Remise en question du libellé du consentement et de l'activité de surveillance
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2005-296
(Principes 4.3 et 4.3.2; paragraphe 5(3))
Plainte
Une personne a prétendu que le libellé d'un formulaire de demande de carte de crédit énonçait des pratiques trop vastes de collecte, d'utilisation et de communication et, par conséquent, ne respectait pas les exigences relatives au consentement. Le plaignant a également prétendu que la banque effectuait de façon inappropriée un suivi de l'historique des achats des titulaires de carte.
Résumé de l'enquête
Le plaignant estime trop vaste la définition de renseignements personnels que contient la section du formulaire de demande se rapportant à l'utilisation des renseignements personnels. Le formulaire indique qu'on entend par renseignement personnels tout renseignement ayant trait à une personne et permettant d'identifier cette personne. Le plaignant prétend que le formulaire devrait préciser clairement les catégories de renseignements personnels recueillis et que ces catégories devraient se limiter aux coordonnées de la personne et aux renseignements financiers.
La banque a cependant fait valoir que sa définition était conforme au sens qui est donné aux renseignements personnels en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE). La banque estime qu'elle n'était pas tenue d'énumérer chaque genre de renseignements personnels qu'elle recueille, mais qu'elle doit indiquer les fins pour lesquelles les renseignements personnels sont recueillis et limiter la collecte aux renseignements nécessaires à ces fins.
La banque a indiqué sur son formulaire de demande les fins de la collecte des renseignements personnels, à savoir :
- Établir et entretenir des relations d'affaires avec ses clients de même qu'analyser et gérer ses activités.
- Administrer les services de facturation des clients et de comptabilité de même que les mesures de sécurité.
- Suivre l'historique des achats des clients.
- Évaluer la cote de crédit des clients.
- Se conformer aux exigences juridiques et réglementaires.
- Promouvoir et commercialiser des produits et services (facultatif).
La banque a indiqué qu'il était impossible, vu la nature du service qu'elle offre, de limiter ses activités de collecte aux coordonnées de la personne et aux renseignements financiers. Elle a fait savoir que, chaque fois qu'un client utilise une carte de crédit, elle recueille des renseignements sur l'opération financière (le montant de l'achat), mais aussi des renseignements comme le genre de produit acheté ainsi que le moment et le lieu de l'achat. Elle a également signalé qu'elle est tenue par la loi de recueillir bien plus que les coordonnées de la personne. À titre d'exemple, elle doit recueillir la date de naissance du demandeur pour vérifier son identité et s'acquitter de son obligation réglementaire conformément à la législation sur la lutte contre le blanchiment de capitaux et le financement des activités terroristes. (L'article 67 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes exige des banques qu'elles consignent la date de naissance de la personne sur le formulaire de demande de compte.) Le plaignant a néanmoins soutenu que la banque devait définir clairement la portée des renseignements qu'elle entendait recueillir avant de procéder à la collecte.
Le plaignant s'est également opposé au libellé du formulaire de demande concernant la collecte, l'utilisation et le traitement des renseignements personnels, estimant qu'il était beaucoup trop général et qu'il pourrait vraisemblablement permettre à la banque de recueillir plus de renseignements qu'elle n'en a besoin.
La banque a affirmé qu'outre le formulaire de demande, elle mettait à la disposition des clients deux documents traitant de ces problèmes. Son code de protection de la vie privée précise qu'elle ne recueille que les renseignements des clients qui sont nécessaires et qu'elle informe les clients de l'utilisation qu'elle en fait. L'autre document est une déclaration qui fait partie du formulaire d'entente du compte. Il décrit le droit à la protection des renseignements personnels du client, ce qui comprend le droit d'accès à tous les renseignements personnels au dossier et de les corriger au besoin. La banque a en outre fait savoir que le titulaire du compte qui s'inquiète du fait qu'elle pourrait recueillir plus de renseignements que ceux dont elle a besoin pour les fins indiquées pourrait confirmer ou atténuer ses soupçons en présentant une demande d'accès pour examiner la pratique courante de la banque.
Le plaignant s'inquiétait en outre d'une autre clause du consentement qui mentionnait le partage ou à l'échange de rapports et de renseignements avec les agences d'évaluation de crédit, des bureaux de crédit ou toute autre personne, société ou entreprise avec laquelle le client a des rapports financiers ou envisage d'avoir des rapports financiers. De l'avis du plaignant, cette section contient une vaste liste d'éventuels destinataires de renseignements personnels, liste qui est décrite en des termes beaucoup trop généraux, ce qui laisse supposer que la banque agit à titre de bureau de crédit.
La banque estimait que le plaignant avait pris hors contexte le libellé de la disposition de consentement. Étant donné que la banque accorde du crédit, elle veut s'assurer qu'elle obtient des rapports financiers appropriés pour être en mesure de vérifier la solvabilité. Elle signale que les clients changent de banque et de rapports financiers au fil des ans et que cette disposition lui permet de continuer d'offrir un service au compte et d'évaluer la cote de crédit du client. Par ailleurs, la banque a fait remarquer que ses dispositions de consentement doivent être examinées dans le contexte des fins appropriées qu'elle a établies pour la collecte, l'utilisation et la communication des renseignements personnels. Le plaignant a reconnu le caractère raisonnable de cette position, mais il estimait que le libellé du formulaire de consentement devait en faire état. Le code de protection de la vie privée de la banque décrit mieux la politique de communication.
De toutes les fins décrites par la banque pour la collecte, l'utilisation ou la communication des renseignements personnels, celle qui inquiète le plus le plaignant est l'exigence qu'il consente au suivi de l'historique de ses achats. Il était d'avis qu'une telle mesure correspondait pour ainsi dire à la surveillance par les entreprises. À son avis, le suivi doit se limiter à la détection des activités frauduleuses, et il se demandait si la banque exerçait un suivi de l'historique des achats des clients à des fins secondaires. Si tel était le cas, la banque devrait l'indiquer clairement et rendre le consentement à cet égard facultatif. Le plaignant s'inquiétait de la possibilité que l'historique des achats des clients soit communiqué par inadvertance à un tiers.
La banque a fait savoir qu'elle suit l'historique des achats des clients pour trois raisons : pour déceler le risque de crédit (lorsque le client utilise excessivement le crédit), pour déceler le risque de fraude à l'avantage tant du client que de la banque et pour s'acquitter de ses responsabilités prévues par le Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes. Le code de protection de la vie privée de la banque utilise un libellé quelque peu différent pour décrire cette fin et précise que la banque recueille, utilise et communique des renseignements personnels pour déceler les erreurs, la fraude et d'autres activités criminelles et pour protéger la banque contre celles-ci.
Conclusions
Rendues le 14 mars 2005
Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 énonce que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins pour lesquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre la manière dont les renseignements seront utilisés ou communiqués. Le paragraphe 5(3) précise qu'une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
En tirant ses conclusions, la commissaire adjointe à la protection de la vie privée a délibéré de la façon suivante :
- En général, elle estime que les fins de la collecte, de l'utilisation et de la communication des renseignements personnels sont appropriées, compte tenu du critère du jugement de la personne raisonnable décrit au paragraphe 5(3). Où il est indiqué que la fin est facultative, le client pourrait facilement dire qu'il ne veut pas être sollicité pour d'autres produits lorsqu'il remplit le formulaire de demande.
- La commissaire adjointe n'est cependant pas satisfaite du libellé utilisé pour décrire la portée des renseignements recueillis et communiqués. Elle a fait valoir qu'un client ne devrait pas être tenu de présenter à une banque une demande d'accès pour connaître les renseignements qu'elle a recueillis ou communiqués. Elle a plutôt signalé que les banques devraient fournir directement des exemples des genres de renseignements personnels recueillis, comme le nom, l'adresse, la préférence linguistique, la date de naissance, l'employeur, la profession, la cote de crédit, la valeur des titres détenus et l'historique du remboursement des prêts. Elles devraient en outre donner la justification de la collecte de chaque genre de renseignement (par exemple, la collecte de la date de naissance est exigée par la loi).
- Le plaignant a précisé que le suivi des achats des clients posait particulièrement problème. Bien que la commissaire adjointe ait estimé qu'une telle activité était appropriée aux fins de la détection de la fraude et de l'activité criminelle ainsi que de l'examen de l'utilisation du crédit, elle est d'accord qu'une personne pourrait ne pas comprendre à partir du libellé du formulaire de demande ou de tout autre document lié à la protection des renseignements personnels les motifs pour lesquels la banque suit l'historique des achats.
- Donc, même si elle accepte les fins invoquées par la banque, elle est d'avis que cette dernière ne fournissait pas un consentement explicite relatif à ses pratiques de collecte, d'utilisation et de communication, comme l'exigent les principes 4.3 et 4.3.2.
La commissaire adjointe a conclu que la plainte concernant les fins de la collecte, de l'utilisation et de la communication était non fondée, mais que celle visant le libellé du consentement était fondée.
Autres considérations
La commissaire adjointe a fait les recommandations suivantes :
- que la banque révise la partie des formulaires de demande qui traite du suivi de l'historique des achats afin de fournir aux demandeurs des renseignements satisfaisants sur cette activité;
- que la banque prenne des mesures pour inclure dans ses documents sur la protection des renseignements personnels davantage de précisions concernant les genres de renseignements personnels qu'elle recueille et pour établir des liens entre les genres de renseignements recueillis et leur utilisation;
- que la banque lui soumette un rapport sur la mise en oeuvre de ces recommandations.
La commissaire adjointe a également profité de l'occasion pour formuler des commentaires sur deux autres enjeux qui ont surgi pendant l'enquête.
1) Le formulaire précise que le demandeur doit prévoir un délai de huit à dix semaines pour le traitement d'une requête « de refus de participer ». Dans d'autres conclusions relatives à des plaintes semblables, le Commissariat avait adopté la position selon laquelle les nouveaux demandeurs de cartes de crédit devaient pouvoir refuser immédiatement, lorsqu'ils présentaient leur demande, toutes les utilisations secondaires de leurs renseignements personnels.
La commissaire adjointe a transmis à la banque les recommandations que le Commissariat a formulées à l'intention des autres banques concernant leurs formulaires de demande et qu'elle estime utiles. Plus précisément, nous avons recommandé que le formulaire :
- indique que le client n'a pas l'option de refuser son consentement à la communication par la banque de renseignements sur son crédit aux bureaux de crédit;
- contienne une déclaration sur la fin que la banque vise pour la communication continue de renseignements sur le crédit aux bureaux de crédit (par exemple, pour conserver l'intégrité du système d'octroi du crédit);
- précise que la collecte du nom, de l'adresse, de la date de naissance et de la profession du demandeur est exigée par la loi.
La commissaire adjointe a exhorté la banque d'ajouter de tels renseignement sur ses formulaires de demande.
2) Enfin, le plaignant a dit s'inquiéter de la taille de la police de caractère utilisée sur le formulaire de demande. Après s'être penchée sur la question, la commissaire adjointe était convaincue de l'existence d'un certain nombre de décisions importantes quant au choix de la taille de la police de caractère utilisée et que la protection des renseignements personnels n'avait pas été compromise étant donné que la même taille de police était utilisée pour d'autres renseignements importants sur le compte. Consciente des limites quant à la quantité de texte qui peut être inclus dans un formulaire de demande, elle a recommandé à la banque d'ajouter un énoncé sur son formulaire dans lequel elle porte à l'attention du demandeur les ressources où il pourra obtenir plus de précisions sur ses pratiques en matière de protection des renseignements personnels, comme son code de protection de la vie privée, qui sont disponibles en consultant le site Web ou en composant un numéro sans frais d'interurbain.
- Date de modification :