Recours à des exceptions relativement à la communication de renseignements personnels sans consentement - Il faut faire preuve de la diligence voulue et consigner toute mesure prise à cet égard
Rapport de conclusions en vertu de la LPRPDE no 2014-018
Le 22 décembre 2014
Un client d'une banque canadienne s'est plaint que celle-ci avait communiqué sans son consentement des renseignements personnels de nature financière le concernant à une autre institution financière, qui était alors son employeur. Il a allégué que l'information communiquée par la banque, à savoir une liste de dépôts directs et de chèques qu'il avait reçus d'une organisation de services financiers tierce, avait amené l'autre institution financière à le congédier.
La banque a affirmé avoir communiqué à l'autre institution financière les renseignements personnels du plaignant pour les besoins d'une enquête sur la violation de son contrat de travail et qu'elle était autorisée à le faire en vertu du sous-alinéa 7(3)h.2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). D'après cette disposition, la communication de renseignements personnels à l'insu de l'intéressé et sans son consentement est autorisée si " elle est faite par un organisme d'enquête et est raisonnable à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial ".
Pour justifier le recours à cette exception, la banque a fait valoir qu'elle-même et l'autre institution financière sont membres du Bureau de prévention et d'enquête du crime bancaire (BPECB) de l'Association des banquiers canadiens, organisation reconnue comme " organisme d'enquête " sous le régime de la LPRPDE. De plus, les employés de la banque et de l'institution financière qui ont respectivement communiqué et reçu les renseignements personnels du plaignant étaient alors des agents de sécurité désignés du BPECB. Par ailleurs, la banque a indiqué que l'information avait été communiquée pour les besoins d'une enquête portant sur des allégations selon lesquelles le plaignant contrevenait au contrat de travail conclu avec l'autre institution financière.
Le Commissariat convient que la banque et l'autre institution financière étaient membres d'un organisme d'enquête reconnu et que la banque a communiqué les renseignements personnels du plaignant à l'autre institution financière aux fins d'une enquête interne menée par celle-ci concernant l'emploi du plaignant.
Toutefois, la banque n'a fourni aucune preuve directe des mesures qu'elle avait prises pour déterminer si la demande portant sur ces renseignements personnels très sensibles était raisonnable ou nécessaire. Elle n'a pas non plus documenté de façon appropriée les fins pour lesquelles l'information avait été communiquée et n'a pas fait preuve de la diligence voulue pour s'assurer que la communication était raisonnable - en fait, il semble que la banque a cru sur parole l'autre institution financière lorsque celle-ci lui a demandé l'information.
Notre enquête fait ressortir le point de vue du Commissariat à la protection de la vie privée du Canada selon lequel un organisme d'enquête ne peut se contenter d'invoquer l'exception prévue au sous-alinéa 7(3)h.2) de la LPRPDE sans faire preuve de la diligence voulue pour s'assurer que la demande d'information est raisonnable - et sans documenter les mesures qu'il a prises pour justifier sa conviction que la communication est raisonnable.
Malgré l'absence de preuves documentées, le Commissariat a pu conclure que la communication des renseignements personnels par la banque dans les circonstances était faite par un organisme d'enquête reconnu sous le régime de la LPRPDE, et qu'elle était raisonnable à des fins liées à une enquête sur la violation alléguée d'un accord.
Ainsi, le Commissariat a conclu que la plainte contre la banque est non fondée.
Leçons apprises
- Pour se prévaloir d'une exception en vertu du sous-alinéa 7(3)h.2) de la LPRPDE, une organisation doit absolument documenter les fins pour lesquelles les renseignements personnels ont été communiqués et faire preuve de la diligence voulue pour s'assurer que la communication est raisonnable à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial.
Rapport de conclusions
Plainte déposée sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou « la LPRPDE »)
Vue d'ensemble
Un client d'une banque canadienne (la « banque ») s'est plaint que celle-ci avait communiqué des renseignements personnels de nature financière le concernant sans son consentement à son employeur à l'époque, qui était une autre institution financière (l'" autre institution financière ").
La banque a fait valoir que la communication s'inscrivait dans le cadre d'un échange d'information entre deux membres du Bureau de prévention et d'enquête du crime bancaire (le « BPECB ») de l'Association des banquiers canadiens pour une enquête portant sur la violation du contrat de travail du plaignant. Selon la banque, le sous-alinéa 7(3)h.2) de la LPRPDE la dispensait de demander le consentement du plaignant à la communication parce que : i) le BPECB est un organisme d'enquête désigné sous le régime de la LPRPDE; ii) qu'une enquête était en cours sur la violation d'un accord; et iii) que la communication était justifiée et raisonnable.
Notre enquête a révélé que la communication était raisonnable à des fins liées à une enquête menée par l'autre institution financière sur la violation alléguée d'un contrat de travail. C'est pourquoi le Commissariat est parvenu à la conclusion que la banque avait invoqué à juste titre l'exception prévue au sous-alinéa 7(3)h.2) dans ce cas et que la plainte était donc non fondée.
Nous avons toutefois observé que la banque n'avait pas documenté de façon appropriée les fins pour lesquelles l'information avait été communiquée et qu'elle n'avait pas fait preuve de la diligence voulue pour s'assurer que la communication était raisonnable à une fin appropriée comme l'exige le sous-alinéa 7(3)h.2) de la LPRPDE. En réponse aux deux recommandations que nous lui avions formulées, la banque a accepté de revoir les procédures et la formation se rapportant au BPECB, de communiquer à ses membres les procédures mises à jour et de leur donner une formation sur le sujet.
Nous sommes convaincus que la réponse de la banque à nos recommandations permettra de régler de façon efficace et appropriée le problème relatif aux procédures de documentation de la communication de renseignements personnels en vertu du sous-alinéa 7(3)h.2) de la LPRPDE.
Résumé de l'enquête
- Le plaignant a allégué que la banque avait communiqué des renseignements personnels le concernant à son insu et sans son consentement à l'autre institution financière, qui était alors son employeur. D'après lui, la banque avait communiqué l'information à des fins non appropriées dans les circonstances sans faire preuve de la diligence voulue et sans exercer une surveillance adéquate. Le plaignant a aussi allégué que la communication avait amené l'autre institution financière à le congédier.
- Le plaignant a également déposé auprès du Commissariat une plainte contre l'institution financière pour la même communication, alléguant qu'elle avait recueilli ses renseignements personnels à son insu et sans son consentement. Toutefois, comme les activités de l'autre institution financière se rapportant aux valeurs mobilières sont régies par la législation provinciale applicable, le Commissariat a estimé qu'il n'avait pas compétence pour faire enquête sur cette plainte sous le régime de la LPRPDE. Le présent rapport se concentre donc sur la communication des renseignements personnels du plaignant par la banque à l'autre institution financière dans les circonstances en question.
- Au cours de notre enquête, la banque a fait valoir qu'elle avait communiqué les renseignements personnels du plaignant à des fins liées à une enquête interne menée par l'autre institution financière en vue de déterminer si le plaignant avait violé son contrat de travail et enfreint le code de conduite de l'autre institution financière, et qu'elle était autorisée à le faire en vertu de la Loi.
- L'autre institution financière avait embauché le plaignant en décembre 2008 comme directeur des ventes et du marketing des produits d'assurance-vie individuelle. À ce moment, le plaignant avait fait une déclaration, exigée par l'autre institution financière, dans laquelle il faisait état d'un emploi et d'activités commerciales connexes qu'il exerçait.
- Près de deux ans plus tard, l'autre institution financière a informé le plaignant qu'il faisait l'objet d'une enquête administrative interne concernant ses activités professionnelles. À la suite des résultats de cette enquête, elle a congédié le plaignant sur le motif qu'il avait touché des commissions d'une organisation de services financiers tierce. Or, d'après l'autre institution financière, ces commissions violaient les modalités de son contrat de travail.
La communication
- Avant le congédiement du plaignant, dont celui-ci a été informé par courriel en date du 4 octobre 2011, un enquêteur de l'autre institution financière avait demandé à la banque une liste des dépôts directs et des chèques reçus par le plaignant de l'organisation de services financiers tierce depuis 2008 (le plaignant était un client de la banque). La demande a été présentée par un enquêteur de l'autre institution financière qui était membre désigné du BPECB et reçue par un enquêteur principal de la banque également membre désigné du BPECB.
- La banque et l'autre institution financière sont toutes deux membres du BPECB, qui est l'organisme d'enquête de l'Association des banquiers canadiens.
- 8Dans un courriel daté du 5 octobre 2011, l'enquêteur principal de la banque a répondu à la demande de l'autre institution financière en lui transmettant une liste des transactions financières entre l'organisation de services financiers tierce et le plaignant enregistrées dans les comptes personnels du plaignant à la banque du 1er janvier 2008 au 5 octobre 2011. L'information communiquée indiquait la date de chaque transaction ainsi que le montant versé et le payeur.
- La banque a fourni au Commissariat une copie des courriels échangés, qui ne nommaient ni le plaignant ni les comptes pour lesquels les renseignements de nature financière étaient sollicités. On n'y mentionnait que " le compte " et on demandait s'il y avait eu des dépôts directs ou des chèques de l'organisation de services financiers tierce (nommée) depuis 2008. Dans ce dossier, le courriel de demande adressé à la banque ne renfermait aucune description ni aucun résumé de l'enquête de l'employeur à l'appui de sa demande d'information. D'après la banque, la communication de cette information entre la banque et l'autre institution financière s'était faite uniquement par téléphone.
- Le plaignant a déposé par la suite auprès du Commissariat la plainte visée par le présent rapport, laquelle a été acceptée le 23 mai 2013.
Le point de vue de la banque
- Au cours de notre enquête, la banque a fait valoir qu'elle avait communiqué à un tiers les renseignements personnels du plaignant conformément à l'alinéa 7(3)d) et au sous-alinéa 7(3)h.2) de la LPRPDE, ainsi qu'aux procédures du BPECB.
- D'après la banque, les procédures du BPECB autorisent les employés désignés d'organisations membres du BPECB à recueillir, utiliser et communiquer des renseignements personnels dans le but de prévenir des activités criminelles et malhonnêtes, y compris la violation d'un contrat de travail, ou de faire enquête sur ces activités.
- En outre, au dire de la banque, les procédures du BPECB précisent que les questions d'honnêteté, d'intégrité, d'éthique, de conflits d'intérêts et de violation du code de conduite professionnelle peuvent toutes faire l'objet d'une enquête. La banque a ajouté que ces dispositions s'appliquent à l'exercice d'un emploi ou d'activités à l'extérieur qui peuvent nuire ou sembler nuire à l'indépendance du jugement d'un employé concernant l'intérêt supérieur de la banque (c.-à-d. l'employeur) et de ses clients.
- Dans le cas présent, la banque nous a fait savoir que l'autre institution financière lui avait demandé les renseignements personnels du plaignant pour les besoins d'une enquête portant sur une éventuelle violation du contrat de travail du plaignant et une infraction au code de conduite de l'employeur. Elle a affirmé que l'employeur du plaignant craignait que celui ne travaille également pour l'organisation de services financiers tierce.
- En outre, la banque a affirmé qu'elle était d'avis que la demande de communication des renseignements personnels du plaignant était à première vue raisonnable et en lien avec l'enquête menée par son employeur.
Le Bureau de prévention et d'enquête du crime bancaire (BPECB) et les " organismes d'enquête "
- D'après l'Association des banquiers canadiens, l'objectif du BPECB est de " protéger les clients des banques contre le crime financier, y compris les fraudes par cartes de crédit et de débit, les vols de banque qualifiés, la falsification, le crime cybernétique, le blanchiment de fonds et l'utilisation de faux documents ". Le BPECB a été créé pour permettre aux institutions financières de faire enquête sur " tous les aspects des activités criminelles qui les touchent, elles et leurs clients ". De plus, il " représente un milieu contrôlé et sûr dans lequel les renseignements sur une fraude ou un crime peuvent être échangés rapidement et sans aucun risque entre les membres, en vue de protéger la sécurité et l'intégrité [du] système bancaire [du Canada] ".
- Le BPECB a obtenu en 2001 le statut d'" organisme d'enquête " sous le régime de la LPRPDE, et il figure sur la liste des organismes d'enquête dans le Règlement précisant les organismes d'enquête (le « Règlement ») pour les besoins de l'alinéa 7(3)d) et du sous-alinéa 7(3)h.2) de la LPRPDE.
- D'après le mémoire présenté par l'Association des banquiers canadiens en vue d'obtenir le statut d'organisme d'enquête pour le BPECB en 2000, ce bureau se compose du directeur et du personnel du bureau de sécurité de l'Association, des agents de sécurité principaux des banques membres ainsi que d'un nombre limité de membres du personnel de sécurité des banques désignés et de l'agent de sécurité principal des organismes financiers avec lesquels les banques ont conclu une entente contractuelle.
- D'après le Guide de l'utilisateur du BPECB (le « Guide »), les membres individuels du BPECB sont des agents de sécurité qui font régulièrement enquête sur des activités criminelles internes et externes touchant les organisations et ils sont régulièrement en contact avec le personnel de sécurité d'autres organisations ainsi qu'avec des organismes d'application de la loi comme l'autorise la loi et ils communiquent de l'information pour des enquêtes. La banque et l'autre institution financière sont toutes deux membres du BPECB et notre enquête a révélé que leurs employés respectifs qui ont communiqué ou reçu les renseignements personnels en cause dans le dossier étaient des agents de sécurité désignés du BPECB et les points de contact pour chaque organisation concernant les questions touchant le BPECB.
- D'après le Guide, les membres ont le droit de communiquer de l'information concernant des personnes que l'on soupçonne de se livrer à des activités criminelles, et ce, sans obtenir leur autorisation. En outre, l'adhésion au BPECB " ne constitue pas un mécanisme pour effectuer une diligence raisonnable ".
Le formulaire de communication sur une enquête
- Selon le Guide, un membre du BPECB qui communique de l'information sur une personne doit déposer auprès du Bureau de la sécurité et du renseignement de l'Association des banquiers canadiens un formulaire de communication sur une enquête dans les sept jours ouvrables.
- Dans le contexte de la plainte, le jour même où elle a communiqué l'information demandée à l'autre institution financière, soit le 5 octobre 2011, la banque a rempli et présenté un formulaire de communication sur une enquête se rapportant au plaignant. Une copie de ce formulaire a été soumise à l'examen du Commissariat.
- Le formulaire de communication sur une enquête déposé par la banque renferme un minimum d'information. Selon la description qu'y fait la banque du type d'enquête menée par l'employeur du plaignant, celle-ci porterait sur un " détournement de fonds ". La banque a également décrit brièvement la communication proprement dite.
[Traduction] [L'autre institution financière] (…) fait enquête sur l'un de ses employé [sic] dans un dossier d'éthique. Elle a demandé les détails de transactions traitées par (…) [l'organisation de services financiers tierce] (…) dans le compte de dépôt personnel (…) [numéro de compte] depuis le 1er janvier 2008.
Information communiquée à (…) [l'autre institution financière] - Dans un rapport d'enquête préliminaire transmis à la banque le 17 juillet 2014, le Commissariat a examiné les problèmes soulevés dans la plainte et demandé à la banque de donner suite à ses recommandations. Les paragraphes qui suivent présentent les résultats de notre analyse des éléments de preuve recueillis dans le cadre de notre enquête.
Application
- Pour rendre notre décision, nous avons appliqué le principe 4.3 de l'annexe 1 et le sous-alinéa 7(3)h.2) de la partie 1 de la Loi.
- Aux termes du principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
- Aux termes du sous-alinéa 7(3)h.2), une organisation peut communiquer des renseignements personnels à l'insu de l'intéressé et sans son consentement si la communication est faite par un organisme d'enquête et est raisonnable à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial.
Conclusions
- Il est incontestable que la banque a communiqué les renseignements personnels du plaignant à l'autre institution financière à son insu et sans son consentement. On doit donc déterminer si l'exception prévue au sous-alinéa 7(3)h.2) s'applique dans les circonstances. En ce qui a trait au sous-alinéa 7(3)d)(i), la banque semble avoir renoncé à invoquer cette exception qui, de l'avis du Commissariat, ne s'applique pas dans ce cas puisque la communication n'a pas été faite à l'initiative de la banque.
- Dans l'ensemble, nous considérons que la désignation d'une entité comme " organisme d'enquête " sous le régime du Règlement ne lui donne pas carte blanche pour recueillir, utiliser ou communiquer des renseignements personnels à l'insu de l'intéressé et sans son consentement. L'entité doit également faire preuve de la diligence voulue et évaluer la situation attentivement au moment de déterminer si elle a le droit de communiquer des renseignements personnels à l'insu de l'intéressé et sans son consentement.
Dans les circonstances, la communication par la banque à l'autre institution financière était-elle autorisée en vertu du sous-alinéa 7(3)h.2) de la Loi?
- 30. Pour que cette communication soit autorisée en vertu du sous-alinéa 7(3)h.2), elle doit :
- avoir été faite par un organisme d'enquête;
- avoir été raisonnable à des fins liées à une enquête sur la violation d'un " accord " ou la " contravention du droit fédéral ou provincial ".
a) La communication a-t-elle été faite par un " organisme d'enquête "?
- Dans le contexte de la plainte, la banque et l'autre institution financière sont toutes deux membres du BPECB. De plus, les deux employés qui ont participé à la communication étaient des agents de sécurité désignés du BPECB.
- Sur la base de ce qui précède, la communication des renseignements personnels du plaignant par la banque à l'autre institution financière dans les circonstances de la plainte constitue à notre avis une communication faite par un organisme d'enquête. La communication en question a été faite par un agent de sécurité désigné du BPECB de la banque, habilité à exercer des fonctions d'enquête pour accomplir le mandat du BPECB, à un agent de sécurité du BPECB de l'autre institution financière.
b) La communication était-elle raisonnable à des fins liées à une enquête sur la violation d'un accord ou la contravention du droit fédéral ou provincial?
- Notre enquête n'a révélé aucune donnée probante connue au moment de la communication indiquant que l'enquête de l'autre institution financière portait sur une contravention du droit fédéral ou provincial.
- En conséquence, notre analyse vise à déterminer si la communication était raisonnable pour les besoins d'une enquête sur la violation d'un accord.
- Du fait que les renseignements personnels demandés étaient très sensibles et que notre enquête n'a mis au jour aucune preuve directe montrant que la banque disposait d'une documentation écrite indiquant qu'elle avait fait preuve de la diligence voulue pour déterminer si la communication des renseignements personnels du plaignant était raisonnable, nous estimions au départ que la communication par la banque à l'autre institution financière dans les circonstances n'était pas raisonnable en vertu du sous-alinéa 7(3)h.2) de la Loi.
- C'est pourquoi, dans notre rapport d'enquête préliminaire, nous avons recommandé à la banque de prendre les mesures suivantes :
- élaborer et documenter des protocoles pour la communication et l'échange de renseignements personnels avec d'autres membres du BPECB;
- établir des lignes directrices pour aider les agents de sécurité du BPECB à évaluer et à consigner ce qui constitue une communication raisonnable de renseignements personnels sous les auspices du BPECB à l'insu de l'intéressé et sans son consentement.
- Nous avons reçu des réponses de la banque et de l'Association des banquiers canadiens, toutes deux datées du 28 août 2014.
- Au dire de la banque, lorsque son employé membre désigné du BPECB a reçu la demande de l'autre institution financière, il a fait preuve de la diligence voulue en consultant une liste approuvée des membres actuels du BPECB pour vérifier si le demandeur en était membre. En outre, l'employé de la banque membre désigné du BPECB a ensuite téléphoné au membre du BPECB de l'autre institution financière pour obtenir des précisions concernant la demande et confirmer que l'information était sollicitée dans le cadre du programme du BPECB. La banque fait valoir que l'autre institution financière a alors confirmé qu'elle faisait enquête sur la violation d'un accord en lien avec l'emploi d'une personne et qu'elle craignait que l'employé n'ait reçu des paiements de l'organisation de services financiers tierce.
- La banque soutient que la communication des renseignements personnels du plaignant à l'autre institution financière sous les auspices du BPECB était justifiée, raisonnable sur la foi de son bien-fondé et conforme à la LPRPDE. Toutefois, elle nous a également affirmé que certaines procédures du BPECB qu'elle avait adoptées pouvaient être améliorées en ce qui a trait à la communication d'information à la suite d'une demande présentée sous les auspices du BPECB. La banque a reconnu que son employé membre du BPECB n'avait pas indiqué dans le formulaire de communication sur une enquête que le dossier se rapportait à la violation d'un accord.
- La banque a affirmé que les problèmes inhérents à la plainte en question sont attribuables aux procédures documentaires observées par le membre du BPECB de la banque au moment de la communication de l'information à l'autre institution financière (c.-à-d. que ces problèmes ne sont pas associés au bien-fondé ou à la raison d'être de la communication de l'information).
- En ce qui a trait aux types de renseignements communiqués, la banque a affirmé qu'ils étaient limités et pertinents pour la demande et qu'il s'agissait de la date de sept transactions, du montant versé au plaignant et du payeur au cours de la période précisée dans la demande de l'autre institution financière.
- En résumé, d'après la banque, les mesures qu'elle a prises étaient conformes aux exigences du sous-alinéa 7(3)h.2).
- De façon générale, la réponse de l'Association des banquiers canadiens reprend les affirmations de la banque énoncées ci-dessusNote de bas de page 1. L'Association affirme également que l'enquête de l'autre institution financière sur la violation du contrat de travail du plaignant concorde avec les fins pour lesquelles le sous-alinéa 7(3)h.2) a été adopté. D'après l'Association, l'enquête de l'autre institution financière est également compatible avec le mandat, les politiques et les procédures du BPECB, puisque ce bureau a été mis sur pied pour protéger la sécurité et l'intégrité du système financier grâce à la prévention des activités criminelles ou malhonnêtes et aux enquêtes portant sur ces activités.
- Fait à signaler, l'Association des banquiers canadiens estime que les exigences imposées par le sous-alinéa 7(3)h.2) sont distinctes de l'évaluation par une organisation de sa capacité à invoquer cette exception. Elle explique que le libellé du sous-alinéa 7(3)h.2) n'oblige en rien une organisation à étayer et à documenter un lien entre l'information à communiquer et les fins visées afin de se prévaloir de l'exception. De l'avis de l'Association, si les exigences applicables à l'exception de consentement en vertu du sous-alinéa 7(3)h.2) sont respectées, l'organisation est autorisée à communiquer l'information.
- Nous estimons pour notre part que la banque n'a pas montré qu'elle avait documenté de façon appropriée les fins pour lesquelles l'information avait été communiquée ou qu'elle avait fait preuve de la diligence voulue pour s'assurer que la communication était raisonnable. Toutefois, à la lumière de notre enquête, nous sommes convaincus que la preuve montre que, même si la banque n'a pas documenté de façon appropriée les fins de la communication ou fait preuve de la diligence voulue, elle a communiqué les renseignements personnels du plaignant à l'autre institution financière à des fins liées à une enquête de cette dernière sur le contrat de travail du plaignant.
- Nous n'avons pas déterminé à terme si l'enquête de l'autre institution financière était fondée, mais nous estimons que la communication d'information par la banque était raisonnable pour les fins visées dans les circonstances.
- En conséquence, nous concluons que la plainte est non fondée.
Autres conclusions
- Cela dit, nous affirmons une fois de plus que la banque n'a pas documenté de façon appropriée les fins pour lesquelles l'information avait été communiquée ni les mesures qu'elle avait prises afin de pouvoir montrer, rétrospectivement, qu'elle avait fait preuve de la diligence voulue pour s'assurer que la communication était raisonnable et visait des fins appropriées en vertu du sous-paragraphe 7(3)h.2) de la LPRPDE.
- Au cours de notre enquête, la banque nous a fourni les courriels pertinents échangés entre l'agent du BPECB de l'autre institution financière et son homologue de la banque concernant la communication de l'information sur les transactions du plaignant. Dans son premier courriel demandant à la banque de lui communiquer l'information en question, l'agent du BPECB de l'autre institution financière a mentionné qu'il s'agissait d'une demande urgente sans préciser les fins pour lesquelles l'information était demandée. Le lendemain, l'agent du BPECB de la banque a fourni l'information demandée par courriel et précisé qu'il préparerait un " BPECB " (c.-à-d. un formulaire de communication sur une enquête).
- Dans ses observations formulées à l'intention du Commissariat, la banque a affirmé que son employé agent du BPECB avait fait preuve de diligence supplémentaire en téléphonant au membre du BPECB de l'autre institution financière pour obtenir des précisions sur la demande et confirmer que l'information était sollicitée dans le cadre du programme du BPECB. Elle y a également mentionné que, lors de cette conversation téléphonique, le membre du BPECB de l'autre institution financière avait indiqué à son homologue de la banque que la raison d'être de la demande était une enquête de l'autre institution financière sur la violation du contrat de travail d'une personne. Toutefois, le courriel envoyé à l'autre institution financière par le membre du BPECB de la banque pour demander la communication des renseignements personnels du plaignant ne fait aucunement mention de cette conversation téléphonique. De surcroît, d'après la description de l'enquête interne de l'autre institution financière faite par le membre du BPECB de la banque dans le formulaire de communication sur une enquête qu'il avait préparé, il s'agissait d'une question de " détournement de fonds " et d'" éthique ".
- En fin de compte, la banque ne nous a donné aucune preuve directe montrant qu'elle avait effectué une analyse quelconque pour évaluer et établir la véritable raison à l'origine de la demande et déterminer si la communication était raisonnable et si l'information sollicitée était nécessaire ou si elle pouvait être recueillie auprès de sources autres que la banque. En fait, il semble que l'employé de la banque a tout bonnement " cru sur parole " l'employé de l'autre institution financière quant à la nature de l'enquête et à la pertinence des renseignements personnels demandés pour cette enquête.
- À notre avis, en corollaire à l'exception en vertu du sous-alinéa 7(3)h.2), il faut dûment prouver que la communication est raisonnable. Une preuve dûment documentée est essentielle pour montrer que l'organisation a fait preuve de la diligence voulue au moment de la communication pour avoir la conviction qu'une communication était conforme au sous-alinéa 7(3)h.2).
- En réponse aux recommandations formulées dans notre rapport préliminaire, la banque affirme avoir pris ce dossier très au sérieux.
- En ce qui a trait à la première recommandation, la banque a signalé avoir mis en place des procédures pertinentes pour le BPECB et elle a soumis des extraits de ces procédures à l'examen du Commissariat. Pour ce qui est de notre deuxième recommandation, la banque examinera ses procédures pour le BPECB ainsi que la formation portant sur la communication unilatérale ou bilatérale de renseignements personnels à d'autres membres du BPECB et mettra à jour les procédures et la formation pour donner des précisions sur la façon de remplir le formulaire de communication sur une enquête du BPECB, en mentionnant notamment l'obligation d'expliquer de façon appropriée la raison d'être de la communication. La banque affirme également qu'elle i) examinera et mettra à jour ses procédures et son matériel de formation pour le BPECB pour faciliter la documentation des discussions entre les membres du BPECB; ii) transmettra les procédures et le matériel de formation mis à jour à ses employés membres du BPECB; et iii) donnera une formation à ces employés sur les procédures mises à jour.
- Le Commissariat est satisfait de la réponse de la banque à ses recommandations. Nous estimons qu'elle améliorera de manière efficace et appropriée la documentation par la banque des communications faites en vertu du sous-alinéa 7(3)h.2) de la LPRPDE. Compte tenu de la pertinence de ces mesures pour mettre en place et améliorer les procédures de diligence voulue à l'égard des autres institutions financières, ce problème sera également soulevé auprès de l'Association des banquiers canadiens.
Notes
- Date de modification :