Le vol d'un ordinateur portatif met en cause la responsabilité d'une banque

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2005-289

(Principes 4.5 et 4.7 de l'Annexe 1)

Plainte

Un particulier s'est plaint que sa banque n'avait pas protégé ses renseignements personnels après le vol d'un ordinateur portatif contenant ses renseignements personnels. Il s'est également inquiété de la quantité de renseignements personnels qui ont pu être compromis ainsi que de la raison pour laquelle, d'abord et avant tout, ses renseignements personnels étaient dans un ordinateur portatif.

Résumé de l'enquête

Au début de 2004, un ordinateur portatif contenant les renseignements personnels de 960 clients de la banque a disparu du véhicule d'une employée qui l'avait verrouillé après l'avoir stationné dans le garage souterrain de son domicile. Le vol a été déclaré à la police, de même qu'au Commissariat, avant que le plaignant ne porte plainte auprès de nous. La banque a contacté le plaignant pour lui faire savoir que les renseignements personnels conservés sur l'ordinateur portable consistaient en son nom, son adresse, son numéro de téléphone et son numéro de compte de fonds mutuels (mais pas le solde). La banque a également fait savoir au plaignant que l'ordinateur portatif était sous la garde d'une planificatrice et (ou) conseillère financière, qui utilisait l'information pour fixer des rendez-vous avec des clients afin de les renseigner sur d'autres produits et services de la banque.

Le plaignant a toutefois indiqué qu'il n'avait pas de conseiller financier à la banque et qu'il ne comprenait pas pourquoi l'information à son sujet figurait sur une liste de clients puisqu'il n'avait jamais demandé de conseils à la banque. Il ne croyait pas que la planificatrice financière avait non plus besoin des numéros de compte des clients sur son ordinateur pour contacter des clients. À son avis, un planificateur financier aurait besoin de plus d'informations sur les comptes pour être en mesure de fournir de bons conseils en matière de planification financière que le simple numéro de compte. Il estimait que, en principe, les numéros de compte ne devraient pas sortir de la banque et figurer sur des ordinateurs portatifs susceptibles d'être volés. Il a également dit soupçonner que l'ordinateur portatif contenait probablement davantage d'information que ne le reconnaissait la banque.

Le Commissariat a examiné la description d'emploi de la planificatrice financière de la banque. Cette personne a mission d'accroître la part de marché de la banque chez les petits investisseurs. L'un des moyens, pour ce faire, consiste à téléphoner à des clients et à les rencontrer au moment qui leur convient. Cela peut vouloir dire les rencontrer à leur résidence ou leur lieu de travail. L'utilisation de la technologie mobile s'inscrit dans cette façon de faire.

Selon la banque, le nom du plaignant figurait sur la liste des clients pour deux raisons : la valeur de l'un de ses comptes égalait ou dépassait un montant prédéterminé et le compte n'était pas géré par un directeur des services bancaire sur mesure, comme un conseiller en opérations bancaires.

La liste de la planificatrice financière ne comprenait pas les noms de clients qui avaient demandé de ne pas être sollicités pour d'autres services ou produits bancaires. En janvier 2001, la banque avait envoyé par la poste un avis de communication de renseignements personnels à tous ses clients, les informant que, à l'occasion, elle communiquerait avec eux pour leur offrir des produits ou services susceptibles de les intéresser. L'avis indiquait également que, si le client n'était pas intéressé à recevoir le service de marketing direct, il pouvait demander que son nom soit rayé des listes de sollicitation de la banque.

Le plaignant a également reçu copie du code de protection des renseignements personnels de la banque après avoir demandé de l'aide à l'égard d'un autre service bancaire. Au moment où a été dressée la liste de la planificatrice financière, le client n'avait pas demandé que son nom soit rayé des listes de sollicitation. Après l'incident, il en a toutefois fait la demande, à laquelle la banque a accédé.

Les normes de sécurité établies par la banque à l'égard de ses ordinateurs portatifs énoncent des précautions générales à prendre par les utilisateurs, comme l'utilisation de mots de passe et diverses mesures de sécurité matérielle. Les normes déconseillaient expressément de laisser des ordinateurs portatifs dans les véhicules.

La banque a également affiché de l'information sur son site Intranet dans le but de sensibiliser les employés à l'importance de la protection des ordinateurs portatifs. L'information en question déconseille de laisser les ordinateurs portatifs sans surveillance ou dans les voitures à la vue de tous. La planificatrice financière connaissait les attentes de la banque et l'ordinateur était protégé par un mot de passe. Cependant, elle n'en avait pas moins laissé son ordinateur sur le siège de sa voiture.

Conclusions

Rendues le 3 février 2005

Application : Selon le principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige. Le principe 4.7 prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Sur la question de l'utilisation illicite des renseignements personnels, la commissaire adjointe a remarqué que, en ce qui concerne les ordinateurs portatifs, les renseignements personnels du plaignant figuraient dans l'ordinateur portatif parce que la banque avait l'intention de faire connaître au plaignant d'autres produits et services bancaires. La banque a envoyé au plaignant deux avis de communication de renseignements personnels décrivant la pratique en question et offrant aux clients l'occasion de faire rayer leur nom des listes de sollicitation de la banque. Puisque le client n'avait pas demandé que son nom soit rayé, il semblerait que la banque avait son consentement implicite pour inclure son nom sur la liste et se conformait donc au principe 4.5. Lorsque le plaignant a informé la banque après le vol de l'ordinateur portatif qu'il souhaitait que son nom soit rayé des listes, la banque a bien supprimé celui-ci.

La commissaire adjointe a par conséquent conclu que la plainte relative à l'utilisation des renseignements personnels était non fondée.

Sur la question des mesures de protection, la commissaire adjointe a remarqué que, en ce qui concerne les ordinateurs portatifs, la banque avait instauré des politiques et des marches à suivre nécessitant l'utilisation de mots de passe et la mise en sécurité des ordinateurs. Bien que ces politiques et marches à suivre semblent respecter les conditions du principe 4.7, la planificatrice financière, en l'espèce, n'avait pas suivi les recommandations de la banque concernant la sécurité matérielle et avait laissé l'ordinateur sans surveillance sur le siège de sa voiture. La commissaire adjointe a par conséquent conclu que la banque n'avait pas respecté le principe 4.7.

La commissaire adjointe a conclu que la plainte relative à la sécurité était fondée.

Autres considérations

En examinant la politique de la banque sur la protection des renseignements personnels, la commissaire adjointe a remarqué que celle-ci prévoyait que le client obtienne et remplisse le formulaire voulu pour faire rayer son nom des listes de sollicitation de la banque. Dans des plaintes antérieures portant sur la question du consentement négatif pour l'utilisation des renseignements personnels à des fins secondaires (comme la commercialisation), le Commissariat avait déterminé que l'organisation doit fournir un moyen immédiat et pratique aux clients de manifester leur consentement négatif, comme un numéro 1-800 ou une case à cocher. La commissaire adjointe a précisé que le fait de demander à un client de remplir un formulaire ne respectait pas les attentes raisonnables de la plupart des gens, c'est-à-dire que l'on fournisse un moyen immédiat, facile et peu dispendieux de refuser la collecte, l'utilisation et la communication facultatives de leurs renseignements personnels. Elle a donc recommandé que la banque revoie son mécanisme de consentement négatif de manière à respecter pleinement les lignes directrices établies par le Commissariat et lui fasse connaître les progrès accomplis à cet égard.