néanmoins accepté, à la demande du Commissariat, d'enlever le numéro de ses dossiers.
En ce qui concerne les allégations relatives à la demande d'accès du plaignant, l'enquête a permis d'établir que celui-ci a reçu ses renseignements personnels 29 jours après en avoir fait la demande.
Le Commissariat a examiné les dossiers de la banque qui concernaient le plaignant et a confirmé que le NAS et le numéro de permis de conduire avaient été retirés et que le plaignant avait reçu tous les renseignements personnels auxquels il avait droit.
Conclusions du commissaire
Rendues le 22 juillet 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Le commissaire avait compétence dans cette cause parce qu'une banque est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral.
Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Selon le principe 4.3.8, une personne peut retirer son consentement en tout temps, sous réserve de restrictions prévues par une loi ou un contrat et d'un préavis raisonnable. L'organisation doit informer la personne des conséquences d'un tel retrait.
Le principe 4.9 stipule qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l'exactitude et l'intégralité des renseignements et d'y faire apporter les corrections appropriées. Le paragraphe 8(3) énonce qu'une organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception.
En ce qui concerne la première plainte, le commissaire a établi que, malgré la demande du plaignant de retirer son consentement à la banque pour ce qui est de l'utilisation de son NAS, celle-ci ne l'a pas entièrement rayé de ses dossiers. Par conséquent, il a estimé que la banque avait enfreint les principes 4.3.8 et 4.3. Cependant, le commissaire a souligné que la banque avait rectifié son erreur. De plus, il manque de preuve permettant de conclure que la banque était informée de la demande du plaignant concernant le retrait du numéro de permis de conduire, mais une fois avisée, elle a enlevé le numéro de ses dossiers.
Le commissaire a par conséquent conclu que la première plainte était fondée et résolue.
En ce qui concerne la deuxième plainte, le commissaire est convaincu que la banque a fourni au plaignant les renseignements auxquels il a droit, conformément au principe 4.9, et qu'elle l'a fait dans un délai de trente jours, comme il est énoncé dans le paragraphe 8(3).
Il a conclu que la deuxième plainte était non fondée.
- Date de modification :