Une banque communique les renseignements personnels d'un client à son employeur
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2004-267
[Principes 4.3 et 4.5]
Plainte
Un client d'une banque a porté plainte parce que l'un des employés de l'institution a procédé à une communication inappropriée de ses renseignements personnels.
Résumé de l'enquête
Le plaignant, un policier, était en litige avec son institution financière au sujet de l'un de ses comptes. Lui et la directrice de sa banque avaient eu en vain plusieurs conversations pour tenter de régler le différend.
Il a alors écrit au vice-président de l'institution pour lui faire part de ses inquiétudes au sujet de son compte et de la directrice. Le dossier a ensuite été soumis au directeur du Service d'assistance à la clientèle de la banque afin qu'une mesure soit prise. Cette personne a contacté la directrice de la banque pour obtenir ses commentaires sur le comportement du plaignant envers elle. Le directeur du Service d'assistance à la clientèle a par la suite communiqué avec un membre supérieur de la direction de la sécurité de la banque, qui était chargé des enquêtes pour violence au travail. Lorsque l'agent de sécurité s'est entretenu avec la directrice de la banque, celle-ci a indiqué s'être sentie intimidée par le plaignant et craindre pour sa sécurité. L'agent de sécurité, un ancien policier, a alors contacté la direction des affaires internes de l'employeur du plaignant pour aviser les responsables que ce dernier faisait preuve d'agressivité et d'intimidation à l'endroit de la directrice. Selon l'agent de sécurité, il a ajouté que le plaignant n'avait pas proféré de menace particulière et que la banque ne comptait pas déposer de plainte officielle.
Le jour même de cette conversation, dans un courriel envoyé à plusieurs hauts dirigeants de l'organisation, l'agent des affaires internes a affirmé avoir reçu un téléphone de la banque et avoir appris que le plaignant était impliqué dans un litige civil avec sa banque, qu'il avait contracté des dettes assez considérables et qu'il éprouvait des difficultés financières. Il a ajouté que l'institution financière voulait s'assurer ainsi que l'employé surmontait bien ses angoisses. L'auteur du courriel a confirmé au Commissariat que le contenu de ce message reflétait fidèlement sa conversation avec l'agent de sécurité.
Bien que ce dernier ait affirmé au Commissariat qu'il n'était pas certain de l'exactitude des mots qu'il avait employés, il n'a pas nié le contenu du courriel. Il a déclaré qu'il ne croyait pas avoir révélé de renseignements financiers concernant le plaignant, car il n'a fourni aucun détail sur ses finances. Selon lui, il tentait de remettre les choses en contexte pour l'employeur du plaignant.
Conclusions
Rendues le 30 avril 2004
Application : L'article 2 définit « renseignements personnels » comme « tout renseignement concernant un individu identifiable ». Le principe 4.3 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». En vertu du principe 4.5, « les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige ».
Pour tirer ses conclusions, la commissaire adjointe à la protection de la vie privée a conclu comme suit :
- Même si le plaignant a contesté le fait que la banque ait communiqué ses renseignements personnels à l'agent de sécurité, la commissaire adjointe croit que le motif était valable. Comme l'agent de sécurité, qui était responsable des enquêtes pour violence au travail, avait été chargé d'examiner les craintes de la directrice de la banque quant au comportement du plaignant, il devait obtenir des renseignements sur le plaignant.
- Le problème a toutefois débuté lorsque l'agent de sécurité a appelé l'employeur du plaignant. Bien que l'agent ne croyait pas avoir communiqué de renseignements personnels au sujet du plaignant, le courriel interne envoyé par le bureau des affaires internes de l'employeur prouvait clairement que c'était bien le cas. Des énoncés tels « des dettes assez considérables », « éprouve des difficultés financières » et le fait que le plaignant ait été impliqué dans un « litige civil » avec la banque étaient tous des renseignements concernant le plaignant qui en faisaient une personne identifiable.
- La banque a recueilli et conservé les renseignements personnels du plaignant afin d'établir et de maintenir une relation bancaire avec lui. La commissaire adjointe a eu du mal à faire le lien entre cet objectif et la raison qu'avait l'agent de sécurité d'appeler l'employeur du plaignant, principalement pour l'aviser des difficultés financières du plaignant et pour s'assurer que ce dernier surmontait ses problèmes.
- Par conséquent, la commissaire adjointe a estimé que la banque avait non seulement communiqué les renseignements personnels du plaignant sans son consentement, mais qu'elle l'avait également fait à des fins autres que celles auxquelles ils avaient été recueillis, allant ainsi à l'encontre des principes 4.3 et 4.5.
La commissaire adjointe a conclu que la plainte était fondée.
Autres considérations
La commissaire adjointe a souligné que bien qu'elle soit au courant que la banque offre une formation sur la protection des renseignements personnels à ses employés, elle lui recommande de rappeler à l'agent de sécurité ses obligations en vertu de la Loi.
- Date de modification :