Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-203
[Principes 4.3, 4.3.4, 4.3.5. 4.4 et 4.4.1 de l'annexe 1]
Plainte
Un particulier s'est plaint que trois clauses de consentement figurant sur le formulaire de demande de carte de crédit d'une banque ne définissaient pas clairement la portée de la collecte et de l'utilisation des renseignements personnels par la banque. Les craintes du plaignant portaient essentiellement sur le consentement à la collecte de renseignements; le consentement à l'utilisation du numéro d'assurance sociale (NAS) du demandeur aux fins de l'impôt et de la comparaison des antécédents de crédit; et l'utilisation de la clause de désistement (refus) pour les fins de marketing secondaire.
Résumé de l'enquête
En ce qui concerne la première clause, le plaignant soutenait que la formulation était vague et que la portée de la collecte dépassait largement ce à quoi une personne raisonnable pouvait s'attendre. La banque a convenu que la formulation faisait problème et a accepté de modifier celle-ci de manière à expliciter le genre d'information qu'elle se propose de réunir.
Pour ce qui est du consentement à l'utilisation du NAS, le plaignant estimait que le consentement à deux fins très dissemblables (c.-à-d. l'impôt et la comparaison des antécédents en matière de crédit) devrait être indiqué séparément. La banque maintenait pour sa part que la formulation de la clause décrivait clairement l'utilisation qui serait faite du NAS et a indiqué que, dans la pratique, la prestation du NAS pour les produits de crédit était facultative.
Enfin, le plaignant s'était opposé à l'utilisation par la banque d'une disposition de désistement pour le consentement à la communication des renseignements personnels à des tiers à des fins de marketing secondaire. La clause prévoit que le demandeur peut toujours retirer son consentement en téléphonant à un numéro sans frais ou en contactant sa succursale. Les documents de la banque concernant la protection des renseignements personnels précisent le type d'information, y compris le revenu annuel et les antécédents en matière de crédit, que celle-ci réunit et communique à ses sociétés affiliées. La banque a indiqué que les personnes qui soumettent une demande de carte de crédit en personne ou par téléphone peuvent se désister sur-le-champ, mais que celles qui envoient leur demande par la poste doivent appeler au numéro sans frais ou s'adresser à une succursale. La banque soutient que le demandeur ne risque pas la communication de renseignements sans son consentement puisqu'il a la possibilité de se désister avant d'activer la carte.
Conclusions du commissaire
Rendues le 5 août 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une banque est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral au sens de la Loi.
Application : D'après le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.4 prévoit que la forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Selon le principe 4.3.5, dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes. Le principe 4.4 prévoit que l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées, et le principe 4.4.1, que les organisations ne doivent pas recueillir des renseignements de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées. Les organisations doivent également préciser la nature des renseignements recueillis comme partie intégrante de leurs politiques et pratiques concernant le traitement des renseignements.
Au sujet de la clause relative au consentement à la collecte de renseignements personnels, le commissaire a trouvé la formulation vague, soulignant que le type de renseignements et les sources à partir desquelles ceux-ci seraient réunis n'étaient pas clairement définis. Il a donc conclu que la banque demandait aux demandeurs de crédit de consentir à la collecte illimitée de leurs renseignements personnels, ce qui contrevient aux principes 4.4 et 4.4.1. Il s'est cependant réjoui de ce que la banque ait accepté de réviser la disposition dans les prochaines versions du formulaire de demande.
Le commissaire a conclu que le premier volet de la plainte était fondé.
Au sujet du consentement à l'utilisation du NAS, le commissaire a signalé que la même disposition de consentement, et la même banque, avaient été l'objet d'une récente conclusion. Dans ce cas, on insistait sur le fait que le formulaire ne précisait pas que la prestation du NAS pour fins d'identification ou de comparaison des antécédents en matière de crédit était facultative. On avait donc conclu que la banque n'avait pas déployé d'efforts raisonnables afin de s'assurer que le client était suffisamment informé de cet état de fait et, par conséquent, n'avait pas obtenu un consentement valable des demandeurs, comme le prévoient les principes 4.3 et 4.3.2. La banque a accepté de clarifier sur les prochaines versions des formulaires de demande que la prestation du NAS pour fins d'identification est facultative.
Cependant, dans le cas qui nous occupe, le plaignant s'inquiétait de ce que la banque demande aux demandeurs de consentir simultanément à deux utilisations très différentes. Le commissaire a signalé que, même si cette clause ne contrevenait pas comme tel à un principe, elle n'en enfreignait pas moins l'esprit de la Loi. Il a indiqué que l'utilisation du NAS aux fins de la déclaration du revenu était légitime; il a toutefois aussi estimé qu'une telle mention sur un formulaire de demande de carte de crédit était malvenue parce qu'elle va plus loin que la raison première de la collecte du NAS sur le formulaire. Dans les circonstances, la production de revenus n'a rien à voir. Le commissaire a donc recommandé que la banque procède au retrait dans cette clause de l'énoncé ayant trait à l'utilisation du NAS aux fins de l'impôt. Une telle modification permettrait de clarifier l'utilisation du NAS dans le processus d'attribution du crédit.
En ce qui concerne le désistement ou refus du consentement pour les fins de marketing secondaire, le commissaire a précisé que, s'il estime que le désistement peut être acceptable dans certaines situations bien définies, il considère le consentement « positif » comme la forme de consentement la plus appropriée et respectueuse et en encourage l'utilisation par les organisations en toute circonstance. Le commissaire a souligné que le recours au désistement (refus) par les organisations pouvait se justifier en autant que les conditions suivantes soient remplies:
- Les renseignements personnels doivent être manifestement de nature et dans un contexte non confidentiels.
- L'échange de l'information doit être limité et bien défini en ce qui concerne la nature des renseignements personnels qui seront utilisés ou communiqués et l'ampleur de l'utilisation ou la communication prévue.
- Les fins de l'organisation doivent être limitées et bien définies, énoncées d'une manière raisonnablement claire et intelligible, et portées à l'attention de l'intéressé au moment où les renseignements sont réunis.
- L'organisation doit élaborer une marche à suivre opportune, permettant le désistement ou le retrait du consentement facilement, à peu de frais et immédiatement à l'égard des fins secondaires, et doit informer l'intéressé de la marche à suivre au moment de la collecte des renseignements personnels.
Étant donné que, dans le cas qui nous occupe, la banque communique des renseignements financiers confidentiels à ses sociétés affiliées, le commissaire a jugé que l'utilisation faite par la banque du désistement était inacceptable dans les circonstances et contrevenait aux principes 4.3, 4.3.4 et 4.3.5.
Le commissaire a conclu que ce volet de la plainte était fondé.
Autres considérations
Le commissaire a recommandé à la banque qu'elle élabore une procédure de consentement « positif » pour ses formulaires de demande de carte de crédit.
- Date de modification :