Une banque exige une pièce d’identité avant de répondre à une demande d’accès à des renseignements personnels
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-334
(Principes 4.9, 4.9.2, 4.8.1 et 4.8.2 de l’annexe 1et paragraphe 8(3) de la Loi)
Le plaignant allègue qu’à la suite de sa demande d’accès, la banque lui a envoyé un formulaire, indiquant la façon de remplir une demande d’accès aux renseignements personnels et exigeant qu’une pièce d’identité soit fournie pour le traitement d’une telle demande. Le plaignant s’est plaint à notre bureau, étant d’avis que l’obligation de remplir un tel formulaire pour effectuer une demande d’accès allait à l’encontre de la Loi qui fixe un délai de 30 jours suivant la réception d’une demande pour y répondre.
Résumé de l’enquête
Au cours de l’enquête, la banque a précisé que le but du formulaire de demande d’accès était d’obtenir une preuve d’identité en demandant une photocopie d’une pièce valide d’identité (permis de conduire, certificat de naissance, passeport ou certificat de citoyenneté). La banque a considéré que le principe 4.9.2 de la Loi lui permettait de vérifier l’identité du demandeur avant de lui remettre les documents demandés. La banque a donc considéré que le délai de 30 jours ne commençait à courir qu’à partir de la réception de la pièce manquante, moment où la demande complète lui avait été expédiée.
Le plaignant s’est dit d’avis que le délai de réponse à sa demande aurait dû commencer à courir au moment de la réception de sa demande initiale. Il a considéré qu’en ne prenant pas en compte cette date initiale, la banque n’avait pas respecté le délai fixé par la Loi.
Par ailleurs, la banque nous a informés que le but du formulaire était de faciliter la demande d’accès mais que son utilisation n’était pas obligatoire. Si le demandeur fournissait sa demande accompagnée d’une copie de la pièce d’identité requise — sans avoir rempli le formulaire — la banque répondrait à sa demande d’accès.
Conclusions
Rendues le 21 février 2006
Application : Le paragraphe 8(3) de la Loi indique que l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Le principe 4.9 de l’annexe 1 indique qu’une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Il sera aussi possible de contester l’exactitude et l’intégralité des renseignements et d’y faire apporter les corrections appropriées. Le principe 4.9.2 stipule qu’une organisation peut exiger que la personne concernée lui fournisse suffisamment de renseignements pour qu’il lui soit possible de la renseigner sur l’existence, l’utilisation et la communication de renseignements personnels. L’information ainsi fournie doit servir à cette seule fin.
Le principe 4.8.1 stipule que les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans efforts déraisonnables de l'information au sujet des politiques et des pratiques d'une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible. Le principe 4.8.2 précise notamment que les renseignements fournis doivent comprendre (b) la description du moyen d'accès aux renseignements personnels que possède l'organisation.
La commissaire adjointe a considéré que le principe 4.9.2 permettait à la banque de demander qu’une pièce d’identité soit fournie. Elle a considéré raisonnable d’exiger que le demandeur s’identifie avant que sa demande d’accès soit traitée et que ses renseignements personnels lui soient communiqués. Par ailleurs, la commissaire adjointe s’est dite d’avis que le délai de 30 jours débutait à partir de la réception de la demande jugée complète par l’organisation. Dans le cas contraire, l’organisation pourrait être tenue responsable de n’avoir pas répondu dans le délai de 30 jours à un demandeur qui néglige, par exemple, d’envoyer les renseignements manquants à sa demande dans un délai raisonnable.
Quant à l’accessibilité des moyens pour accéder à ses renseignements personnels, la banque a indiqué en cours d’enquête, qu’elle ferait les modifications à son site web pour y inclure la façon de procéder pour effectuer une demande d’accès. Ces modifications ont maintenant été intégrées au site.
La commissaire adjointe a conclu que la plainte était non fondée quant à la question du délai et résolue quant à la question de la description du moyen d'accès aux renseignements personnels.
- Date de modification :