Une banque excède le délai prévu pour répondre à une demande d'accès
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-253
[Principes 4.5.2, 4.7.1, 4.9, paragraphes 8(3) et 8(5)]
Plainte
À la suite d'une demande de carte de crédit, une personne prétend que la banque n'a pas répondu à sa demande de renseignements personnels.
Résumé de l'enquête
À la suite du refus de sa demande de carte de crédit, la personne a écrit à la banque demandant accès aux renseignements personnels recueillis à son sujet. Près de cinq mois plus tard et à la suite de l'intervention du Commissariat, la banque lui a répondu en lui faisant parvenir une copie de la demande de carte de crédit soumise ainsi qu'une copie des notes de l'analyste de crédit relatives au rapport obtenu du bureau de crédit lors de l'examen de la demande. La banque n'a toutefois pas pu transmettre une copie du rapport de l'agence de crédit puisqu'elle avait été perdue à la suite d'un problème informatique.
Conclusions
Rendues le 17 décembre 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. La commissaire adjointe avait compétence dans cette cause parce qu'une banque est une entreprise fédérale selon la définition de la Loi.
Application : Le paragraphe 8(3) spécifie qu'une organisation saisie d'une demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Le paragraphe 8(5) stipule que faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande, ce qui est en contravention du principe 4.9 (Accès aux renseignements personnels). Le principe 4.5.2 de l'annexe 1 de la Loi indique qu'on doit conserver les renseignements personnels servant à prendre une décision au sujet d'une personne suffisamment longtemps pour permettre à la personne concernée d'exercer son droit d'accès à l'information après que la décision a été prise. Le principe 4.7.1 stipule notamment que les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
Concernant la question du délai, la banque a manqué à ses obligations de fournir à la personne les renseignements demandés dans les 30 jours de la demande tel que stipulé au paragraphe 8(3) de la Loi. La commissaire adjointe a donc conclu que la banque a enfreint le paragraphe 8(3) et, par le fait même, est présumée avoir refusé l'accès en vertu de l'article 8(5) de la Loi, ce qui est en contravention avec le principe 4.9 (Accès aux renseignements personnels).
La commissaire adjointe a par ailleurs noté que la banque n'a pu transmettre à la personne une copie du rapport de crédit initialement obtenu du bureau de crédit afin de prendre la décision concernant la demande. L'enquête a révélé que la banque n'a pas conservé le rapport suffisamment longtemps pour permettre à la personne d'y avoir accès et ce, contrairement au principe 4.5.2. De plus, la banque n'a pas pris les mesures nécessaires pour que le document en question soit conservé et, de ce fait, a contrevenu au principe 4.7.1 de l'annexe 1 de la Loi.
La commissaire adjointe a conclu que la plainte était fondée.
- Date de modification :