Des clients soutiennent qu’une banque a vendu à une autre banque leurs renseignements personnels, à leur insu et sans leur consentement

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2006-350

Veuillez noter que le Résumé de conclusions d’enquête n^o 2006-350 a été fusionné au Résumé de conclusions d’enquête n^o 2005-307 à cause de leur similarité.

[Principes 4.3.2, 4.3.3 et 4.8 de l’Annexe 1]

Après avoir appris que leur banque respective a vendu à une autre banque les renseignements de leur carte de crédit, deux personnes ont communiqué avec le Commissariat à la protection de la vie privée. À leur avis, elles auraient dû être informées de la vente avant que la transaction n’ait lieu et avoir la possibilité d’annuler leur carte avant que leurs renseignements personnels ne soient transférés à l’autre banque.

L’un des plaignants a affirmé qu’à son avis, sa banque n’avait pas rendu accessibles ses politiques et ses pratiques au sujet de la gestion des renseignements personnels. Il lui a également semblé que la banque lui demandait davantage de renseignements personnels que ce qui était nécessaire à l’obtention d’une nouvelle carte de crédit.

Les plaintes visent deux banques différentes. La commissaire à la protection de la vie privée a déterminé que les allégations de l’une des plaintes (plainte A) étaient non fondées. Dans ce cas, la banque avait modifié sa convention avec les détenteurs de cartes quelques années auparavant et y avait inclus une clause sur le consentement portant sur la vente de dossiers de cartes de crédit à une autre banque. En outre, contrairement à ce que le plaignant a affirmé, la commissaire a établi que la banque avait fait connaître ses politiques et ses pratiques sur la protection des renseignements personnels et qu’elle n’exigeait pas plus de renseignements que nécessaire.

Pour ce qui est de l’autre plainte (plainte B), la commissaire a déterminé que le plaignant n’avait pas consenti à la vente de ses renseignements personnels. Elle a donc recommandé que la banque modifie sa convention avec les détenteurs de cartes de crédit, ce à quoi la banque a acquiescé. La commissaire a donc jugé la plainte fondée et résolue.

Voici un résumé du déroulement de l’enquête et les conclusions rendues par la commissaire à la protection de la vie privée et la commissaire adjointe.

Résumé de l’enquête – plainte A (antérieurement connu sous le nom du Résumé de conclusions d'enquête #307)

Le plaignant détenait un compte de carte de crédit de la banque depuis de nombreuses années. En 2000, son compte a été transformé en un autre type de compte de carte de crédit, et le plaignant a alors reçu une convention avec les détenteurs de cartes. Cette convention ne comportait pas de modalité de « cession ».

La banque disposait d’une preuve documentaire montrant qu’elle avait envoyé une convention révisée à tous ses détenteurs de cartes en octobre 2001. L’avis de facturation envoyé aux clients précisait qu’une convention révisée était jointe à la facture. Cette convention comprenait une modalité de cession indiquant que la banque pouvait, par cession, vente ou autrement, transférer une partie ou la totalité de ses droits conformément à la convention. La banque se réservait le droit de fournir les renseignements des comptes de détenteurs de carte à quiconque elle transférerait ses droits, mais précisait qu’elle veillerait à ce que le transfert se fasse dans le respect de la vie privée des détenteurs de carte. 

La convention originale et la convention révisée renfermaient toutes les deux de l’information sur les pratiques de la banque en matière de protection des renseignements personnels. La version originale précisait aussi que les détenteurs de cartes pouvaient obtenir plus de détails dans la brochure élaborée par la banque sur la protection des renseignements personnels.

Bien que le plaignant ait retrouvé par la suite la convention révisée dans ses dossiers, il a soutenu que la banque avait agi à l’encontre des dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques.

En 2003, le plaignant a reçu, en même temps que sa facture de carte de crédit, un avis l’informant que son compte et le programme de cartes de crédit étaient transférés à une autre banque le premier jour du mois (2003). Selon la banque, un avis similaire avait été joint à la facture précédente. La banque a ajouté que la vente du programme et le transfert des comptes avaient été effectués peu de temps avant l’envoi de l’avis. À ce moment, la banque ayant acquis le programme de cartes a obtenu les noms et les adresses des détenteurs de cartes. La banque ayant vendu le programme a conservé tous les autres renseignements financiers jusqu’à ce que le transfert soit achevé au début de 2004.

En 2003, le plaignant a tenté à deux reprises, en communiquant avec sa banque, de retirer son consentement au transfert de ses renseignements personnels. Comme le transfert avait déjà eu lieu, la banque lui a déclaré qu’il ne pouvait pas décider de ne pas consentir au transfert, mais qu’il pouvait annuler son compte auprès de la banque maintenant responsable du programme. La version originale et la version révisée de la convention contenaient toutes deux de l’information sur ce droit que le plaignant pouvait exercer.

Lorsque le plaignant a demandé à sa banque d’ouvrir un nouveau compte de carte de crédit, celle‑ci lui a indiqué qu’il lui faudrait remplir une nouvelle demande et accepter de faire l’objet d’une vérification de solvabilité. Le plaignant a jugé que la banque aurait pu se servir des renseignements qu’elle détenait déjà à son sujet. La banque lui a toutefois répondu qu’elle ne possédait plus ces renseignements étant donné qu’ils avaient été transférés à l’autre banque au moment de la vente du programme de cartes de crédit.

Le plaignant, qui n’a pas jugé la réponse de la banque satisfaisante, est demeuré d’avis que la banque aurait dû obtenir son consentement explicite avant de vendre ses renseignements personnels à l’autre banque. 

Le Commissariat a examiné la convention de confidentialité signée par les deux banques avant la vente du programme. Cette convention garantissait la confidentialité et la protection des renseignements des clients et comportait un renvoi explicite à la Loi.

Conclusions

Rendues le 14 juillet 2005

Application : Selon le principe 4.3.2, les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Selon le principe 4.3.3, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Enfin, selon le principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Pour rendre sa décision, la commissaire ajointe à la protection de la vie privée s’est appuyée sur les considérations suivantes :

• L’enquête a révélé qu’en 2001, la banque avait envoyé à tous les détenteurs de cartes une convention modifiée énonçant, à titre de condition, qu’elle se réservait le droit de vendre son programme de cartes et de transférer des renseignements personnels dans le cadre de la vente. 
• Le plaignant a reconnu qu’il avait reçu la convention. Selon la commissaire adjointe, l’envoi de cet avis constituait un effort raisonnable de communication d’information aux clients, conformément au principe 4.3.2. Puisque la banque a envoyé cet avis, la commissaire croit que la banque n’a pas communiqué les renseignements personnels du plaignant à son insu et sans son consentement.

• En ce qui concerne les efforts déployés par la banque pour faire connaître ses politiques en matière de protection des renseignements personnels, la commissaire adjointe estime que la version originale et la version modifiée de la convention renfermaient de l’information sur les politiques et les pratiques de la banque en matière de protection des renseignements personnels, conformément aux exigences du principe 4.8.
• Enfin, la commissaire adjointe estime qu’il était approprié que la banque demande au plaignant ses renseignements personnels à jour s’il souhaitait obtenir une nouvelle carte de crédit. Puisque la banque avait transféré les renseignements personnels du plaignant à une autre banque dans le cadre de la vente de son portefeuille de cartes de crédit, elle ne détenait plus de renseignements personnels sur lui. Pour traiter sa nouvelle demande de carte de crédit, elle avait besoin de ces renseignements. La commissaire adjointe a donc estimé que la banque n’était pas allée à l’encontre du principe 4.3.3.

La commissaire adjointe a donc conclu que la plainte était non fondée.

Autres considérations

Indépendamment de ses conclusions, la commissaire adjointe a recommandé que la banque modifie sa convention de cartes de crédit afin d’aviser ses clients que, si elle décide de vendre ses biens à une autre institution financière, celle‑ci sera obligée de conserver les renseignements personnels des clients pendant une période de cinq ans, conformément au Règlement sur le recyclage des produits de la criminalité. La commissaire adjointe a également souligné que le détenteur d’une carte de crédit peut demander à l’organisation qui détient ses renseignements personnels de les supprimer au bout de ces cinq années. Si les renseignements ne sont pas supprimés, le détenteur d’une carte peut contester les pratiques de l’organisation qui ne se conforme pas aux exigences en matière de conservation prévues par la Loi sur la protection des renseignements personnels et les documents électroniques.

La banque n’a pas voulu mettre en œuvre cette recommandation. Elle a noté qu’il existe différentes périodes de conservation des renseignements applicables en plus de celle du Règlement sur le recyclage des produits de la criminalité et que, s’il fallait toutes les inclure, les conventions avec les détenteurs de cartes seraient considérablement plus longues qu’actuellement.

Résumé de l’enquête – plainte B

Le plaignant détenait un compte de carte de crédit auprès d’une banque. En 2004, sa banque l’a informé par écrit qu’elle avait vendu son portefeuille de cartes de crédit de l’Ouest canadien et de l’Ontario à une autre banque. Dans la lettre, on indiquait que les clients de ces régions recevraient des cartes de crédit émises par l’autre banque. Le plaignant a reçu un document l’informant des nouveaux services qui allaient être fournis par l’autre banque ainsi que les dates auxquelles les clients recevraient leur nouvelle carte et leur relevé de compte. La banque n’a pas indiqué à ses clients qu’ils avaient le droit d’annuler leur carte s’ils ne souhaitaient pas être les clients de l’autre banque.

Le plaignant a affirmé avoir communiqué avec un représentant du service à la clientèle de sa banque pour l’informer qu’il ne souhaitait pas avoir une carte de crédit de l’autre banque et qu’il voulait conserver la carte de sa banque actuelle. On lui a répondu que la chose n’était pas possible étant donné que sa banque n’offrirait plus de cartes de crédit à ses clients de l’Ouest canadien et de l’Ontario. Le plaignant a alors refusé la carte de crédit de l’autre banque et s’est opposé au transfert de ses renseignements personnels. Sa banque lui a suggéré de détruire la nouvelle carte de crédit qu’il recevrait, ce que le plaignant a fait. Il a également annulé le compte de carte de crédit qu’il avait avec sa banque peu de temps après avoir appris que le portefeuille de cartes de crédit de la banque avait été vendu, et il a réglé son solde. Il a indiqué au Commissariat qu’il souhaitait que ses renseignements personnels détenus par l’autre banque lui soient retournés puisqu’il ne voulait pas que cette dernière conserve ses renseignements.

La banque visée par la plainte a affirmé avoir vendu son portefeuille de cartes de crédit de l’Ontario et de l’Ouest canadien à l’autre banque avant d’informer ses clients de la chose. Environ deux semaines après la date du règlement de la vente, la banque a transféré à l’autre banque l’information du portefeuille. Par conséquent, l’information des comptes fermés avant cette date n’a pas été transférée. Étant donné que le compte du plaignant était actif après cette date, ses renseignements personnels avaient été transférés à l’autre banque.

Conformément au paragraphe 232(1) de la Loi sur les banques, la vente d’éléments d’actif est permise aux conditions suivantes :

La banque peut vendre la totalité ou quasi‑totalité de ses éléments d’actif à une institution financière constituée en personne morale sous le régime d’une loi fédérale ou à une banque étrangère autorisée dans le cadre des activités que celle‑ci exerce au Canada à condition que l’institution ou la banque étrangère autorisée acheteuse assume la totalité ou quasi‑totalité des dettes de la banque.

En outre, la banque visée par la plainte a indiqué qu’en vertu de la législation provinciale applicable, elle a le droit de vendre ou de transférer ses éléments d’actif. Dans le cas de la vente de dettes – la banque considère le transfert de comptes de cartes de crédit comme la vente d’une dette à une autre banque – l’identité du client est communiquée à la partie qui achète les éléments d’actif. Le client doit ensuite payer sa dette (c.‑à‑d. les achats effectués au titre de sa carte de crédit) à l’autre banque. La banque visée par la plainte a considéré qu’il n’était pas réalisable d’obtenir le consentement du client dans le cas de la vente de portefeuille et qu’il s’agissait d’un obstacle à sa capacité de faire des affaires. La banque s’est donc fiée au libellé de sa convention avec les détenteurs de cartes.

Nous avons examiné la convention d’origine du plaignant. En ce qui concerne l’utilisation et la communication de renseignements personnels, la convention établit que le client a autorisé la banque à communiquer les renseignements qu’elle possède au sujet du détenteur de la carte à toute autre personne y étant autorisée par la loi, à tout agent de renseignements personnels, à toute institution financière, à tout assureur d’hypothèques ou, avec le consentement du détenteur de la carte, à toute personne qui en fait la demande. Selon la convention, la banque peut utiliser les renseignements personnels du client pour lui envoyer tout document, toute publicité ou tout renseignement que la banque juge approprié.

Le Commissariat a discuté avec trois autres banques et a appris qu’elles avaient inclus à leur convention une clause de cession, selon laquelle la banque peut transférer une partie ou la totalité de ses droits par cession, vente ou autrement. La banque visée par la plainte n’a pas inclus une clause à cet effet dans sa convention.

Nous avons communiqué avec la banque qui a acheté le portefeuille de cartes de crédit afin d’établir si elle détenait les renseignements personnels du plaignant et, le cas échéant, combien de temps elle les conserverait. La banque possédait le nom du plaignant, sa date de naissance, son adresse ainsi que certains renseignements au sujet des transactions, des renseignements nécessaires à la prestation de services à la clientèle. Les renseignements sont conservés dans des dossiers inactifs et personne n’y a accès étant donné que le compte est inactif. Conformément au Règlement sur le recyclage des produits de la criminalité, les renseignements doivent être conservés pendant les cinq années suivant la date de fermeture du compte.

Conclusions

Rendues le 9 juin 2006

Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Selon le principe 4.3.2, les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre la manière dont les renseignements seront utilisés ou communiqués.

Pour rendre sa décision, la commissaire s’est appuyée sur les considérations suivantes :

• La banque visée par la plainte comptait sur les dispositions contenues dans sa convention avec les détenteurs de cartes pour justifier son affirmation selon laquelle le plaignant a consenti au transfert de ses renseignements personnels à l’autre banque. La commissaire juge toutefois que le libellé de ces dispositions n’était pas suffisamment précis et que pour cette raison, les exigences de la Loi sur la clarté n’ont pas été respectées.
• La clause sur le consentement contenue dans la convention avec les détenteurs de cartes, clause qui devait régir l’utilisation et la communication des renseignements, ne mentionne aucunement le transfert permanent du portefeuille de cartes de crédit à une autre banque. Par conséquent, on ne peut pas conclure que les clients de la banque consentent au transfert de leurs renseignements. Dans cette situation, la banque – qui fournit les services et qui est l’organisation à qui le plaignant a fourni l’information en vue d’obtenir des services – cesse de faire partie de la relation. On ne peut pas s’attendre à ce qu’un consommateur, de façon raisonnable, puisse conclure que son consentement s’applique à des fins aussi vastes.
• Selon le principe 4.3.2, les organisations doivent expliquer clairement aux personnes concernées les fins auxquelles leurs renseignements seront utilisés ou communiqués. Dans la convention avec les détenteurs de cartes, les clients n’ont pas été informés, de façon  à ce qu’ils soient raisonnablement en mesure de comprendre, que leurs renseignements personnels pourraient être échangés par suite d’une vente à des tiers.
• Puisque la banque n’a pas satisfait aux exigences du principe 4.3.2, la commissaire juge que la banque n’a pas obtenu le consentement probant du plaignant, conformément au principe 4.3.
• Elle conclut donc que la banque a contrevenu à la Loi.

Afin que la banque agisse conformément aux principes 4.3.2 et 4.3, la commissaire a recommandé à la banque d’ajouter une clause de cession à sa convention avec les détenteurs de cartes. Elle a également recommandé à la banque d’aviser ses clients que dans l’éventualité où des éléments d’actif sont vendus à une autre institution financière, celle-ci pourrait être légalement tenue de conserver l’information transférée pendant une certaine période de temps.

La banque a réagi de façon favorable et a indiqué qu’elle modifierait sa convention afin d’y inclure une clause de cession qui permettra également d’informer les clients que tout cessionnaire peut être tenu légalement de conserver les renseignements personnels des clients pendant un certain temps. Les mesures prises semblent répondre à nos préoccupations de façon satisfaisante.

Puisqu’elle juge les mesures prises satisfaisantes, la commissaire conclut que la plainte est fondée et résolue.