Une banque donne des renseignements inexacts sur les fins pour lesquelles des renseignements personnels sont recueillis lorsqu'un client passe prendre une carte de crédit
Rapport des conclusions en vertu de la LPRPDE no 2013-002
Le 15 avril 2013
Lorsqu'un client s'est présenté à la succursale bancaire avec laquelle il faisait affaire depuis plus de 30 ans pour prendre possession de sa carte de crédit de remplacement, l'employé lui a demandé son permis de conduire afin d'en inscrire le numéro à son dossier. Le client a refusé parce que le numéro de référence de son certificat de naissance figurait déjà à son dossier et que le personnel de la succursale bancaire le connaissait. Il a par la suite reçu sa carte de crédit de remplacement par la poste, ce qui ne l'a pas obligé à fournir des renseignements personnels supplémentaires.
Le client s'est adressé à des représentants du service à la clientèle et de l'ombudsman de la banque afin d'obtenir plus d'information. Dans un premier temps, le service à la clientèle lui a répondu que la banque exigeait le numéro de permis de conduire pour se conformer à la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) et à la ligne directrice B-8, Mécanismes de dissuasion et de détection du recyclage des produits de la criminalité et du financement des activités terroristes, du Bureau du surintendant des institutions financières (BSIF). Par la suite, l'ombudsman de la banque a toutefois indiqué au plaignant que la raison invoquée pour justifier l'enregistrement de son numéro de permis de conduire aux fins de la conformité à la LRPCFAT était erronée.
Le client a porté plainte auprès du Commissariat à la protection de la vie privée du Canada (Commissariat). Puisqu'il avait refusé de présenter son permis de conduire, les renseignements personnels connexes le concernant n'avaient pas en fait été recueillis. Le Commissariat a donc déterminé que ce volet de la plainte n'était pas fondé. Néanmoins, à la suggestion du Commissariat, la banque a accepté de revoir sa procédure pour la remise des cartes de crédit. Ainsi, lorsque les pièces d'identité au dossier d'un client respectent les exigences relatives à la lutte contre le blanchiment d'argent, mais que le client présente une pièce d'identité différente lorsqu'il vient chercher une carte de crédit de remplacement, la banque limitera l'information qu'elle recueillera au type et au lieu d'émission de la nouvelle pièce d'identité.
En outre, comme la banque avait fourni au client des renseignements inexacts sur les fins pour lesquelles les renseignements personnels étaient recueillis, le Commissariat a conclu que le principe 4.2.5 avait été enfreint. À la lumière des procédures révisées pour la remise des cartes de crédit, et du fait que la banque a fait circuler l'information parmi ses employés, la plainte ayant trait aux fins de la collecte de renseignements est donc fondée et réglée.
Leçons apprises
- Les membres d'une organisation qui recueille des renseignements personnels devraient être en mesure d'expliquer aux personnes concernées les fins pour lesquels ces renseignements sont recueillis.
Rapport de conclusions
Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)
1. Le plaignant allègue qu'une banque (la mise en cause) a exigé indûment de consigner des renseignements apparaissant sur son permis de conduire sous prétexte qu'il s'agissait d'une exigence de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT).
Résumé de l'enquête
2. Lorsque le plaignant s'est présenté à la succursale bancaire avec laquelle il faisait affaire depuis plus de 30 ans pour prendre possession d’une carte de crédit de remplacement, un employé lui a demandé son permis de conduire afin de consigner certains renseignements apparaissant sur ce dernier. Or, le dossier du plaignant faisait déjà état du numéro de référence de son certificat de naissance ainsi que de la date d'émission de celui ci.
3. Selon la banque, l'employé qui a servi le client a estimé que le dossier de ce dernier ne respectait pas les exigences d'identification en matière de lutte contre le blanchiment d'argent. Il lui a donc demandé une pièce d'identité afin de mettre à jour son dossier. Toutefois, comme le client a refusé de lui présenter la pièce d'identité demandée, l'employé de la banque n'a pas pu voir, recueillir ou consigner les renseignements nécessaires. Le client n'a donc pas obtenu sa carte de crédit à la succursale bancaire.
4. Après avoir reçu sa carte de crédit par la poste, le client s'est adressé à la banque – d'abord au service à la clientèle, puis à l'ombudsman de la banque. Il s'est plaint du fait que la banque lui avait demandé son permis de conduire sans accepter aucune autre pièce d'identité avec photo, et cela même si le personnel de la succursale qui l'avait servi le connaissait. Il a également demandé quel était le règlement précis en vertu duquel la banque devait vérifier et consigner l'information figurant sur son permis de conduire.
5. Un représentant du service à la clientèle a répondu qu'en vertu de la LRPCFAT et de la ligne directrice B-8, Mécanismes de dissuasion et de détection du recyclage des produits de la criminalité et du financement des activités terroristes, du Bureau du surintendant des institutions financières (BSIF), la banque était tenue de mettre en œuvre des politiques d'atténuation du risque de blanchiment d'argent, qui comprennent l'identification des clients et la tenue de documents. En outre, la banque a pour politique de tenir un dossier renfermant deux pièces d'identité pour chaque client, dont une pièce d'identité avec photo émise par l'État.
6. Par la suite, l'ombudsman de la banque a indiqué au plaignant que la raison qui lui avait été donnée relativement à la consignation des renseignements apparaissant sur son permis de conduire aux fins du respect de la LRPCFAT était inexacte. Insatisfait des réponses de la banque, le plaignant a déposé la plainte actuelle auprès du Commissariat, qui l'a acceptée le 17 janvier 2012.
7. Dans le cadre de notre enquête, nous avons examiné les procédures de la banque en ce qui a trait à la remise des cartes de crédit (les procédures). En vertu de ces procédures, un client qui passe prendre une carte de crédit doit présenter deux pièces d'identité, dont une pièce d'identité avec photo émise par l'État. En outre, si l'identification du client au dossier est conforme aux exigences en matière de lutte contre le blanchiment d'argent, mais que le client présente une pièce d'identité différente de celle figurant au dossier, les employés doivent consigner l'information qui apparaît sur cette pièce d'identité dans un formulaire fourni à cette fin. Les renseignements suivants doivent être entrés dans les champs correspondants du formulaire : (i) le numéro de référence (p. ex. le numéro du permis de conduire); (ii) s'il s'agit d'une pièce avec photo ou non; (iii) la description ou le type de pièce d'identité; (iv) la province ou l'État où la pièce d'identité a été délivrée; (v) le pays où la pièce d'identité a été délivrée.
8. Nous avons également examiné le Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (RRPCFAT), en vertu duquel les entités financières sont tenues de vérifier l'identité des personnes dans certaines circonstances. Lorsqu'une entité financière ouvre un compte de carte de crédit au nom d'une personne, le paragraphe 64(1.1) stipule que l'identité de cette personne doit être vérifiée au moyen de l'un des documents suivants : (i) son certificat de naissance; (ii) son permis de conduire; (iii) sa carte d'assurance-maladie provinciale (si un tel usage n'est pas interdit aux termes de la loi provinciale applicable); (iv) son passeport; (v) tout autre document semblable.
9. Comme le dossier du plaignant renfermait déjà le numéro de référence de son certificat de naissance ainsi que le lieu où il avait été délivré, conformément aux exigences du RRPCFAT, il appert que la banque n'avait pas besoin de consigner de données d'identification supplémentaires aux fins de la LRPCFAT.
10. La banque a confirmé qu'elle demandait des pièces d'identité avec photo, lorsqu'un client passait prendre une carte de crédit, aux fins suivantes : (i) vérifier son identité; (ii) satisfaire aux exigences en matière de lutte contre le blanchiment d'argent; (iii) prévenir et empêcher la fraude.
11. En ce qui a trait aux exigences en matière de lutte contre le blanchiment d'argent, la banque a adopté la position selon laquelle les titulaires de carte de crédit, et par conséquent les titulaires de carte de crédit en tant que groupe, ne sont pas considérés comme présentant un risque minime. Par conséquent, la banque a fait valoir que ses procédures étaient raisonnables et nécessaires pour répondre aux attentes du BSIF en vertu de la ligne directrice B-8, selon laquelle, notamment, lorsque le seul document disponible pour établir avec certitude l'identité d'un client est le certificat de naissance ou la carte d'assurance sociale et que le risque évalué de blanchiment d'argent ou de financement d'activités terroristes du client n'est pas minime, les institutions financières sous réglementation fédérale devraient envisager de prendre des mesures d'identification supplémentaires.
12. En lisant la ligne directrice susmentionnée, nous avons constaté qu'elle suggère, parmi les mesures d'identification supplémentaires, de demander à voir l'original d'autres documents d'identification acceptables émis par l'État, dont une pièce d'identité avec photo.
Application de la Loi
13. Nous avons rendu nos décisions en appliquant les principes 4.4 et 4.2.5 de l'annexe 1 de la Loi.
14. Selon le principe 4.4, une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
15. Selon le principe 4.2.5, les personnes qui recueillent des renseignements personnels devraient être en mesure d'expliquer à la personne concernée à quelles fins ces renseignements sont destinés.
Constatations
16. Les questions soulevées dans le cadre de la présente enquête sont les suivantes :
- La banque a-t-elle limité sa collecte de renseignements personnels aux données nécessaires aux fins déterminées par l'organisation?
- La banque s'est-elle assurée que ses employés étaient en mesure d'expliquer à quelles fins les renseignements personnels étaient recueillis?
Collecte limitée
17. Il s'agit ici de déterminer si la banque a limité sa collecte de renseignements personnels sur le plaignant aux données nécessaires aux fins déterminées par l'organisation.
18. En vertu du principe 4.4, une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
19. Dans le cas présent, la banque soutient que, comme le plaignant n'a pas présenté son permis de conduire à l'employé, elle n'a pas recueilli de renseignements personnels le concernant. Nous avons accepté cette position et conclu que la banque n'avait pas enfreint le principe 4.4.
20. Néanmoins, au cours de notre enquête, la banque a mis à jour ses procédures en ce qui a trait à la remise des cartes de crédit. En vertu des procédures, le client doit encore présenter deux pièces d'identité faisant partie d'une liste de documents acceptables, dont l'une doit être une pièce d'identité avec photo émise par l'État. Toutefois, si les documents d'identification du client au dossier répondent aux exigences en matière de lutte contre le blanchiment d'argent, mais que le client présente une pièce d'identité différente, la banque consignera uniquement le type et le lieu d'émission de la nouvelle pièce d'identité plutôt que le numéro de référence figurant sur cette pièce d'identité.
21. Nous sommes d'avis que cette nouvelle procédure répond au besoin légitime de la banque d'authentifier comme il se doit les personnes qui viennent chercher leur carte de crédit, tout en s'assurant que la banque ne recueille pas plus de renseignements personnels que nécessaire à cette fin.
Fins d'identification
22. Il s'agit ici de déterminer si la banque s'est assurée que ses employés étaient en mesure d'expliquer correctement aux clients (et par conséquent, au plaignant) les fins pour lesquelles les renseignements personnels étaient recueillis.
23. Lorsqu'une entité financière ouvre un compte de carte de crédit au nom d'une personne, le paragraphe 64(1.1) du RRPCFAT stipule que l'identité de cette personne doit être vérifiée au moyen d'un document figurant sur la liste de pièces d'identité acceptables. Or, le certificat de naissance figure sur cette liste.
24. Notre enquête a révélé qu'au moment où le plaignant a tenté de de prendre possession de sa carte de crédit de remplacement, la banque avait l'information de son certificat de naissance au dossier et qu'elle respectait par conséquent les exigences du RRPCFAT. Néanmoins, l'employé de la banque a demandé de consigner l'information figurant sur le permis de conduire du plaignant, en lui indiquant qu'il devait le faire pour se conformer aux exigences en matière de lutte contre le blanchiment d'argent, ce qui était inexact.
25. Par conséquent, la banque a contrevenu au principe 4.2.5 puisque son employé n'a pas été en mesure d'expliquer correctement au plaignant les fins auxquelles étaient destinés les renseignements demandés.
26. Cela étant dit, nous avons remarqué que les procédures antérieures de la banque en ce qui a trait à la remise des cartes de crédit n'indiquaient pas pourquelle raison il était nécessaire de consigner les renseignements d'identification des clients, sauf aux fins du respect des exigences en matière de lutte contre le blanchiment d'argent. Or, comme les raisons de la collecte de renseignements d'identification varient selon les circonstances, les procédures révisées indiquent que l'une ou plusieurs des exigences suivantes peuvent s'appliquer : (i) exigences en matière de lutte contre le blanchiment d'argent; (ii) identification et authentification; (iii) détection de la fraude.
27.La banque a communiqué cette information à son personnel. Selon nous, les nouvelles lignes directrices en matière de procédures ainsi qu'une formation adéquate du personnel permettront aux employés de la banque de bien expliquer les fins auxquelles les renseignements personnels sont destinés dans ces circonstances.
Conclusion
28. Par conséquent, nous concluons que la plainte relative à la collecte de renseignements personnels (principe 4.4) n'est pas fondée et que la plainte relative à la collecte de renseignements personnels à des fins d'identification (principe 4.2.5) est fondée et réglée.
Autre
29. En réponse aux préoccupations du client, qui soulevait le fait que la banque lui a demandé son permis de conduire plutôt que toute autre pièce d'identité avec photo, nous avons confirmé que les procédures révisées de la banque offrent diverses possibilités en ce qui a trait aux pièces d'identité avec photo. Nous avons recommandé à la banque de rappeler à ses succursales de veiller à ce que leurs clients soient au courant de ces possibilités.
30. Pour ce qui est de l'objection formulée par le plaignant en ce qui a trait au fait que la banque ait exigé qu'un client connu du personnel de la succursale doive présenter une pièce d'identité pour prendre possession de sa carte de crédit, nous l'avons informé que les Lignes directrices en matière d'identification et d'authentificationNote de bas de page 1 publiées par le Commissariat indiquent qu'une organisation doit authentifier l'identité d'une personne seulement lorsque cela est nécessaire en raison de la nature de la transaction. En outre, les lignes directrices prévoient que le processus d'authentification peut porter sur trois facteurs, c'est-à-dire : (i) quelque chose que la personne connaît; (ii) quelque chose que la personne possède; (iii) quelque chose qui fait partie de la personne (par exemple, un trait biométrique comme son visage) ou que seule cette personne peut faire.
- Date de modification :