Une caissière de banque communique des relevés de compte d’un détenteur de carte de crédit à l’épouse de ce dernier
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-378
[Principe 4.3 de l’annexe 1]
Leçons apprises
- Afin de fournir une piste de vérification convenable, les banques devraient établir des procédures concernant la consignation de renseignements par rapport à quand on a accédé au compte ou imprimé des relevés.
- La formation des employés des banques devrait mettre l’accent sur l’importance de protéger les renseignements personnels contre la communication non autorisée.
La communication par une caissière d’une copie des relevés de compte d’un détenteur de carte de crédit à l’épouse de ce dernier est à l’origine d’une dispute conjugale. La femme voulait effectuer un paiement dans ce compte, puis le fermer. Lorsque la caissière a indiqué à la femme que le montant du paiement ne suffisait pas pour fermer le compte, celle‑ci s’est montrée surprise. La caissière lui a alors fourni des copies papier de trois relevés de compte afin de prouver qu’il n’y avait pas d’erreur sur le solde. Le compte était au nom du mari seulement, et ce dernier avait demandé à la banque de ne pas envoyer les relevés à son domicile parce qu’il voulait cacher ses habitudes de dépenses à sa femme. D’habitude, c’était le mari qui effectuait les paiements – le jour en question, le couple avait trouvé plus pratique que la femme le fasse.
Cette affaire s’est avérée épineuse – les bandes vidéo de surveillance n’étaient plus disponibles, les employés soutenaient qu’ils ne se souvenaient pas de l’incident, et on avait d’abord déclaré au Commissariat que le système informatique de la banque n’enregistrait pas les opérations de consultation des comptes ou d’impression des relevés. Cependant, un témoignage a permis à la commissaire adjointe à la vie privée de conclure qu’il y avait bien eu communication indue de renseignements personnels. La commissaire adjointe a déposé un rapport à la banque, dans lequel elle lui recommande de revoir son système informatique afin de conserver une trace des consultations de comptes ou de l’impression des relevés de compte. Elle a également recommandé à la banque de mentionner cet incident lors de la formation sur la protection de la vie privée dispensée à ces employés, afin de souligner l’importance de protéger les renseignements personnels contre toute communication non autorisée. C’est ce qu’a fait la banque. En ce qui concerne la première recommandation, il est apparu que la banque avait la possibilité dès le début de retracer de telles informations. Il a donc été possible de déterminer quel employé avait consulté le compte et imprimé les relevés de compte.
Même si la commissaire adjointe a reconnu que ses recommandations avaient été suivies, elle a été très déçue par les informations souvent contradictoires fournies par la banque au cours de l’enquête. Elle a fait remarquer que beaucoup de temps, d’efforts et de dépenses auraient pu être épargnés si la banque avait vérifié ses informations auprès de ses responsables avant de les communiquer au Commissariat.
Suit un résumé du déroulement de l’enquête et des délibérations de la commissaire adjointe.
Résumé de l’enquête
La femme du plaignant s’est présentée un jour, à l’heure du dîner, dans une succursale de la banque en question pour effectuer un paiement dans le compte de la carte de crédit de son mari. Le plaignant était le seul titulaire de ce compte. Sa femme a fourni le numéro de compte qu’il lui avait donné et la caissière a consulté le compte sur son écran d’ordinateur. L’épouse du plaignant, pensant s’acquitter du solde du compte, a demandé à la caissière de fermer le compte. Même si le plaignant savait que sa femme effectuait un paiement, il ne l’avait pas autorisée à fermer le compte. La caissière a indiqué à la femme que le solde du compte ne serait pas à zéro après le paiement qu’elle se proposait d’effectuer et que, par conséquent, elle ne pourrait pas fermer le compte. La femme a pensé que cela pouvait être dû aux intérêts courus et elle a posé la question à la caissière. La caissière a expliqué que le solde du compte était beaucoup plus élevé que cela. Pensant qu’il pouvait s’agir d’une erreur, la femme du plaignant a demandé quelles transactions avaient été effectuées sur ce compte. Le plaignant a déclaré que la caissière avait alors imprimé les relevés de compte des trois derniers mois et les avait remis à sa femme pour prouver qu’il n’y avait pas d’erreur.
La femme s’est fâchée à la vue des relevés de compte et n’a pas procédé au paiement. Au lieu de cela, elle a téléphoné au plaignant puis elle est retournée au travail, toujours fâchée. Elle a mentionné l’incident à l’une de ses collègues, expliquant ce qui s’était passé et lui montrant les relevés de compte. Elle a ensuite quitté son bureau pour la journée.
Près de six mois plus tard, le plaignant a communiqué avec la succursale pour lui demander une explication en ce qui concerne la communication présumée de ses renseignements personnels. Il n’avait pas encore eu la possibilité de soulever cette question auprès de la succursale, car il avait d’abord voulu régler ses problèmes de dépenses excessives. Il a fourni aux employés de la succursale le nom et la description de la caissière tels que sa femme se les rappelait.
Le plaignant et le Commissariat ont tous les deux été informés qu’aucune caissière ne portait le nom indiqué par l’épouse. Aucun des employés interrogés par le Commissariat ne se souvenait de l’incident.
La succursale n’a pu recueillir de renseignements à partir des bandes vidéo de surveillance qui auraient pu aider à déceler l’identité de la caissière qui s’est occupée de la femme du plaignant. En effet, ces bandes vidéo sont conservées pendant une période donnée, puis réutilisées. Comme l’incident avait eu lieu six mois plus tôt, l’information n’était plus disponible.
Le plaignant a également suggéré que le code de démarrage figurant au bas de chaque page pourrait aider à déterminer qui avait imprimé les relevés de compte. Mais la succursale a indiqué que ce code n’était nullement personnel et ne pourrait pas aider à déterminer l’identité de la personne.
On avait d’abord affirmé au Commissariat qu’il était impossible de connaître l’identité de la personne qui consulte un compte ou imprime un relevé de compte. Le Commissariat a examiné le système informatique de la banque au sujet du compte de la carte de crédit du plaignant. Il n’y avait aucune saisie ou trace indiquant que le compte avait été consulté ou que des relevés de compte avaient été imprimés, ni le jour en question ni même un autre jour. L’enquête s’est alors concentrée sur la signification du code de démarrage figurant au bas des relevés de compte et sur une comparaison entre les relevés de compte que la femme du plaignant avait en sa possession et les relevés qui avaient été imprimés à notre demande par la succursale. Tout cela en vain.
Plus tard, la banque a informé le Commissariat qu’elle pouvait identifier, au moyen de ses nombreux systèmes, la caissière qui avait consulté le compte. Celle-ci a déclaré au Commissariat et à la banque qu’elle ne se souvenait pas de l’incident. Elle correspondait, par ailleurs, à la description fournie à la banque (avant que le plaignant ne s’adresse au Commissariat) et au Commissariat.
Nous avons fait le suivi auprès de la banque et examiné les documents internes relatifs à l’affaire en question. Il est apparu que des informations contradictoires ont été communiquées aux représentants de la banque qui ont fait affaire avec le Commissariat, ce qui explique pourquoi les informations que nous avons reçues étaient inexactes. En définitive, la banque a prouvé ses compétences en matière de vérification de l’information.
La banque a confirmé qu’un tiers pouvait effectuer un paiement au nom du titulaire d’un compte. Dans ce cas, le relevé de compte est imprimé par le caissier ou le tiers reçoit un reçu informatique. La banque a affirmé qu’une tierce personne ne pouvait recevoir de copie des relevés de compte, que seules les personnes figurant sur la liste du compte étaient en droit de recevoir cette information et que seul le titulaire pouvait fermer son compte. La banque a aussi indiqué que même si elle pouvait identifier l’employée qui avait imprimé les relevés de compte, on ne pouvait prouver que c’était la femme du plaignant (et non le plaignant lui-même) qui avait demandé les copies des relevés de compte.
Le Commissariat a interrogé la collègue de l’épouse, qui a confirmé que celle-ci était fâchée lorsqu’elle était revenue au travail le jour en question. La collègue a déclaré que la femme du plaignant lui avait raconté ce qui s’était passé à la succursale et lui avait montré les relevés de compte. La collègue a affirmé que ces relevés de compte montraient un certain nombre de retraits, et que le solde excédait de loin la somme que l’épouse pensait devoir verser. La collègue a confirmé que l’épouse du plaignant était trop bouleversée pour travailler et qu’elle avait quitté le bureau.
Conclusions
Rendues le 23 mars 2007
Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :
- La banque a finalement reconnu que le compte du plaignant avait été consulté le jour en question et que des relevés de ce compte avaient été imprimés. La difficulté consistait à déterminer dans quelles circonstances ces relevés de compte avaient été imprimés et s’ils avaient bien été remis à l’épouse du plaignant, comme ce dernier le soutenait.
- L’employée concernée ne se souvenait pas de l’incident.
- Les bandes vidéo de surveillance qui auraient pu montrer l’épouse entrant dans la succursale et discuter avec la caissière avaient été détruites, étant donné le laps de temps qui s’était écoulé entre l’incident et le dépôt de la plainte à la banque.
- L’élément de preuve qui a confirmé la version de l’épouse est le témoignage recueilli par le Commissariat auprès de la collègue de l’épouse.
- Autre élément important : la description fournie par l’épouse correspondait à celle de la caissière qui avait consulté le compte.
- À la lumière de ce qui précède, la commissaire adjointe était encline à croire que la communication des informations avait bien eu lieu. Étant donné que le nom de l’épouse ne figurait pas sur le compte, la commissaire adjointe a estimé que l’épouse du plaignant n’était pas en droit d’obtenir les renseignements en question, ni d’ailleurs aucun renseignement concernant le compte.
- Par conséquent, la commissaire adjointe a conclu que des renseignements personnels du plaignant avaient été communiqués à son insu et sans son consentement, en violation du principe 4.3.
- La commissaire adjointe a recommandé à la banque de mettre en place des procédures d’enregistrement lors de la consultation d’un compte ou de l’impression de relevés de compte afin d’être en mesure de fournir de meilleures pistes de vérification. Elle a recommandé également à la banque de mentionner cet incident lors de la formation sur la protection de la vie privée dispensée à ses employés, afin de souligner l’importance de protéger les renseignements personnels de toute communication non autorisée.
- La banque a fait savoir qu’elle pouvait retracer cette information et qu’elle mentionnerait cet incident dans sa formation. De telles mesures pourraient, selon elle, aider l’entreprise à mieux respecter ses obligations en vertu de la Loi.
La commissaire adjointe a conclu que la plainte était fondée et résolue.
Autres considérations
Cependant, la commissaire adjointe a souligné son mécontentement quant à la façon dont la banque a traité la plainte. Elle a déclaré ce qui suit :
[Traduction]
Le fait que [la banque] n’ait pas réussi à fournir une explication satisfaisante au sujet des informations incomplètes, inexactes et contradictoires qu’elle nous a remis sur l’employée mise en cause dans l’incident et sur la capacité de son système informatique a contribué à notre déception..Selon nous, [la banque] doit faire plus d’efforts pour s’assurer que le Commissariat reçoit des informations complètes et exactes pendant une enquête. Cela signifie qu’elle doit confirmer les informations qu’elle reçoit de ses succursales afin d’éviter la répétition de ce scénario. Bien du temps, des efforts et des dépenses auraient pu être épargnés si, dès le début, [la banque] avait été mieux disposée à communiquer l’information et si elle avait fait de réels efforts pour vérifier de quoi son système informatique était capable.
Voir aussi
#331 Communication de l’historique du compte de carte de crédit à une ex-conjointe
- Date de modification :