Un client reçoit des renseignements sur les comptes bancaires d’autres clients
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2006-335
(Principes 4.3 et 4.7 de l’annexe 1)
Le client d’une banque a découvert avec surprise, lorsqu’il a ouvert un paquet devant contenir des documents qu’il avait demandés à sa banque, qu’en plus des renseignements demandés, le paquet contenait les renseignements de plus de cent soixante autres titulaires de comptes. Une fois avisée de la chose, la banque a pris de nombreuses mesures pour informer les clients concernés et améliorer ses mesures de sécurité afin d’éviter qu’un problème du genre ne se reproduise. La commissaire adjointe à la protection de la vie privée a jugé que les plaintes étaient fondées et résolues.
Voici un résumé du déroulement de l’enquête et les conclusions rendues par la commissaire adjointe.
Résumé de l’enquête
Le plaignant s’était rendu à l’une des succursales de la banque pour obtenir le relevé des transactions qu’il a effectuées sur une période de deux ans au titre de l’un de ses comptes. Peu de temps après, le caissier de la banque auprès duquel le plaignant avait effectué sa demande a communiqué avec ce dernier pour l'informer que les documents demandés étaient prêts et qu’il pouvait venir les chercher.
Lorsque le plaignant a pris connaissance des documents, il s’est rendu compte qu’en plus de ses renseignements personnels, il avait en main les renseignements personnels d’autres titulaires de comptes. Le plaignant a alors communiqué avec le Commissariat et lui a remis tous les renseignements, que le Commissariat a à son tour remis à la banque. Le plaignant a affirmé ne pas avoir fait de copie de l’information.
L’information contenait le nom partiel de plus de 160 titulaires de comptes, en plus de leur numéro de compte et du montant qui y était conservé. Dans certains cas, l’information permettait de savoir à quelle date un compte avait été utilisé pour la dernière fois.
La banque a communiqué avec les personnes concernées pour les informer que leurs renseignements personnels avaient été malencontreusement communiqués. Dans certains cas, des comptes avaient été fermés, et la banque ne disposait pas des coordonnées nécessaires pour communiquer avec leurs anciens titulaires. La banque a affirmé qu’aucun des comptes touchés n’avait fait l’objet d’une « prise de contrôle ».
Le caissier ayant fourni l’information n’était pas censé, dans le cadre de ses fonctions normales, fournir aux clients des rapports de transactions. C’est habituellement le superviseur qui se charge de répondre à ce genre de demandes. Le caissier a confirmé avoir préparé les rapports du plaignant sans bien connaître la démarche à suivre. Il a fait la demande nécessaire à partir de son ordinateur. La demande a été envoyée au fichier central, où se fait normalement le traitement de demandes pour l’obtention de relevés.
Lorsque le caissier a reçu le paquet, il a remarqué qu’il contenait de nombreuses pages. Il n’a toutefois pas examiné les documents assez longuement pour établir qu’ils contenaient de nombreux renseignements personnels d’autres clients. Lorsqu’aux fins d’une demande, on entre un nom et un numéro de compte, l’ordinateur cherche la totalité des titulaires de comptes pour les dates demandées. L’employé doit ensuite « couper‑coller » l’information souhaitée de façon à ce que le relevé ne contienne que les renseignements personnels du demandeur. Dans ce cas, l’employé n’était pas au courant de la procédure.
Le caissier a donc suivi une nouvelle formation sur la protection de la vie privée. On a rappelé aux employés la marche à suivre pour la production de rapports de transactions, et un avis est maintenant joint à chaque rapport pour rappeler aux employés d’éliminer l’information des autres clients avant de communiquer tout rapport. Les mesures visant le contrôle de la qualité et la vérification ont également été officialisées.
La banque procédait également à l’examen de système de production de rapports afin que ne soit produite que l’information du client concerné et ainsi éviter d’avoir à retirer l’information relative aux autres clients.
Conclusions
Rendues le 27 juin 2006
Application : Conformément au principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Conformément au principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
Pour rendre sa décision, la commissaire adjointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :
- La question de savoir si la banque a communiqué indûment les renseignements personnels d’autres clients – en envoyant au plaignant un rapport contenant les noms partiels, les numéros de comptes et les dates des dernières transactions d’autres titulaires de comptes – ne fait l’objet d’aucun litige. Le caissier n’a pas vérifié si seuls les renseignements personnels du plaignant lui étaient communiqués; par conséquent, il n’a pas veillé à protéger les renseignements personnels des autres clients.
- Par conséquent, la commissaire adjointe conclut que la banque a enfreint les principes 4.3 et 4.7.
- La banque a réagi de façon appropriée, c’est-à-dire qu’elle a communiqué avec les clients qu’il lui était possible de joindre, pris les mesures nécessaires avec l’employé en cause et communiqué un certain nombre de rappels à l’ensemble de ses employés. Elle a également pris des mesures pour modifier ses procédés et éviter qu’un problème de cette nature ne se reproduise. Les mesures prises semblent satisfaisantes.
La commissaire adjointe conclut que les plaintes sont fondées et résolues.
Pour terminer, la commissaire adjointe fait remarquer que, bien que la banque ait pris des mesures appropriées pour éviter le plus possible que des problèmes de cette nature ne se produisent, il n’en demeure pas moins que l’incident est très malencontreux. Elle a rappelé qu’il importe que chaque employé prenne au sérieux ses responsabilités en matière de protection de la vie privée dans le cadre de ses activités quotidiennes qui comportent la manipulation de renseignements personnels. Elle a aussi insisté sur l’importance, pour l’organisation, de veiller à ce que ces responsabilités soient prises au sérieux.
- Date de modification :