Une institution financière communique à une agence d’évaluation du crédit des renseignements sensibles sur la santé d’une personne

Rapport de conclusions d’enquête en vertu de la LPRPDE n^o 2015-017

Le 6 juillet 2015

---

Une personne a constaté avec désarroi que son rapport de solvabilité, qui lui avait été transmis par une agence d’évaluation du crédit, contenait des renseignements sensibles sur sa santé.

Ne comprenant pas la nécessité de communiquer de tels renseignements dans son rapport, cette personne a déposé une plainte auprès du Commissariat. Notre enquête préliminaire a permis d’établir que les renseignements médicaux de la plaignante avaient été communiqués par sa propre institution financière. À la demande du Commissariat, l’agence d’évaluation du crédit a accepté de retirer tous les renseignements médicaux sensibles. La plainte contre l’agence d’évaluation du crédit est donc résolue et le dossier est clos.

Toutefois, la plaignante a par la suite déposé une plainte contre son institution financière. Nous avons alors appris que les renseignements médicaux sensibles avaient été obtenus dans le cadre d’une conversation pour une demande de prêts que la plaignante avait présentée à son institution financière. Une employée aurait alors pris en note des renseignements sur la situation de chômage de la plaignante ainsi que des renseignements médicaux sensibles.

L’institution financière a d’abord informé le Commissariat que l’employée en question avait ensuite transmis toutes ses notes à l’agence d’évaluation du crédit. Cependant, l’institution financière a par la suite expliqué que l’employée avait consigné les renseignements médicaux sensibles dans le champ relatif à l’emploi de la demande de prêts qu’elle a soumise à l’agence. Lorsque le Commissariat a interrogé l’employée, cette dernière a admis que la formation offerte en cours d’emploi était insuffisante et qu’elle ne savait pas que les renseignements contenus dans les demandes de prêts étaient automatiquement communiqués aux agences d’évaluation du crédit.

En outre, l’institution financière avait habituellement pour pratique d’inscrire « Invalidité » dans le champ relatif à l’emploi de la demande de prêts (lorsque ce descripteur s’affiche). Nous sommes en désaccord avec cette pratique puisque la communication de cette information confidentielle sur le demandeur n’est tout simplement pas nécessaire à l’évaluation de sa solvabilité. De plus, les renseignements personnels qui ont été communiqués sont, selon nous, autres que ceux dont il est question dans le formulaire de consentement que l’institution financière utilise pour la collecte, l’utilisation et la communication des renseignements personnels du demandeur.

Après avoir discuté avec le Commissariat, l’institution financière a convenu de ne plus inscrire « Invalidité » ou de communiquer toute autre information médicale confidentielle aux agences d’évaluation du crédit. Elle a également convenu de donner suite aux autres recommandations formulées à la suite de notre enquête. Parmi ces recommandations, citons l’examen des pratiques de traitement de l’information relative au crédit; la modification des pratiques en cours, y compris l’établissement d’un cadre complet de protection de la vie privée pour garantir la conformité à la LPRPDE; la réalisation par un tiers d’un audit indépendant des pratiques de traitement de l’information relative au crédit pour garantir la conformité à la LPRPDE; la communication du rapport d’audit du tiers au Commissariat, une fois terminé.

Le Commissariat a conclu que la plainte était fondée et conditionnellement résolue, moyennant la mise en œuvre par l’institution de toutes nos recommandations au plus tard 90 jours après la réception du rapport de conclusions.

Mise à jour : L’institution financière a appliqué les quatre recommandations formulées par le Commissariat et nous a remis le rapport d’audit du tiers et un plan d’action, comme convenu. Comme l’organisation a entièrement suivi les recommandations du Commissariat, il n’est pas nécessaire de prendre d’autres mesures de suivi.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Plaignante

1. La plaignante soutient qu’une institution financière offrant un vaste éventail de services financiers a divulgué des renseignements personnels sur sa santé sans son consentement lorsqu’elle a consigné des renseignements médicaux sensibles la concernant sous la rubrique relative à l’emploi actuel du rapport de solvabilité qu’elle a communiqué à une agence d’évaluation du crédit.
2. La plaignante allègue aussi que l’institution financière a continué de rendre compte, à l’agence d’évaluation du crédit, d’activités relatives à une marge de crédit fermée depuis longtemps.
3. Notre enquête a aussi permis de relever certaines lacunes dans le programme de reddition de comptes en matière de protection de la vie privée de l’intimée dont il est question dans le présent rapport.

Résumé de l’enquête

Contexte

4. La plaignante a d’abord déposé une plainte auprès du Commissariat à l’endroit de l’agence d’évaluation du crédit concernant la question traitée au premier paragraphe. Cette plainte a été réglée dès que l’agence d’évaluation du crédit a informé le Commissariat et la plaignante que les renseignements médicaux sensibles la concernant lui ont été communiqués par son institution financière. L’agence d’évaluation du crédit a aussi confirmé que la section « Emploi actuel » du rapport de solvabilité de la plaignante a été modifiée et que tous les renseignements médicaux sensibles ont été supprimés.
5. La plaignante a ensuite déposé la plainte en cause contre l’institution financière.

Communication des renseignements médicaux sensibles

6. Le Commissariat a informé l’institution financière que l’agence d’évaluation du crédit l’a désignée comme étant la responsable de la communication, dans le rapport de solvabilité de la plaignante, de renseignements médicaux sensibles la concernant.
7. L’institution financière a répondu aux questions du Commissariat concernant la présumée communication. Elle a indiqué que les notes internes avaient été communiquées à l’agence d’évaluation du crédit par inadvertance dans le cadre d’une demande de crédit. Plus précisément, l’intimée a affirmé, qu’au cours d’une conversation téléphonique pour une demande de prêts, la plaignante aurait parlé à une employée de l’institution d’évènements qui s’étaient produits à son ancien travail et qui étaient en lien avec les renseignements médicaux sensibles. L’institution financière a soutenu que les renseignements médicaux avaient été donnés de plein gré par la plaignante. Elle a remis au Commissariat une copie des notes internes dans lesquelles on pouvait entre autres lire la mention suivante « ne peut travailler en raison de [renseignements médicaux sensibles] ». Dans les explications, on pouvait aussi lire que l’employée de l’institution financière a réalisé son erreur peu de temps après et l’a corrigée. Lors de sa première réponse au Commissariat, l’institution financière s’est excusée auprès de la plaignante pour cette erreur et a indiqué que des mesures seraient volontairement prises pour éviter qu’une telle erreur se reproduise.
8. Le Commissariat a décelé trois incohérences apparentes dans l’explication de l’institution financière concernant la communication et les résultats de l’enquête menée par l’agence d’évaluation du crédit, lesquels nous ont été communiqués en réponse à la plainte énoncée au quatrième paragraphe, c’est-à-dire que :
   1. l’enquête menée par l’agence d’évaluation du crédit a permis de confirmer que les renseignements concernant l’emploi de la plaignante ont été communiqués en ligne par l’institution financière le 9 mai, alors que les notes internes ont été prises le 10 mai;
   2. le libellé des notes internes ne cadre pas avec celui du rapport de solvabilité;
   3. l’agence d’évaluation du crédit a expliqué que le champ « Emploi actuel », pour ce qui est des rapports soumis en ligne, est limité à un certain nombre de caractères (espaces compris). Par conséquent, si une institution utilise un nombre de caractères supérieurs à cette limite, l’entrée sera tronquée et l’information consignée dans le rapport de solvabilité sera restreinte aux premiers caractères fournis avant la limite. Les renseignements médicaux sensibles contenus dans les notes internes, que l’institution financière affirme avoir communiqués à l’agence d’évaluation du crédit, figurent après la limite de caractères et ne devraient donc pas se retrouver dans le rapport de solvabilité.
9. Le Commissariat n’a donc pas accepté les explications de l’institution financière selon lesquelles la communication des renseignements médicaux de la plaignante découle de la communication accidentelle des notes internes. Une réunion a été organisée avec l’institution financière pour discuter des incohérences.
10. L’institution financière a expliqué que sa compréhension de la cause de la communication avait changé. L’institution était maintenant d’avis que son employée aurait pu consigné les renseignements médicaux sensibles dans le champ relatif à l’emploi alors qu’elle discutait avec la plaignante au téléphone pour remplir la demande et qu’elle aurait ensuite transmis la demande à l’agence d’évaluation du crédit.
11. Le Commissariat a interrogé l’employée, qui a soutenu que la formation qui lui avait été offerte était insuffisante, et ne comprenait pas comment l’information consignée dans le système de demande de prêts aurait pu avoir été communiquée à l’externe.
12. Les pistes de vérification de l’institution financière ont confirmé qu’une « demande de renseignements » a été présentée à l’agence d’évaluation du crédit le 9 mai dernier.

    L’institution financière a aussi remis au Commissariat un document, signé par la plaignante, dans lequel elle consent à ce que ses renseignements personnels soient recueillis, utilisés et communiqués.

13. En outre, l’institution financière a transmis au Commissariat un code de conduite comportant une section sur les renseignements sensibles.
14. L’employée qui a présenté la demande a aussi porté une autre question à notre attention. Elle a indiqué que le personnel de l’institution avait pour pratique d’inscrire « Invalidité » dans la section relative à l’emploi du système de demande de prêts si tel est la raison de la situation de chômage. Le Commissariat a informé l’institution financière qu’il s’agit là d’une communication inutile de renseignements personnels. L’institution financière a précisé qu’elle comptait continuer d’inscrire « invalidité » dans de telles situations, puisque le risque financier est un facteur qui doit être pris en compte quand l’on doit rendre compte des sources de revenus pour ses membres. Cela dit, elle a aussi indiqué qu’elle était ouverte aux recommandations formulées par le Commissariat à cet égard.
15. Selon sa politique de confidentialité, l’agence d’évaluation du crédit ne devrait consigner et conserver que l’information se rapportant aux antécédents de crédit et permettant de trouver les clients qui ont des dossiers de crédit. On y précise également que les bases de données ne peuvent contenir aucune information sur la santé et le mode de vie de la personne.

Production de rapports sur une marge de crédit fermée

16. Comme nous l’avons mentionné précédemment, la plaignante a allégué que l’institution financière a continué de faire rapport, à l’agence d’évaluation du crédit, d’activités relatives à une marge de crédit fermée depuis longtemps. La plaignante a informé le Commissariat que le compte était fermé depuis octobre 2012 environ et que des mises à jour continuaient néanmoins d’être apportées à son rapport de solvabilité sous la rubrique de l’institution financière. Elle a précisé que la date de la dernière activité et la date de déclaration inscrites dans le rapport de solvabilité étaient constamment mises à jour. La plaignante a remis une copie de son rapport de solvabilité au Commissariat attestant les mises à jour.
17. De plus, selon l’institution financière, un agent de recouvrement a aidé la plaignante à hausser la limite d’une marge de crédit existante en août 2011. Les agents de recouvrement ne s’occupaient habituellement pas de telles demandes. De ce fait, ils n’avaient pas une connaissance complète des systèmes de prêts de l’institution financière. Généralement, lorsque la hausse d’une marge de crédit est accordée, un employé de l’institution financière ferme la marge de crédit et en crée une nouvelle avec une nouvelle limite. Toutefois, cette procédure n’a pas été effectuée adéquatement dans le cas de la plaignante. Aucune date de fermeture n’a été associée à la marge de crédit initiale et elle est restée en suspens. En d’autres mots, elle n’était plus active dans les systèmes de l’institution financière, mais des rapports continuaient d’être transmis à l’agence d’évaluation du crédit.
18. Selon l’institution financière, des examens sont habituellement réalisés pour recenser les comptes dormants ou inactifs afin de s’assurer qu’ils ont été traités de façon appropriée. Cependant, l’institution financière a affirmé que de telles procédures n’avaient pas été suivies dans ce cas en raison de divers problèmes organisationnels et des modifications apportées aux rôles au cours des dernières années, ce que l’institution a décrit au Commissariat.
19. L’institution financière a reconnu le problème lié à la marge de crédit de la plaignante et l’a corrigé dès que le Commissariat l’en a informé.

Demande

20. Pour rendre notre décision, nous avons appliqué les principes 4.1.4 (a) et (c), 4.3, 4.3.4, 4.3.5, 4.6 et 4.6.1.
21. Le principe 4.1.4 prévoit, notamment, que les organisations sont tenues de mettre en œuvre des politiques et des pratiques visant à se conformer à certains principes, y compris : (a) à mettre en œuvre des procédures visant à protéger toute information personnelle; (c) à renseigner le personnel sur les politiques et les pratiques de l’organisation et à offrir de la formation à cet égard.
22. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent. Le principe 4.3.4 prévoit, entre autres, que la forme du consentement que l’organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme du consentement à utiliser, les organisations doivent déterminer s’il s’agit de renseignements sensibles. De plus, le principe 4.3.5 précise en partie qu’en ce qui concerne le consentement obtenu, les attentes raisonnables de la personne sont aussi pertinentes.
23. Selon le principe 4.6, les renseignements personnels doivent être aussi exacts, complets et à jour que l’exigent les fins auxquelles ils sont destinés. Aux termes du principe 4.6.1, le degré d’exactitude et de mise à jour, ainsi que le caractère complet des renseignements personnels dépendront de l’usage auquel ils sont destinés, compte tenu des intérêts de la personne. Les renseignements doivent être suffisamment exacts, complets et à jour pour réduire au minimum la possibilité que des renseignements inappropriés soient utilisés pour prendre une décision à son sujet.

Analyse

Communication sans consentement

24. L’enjeu consiste en premier lieu à déterminer si l’institution financière a communiqué, à l’insu et sans le consentement de la plaignante, des renseignements médicaux la concernant. Tel qu’il a été mentionné précédemment, des renseignements médicaux sensibles sur la plaignante étaient consignés dans le rapport de solvabilité de l’agence d’évaluation du crédit sous la rubrique « Emploi actuel ».
25. Nous reconnaissons que, le 9 mai dernier, l’institution financière a transmis par voie électronique des renseignements médicaux sur la plaignante à l’agence d’évaluation du crédit.
26. L’information en question, soit des renseignements médicaux personnels, était très sensible et pouvait nuire à l’admissibilité de la plaignante au crédit et/ou occasionner de la détresse.
27. Lorsque la plaignante a signé le document de l’institution financière visant à obtenir son consentement pour la collecte, l’utilisation et la communication de renseignements personnels, elle ne pouvait pas, selon nous, raisonnablement s’attendre à ce que de tels renseignements soient communiqués parce que : i) il s’agissait de renseignements sensibles; ii) les renseignements médicaux sensibles ne se rapportaient pas à son employeur, contrairement à ce qui a été déclaré à l’agence d’évaluation du crédit; iii) cette communication était contraire au code de conduite de l’institution financière; iv) elle allait à l’encontre de la politique relative à la protection des renseignements personnels publiée par l’agence d’évaluation du crédit.
28. Nous avons donc conclu que l’institution financière a communiqué des renseignements sensibles de la plaignante sans avoir dûment obtenu son consentement et a, de ce fait, contrevenu au principe 4.3 énoncé à l’annexe 1 de la Loi.
29. L’agence d’évaluation du crédit a supprimé tous les renseignements médicaux sensibles du rapport de solvabilité de la plaignante après avoir été informée de l’erreur.
30. Quant à la pratique consistant à inscrire « Invalidité » dans la section emploi du système de demande de prêts si tel était la raison du statut de chômage, nous estimons qu’il s’agit d’une communication de renseignements personnels sensibles. De plus, la section « Emploi actuel » du rapport de solvabilité est divisée en deux parties, « Employeur » et « Profession »; la mention « Invalidité » ne correspond à aucune des parties et constitue donc une communication de renseignements autres que ceux nécessaires à l’évaluation de la solvabilité pour laquelle l’intimée n’avait pas dûment obtenu le consentement de la plaignante.
31. Bien que l’institution financière ait d’abord déclaré qu’elle continuerait de consigner et de communiquer ce type de renseignements par rapport à l’emploi aux fins d’évaluation de la solvabilité, elle s’est rétractée au cours de notre enquête et s’est engagée à cesser d’utiliser la mention « Invalidité », ou de communiquer toute autre information médicale confidentielle, dans les rapports qu’elle transmet à l’agence d’évaluation du crédit.

Rapports inexacts

32. En relation à la production continue de rapports sur la marge de crédit fermée, l’institution financière a reconnu que ses employés et ses systèmes ne lui ont pas permis de s’assurer que l’agence d’évaluation du crédit ne recevait plus de rapports sur cette marge de crédit.
33. L’information communiquée aux agences d’évaluation de crédit sera utilisée par d’autres créanciers pour déterminer l’admissibilité des personnes au crédit et pourrait avoir une incidence importante sur leur bien-être (financier ou autre). Il est donc important que les renseignements qui y figurent soient exacts, complets et à jour.
34. Nous avons donc conclu qu’en échouant d’assurer l’exactitude de tels renseignements, l’institution financière a contrevenu au principe 4.6 énoncé à l’annexe 1 de la Loi.
35. L’institution financière a corrigé cette erreur dès qu’elle en a été informée, après l’intervention du Commissariat.

Reddition de comptes

36. Au cours de notre enquête, nous avons décelé certaines lacunes dans le programme de reddition de comptes en matière de protection de la vie privée de l’intimée, qui ont sans aucun doute contribué à : i) la communication des renseignements médicaux sensibles de la plaignante sans son consentement; ii) la pratique générale consistant à inscrire « Invalidité » dans les renseignements sur l’emploi en violation des politiques en matière de protection de la vie privée de l’agence d’évaluation du crédit et de son propre code de conduite; iii) la production de rapports inexacts sur la marge de crédit fermée de la plaignante.
37. Plus précisément, les données probantes recueillies montrent que des renseignements personnels de la plaignante ont été communiqués à tort en raison de la formation inadéquate du personnel sur le logiciel de demande de prêts. À la suite de nos interventions, l’institution financière a offert de la formation sur le système de demande de prêts à tout le personnel des ventes et la direction. En outre, elle a demandé à l’employé en question de reprendre un cours en ligne sur la protection des renseignements personnels.
38. De plus, en ce qui concerne la pratique générale consistant à inscrire « Invalidité » pour indiquer la raison pour laquelle la personne est sans emploi, notre enquête a permis d’établir que cette pratique est contraire au code de conduite de l’institution financière et aux politiques de l’agence d’évaluation du crédit. L’institution financière a accepté de mettre fin à cette pratique.
39. En dernier lieu, l’institution financière a reconnu que la production continue de rapports sur la marge de crédit fermée de la plaignante s’explique par : i) l’omission de son employée, qui n’avait pas reçu suffisamment de formation sur l’utilisation du système de demande de prêts, de suivre les procédures de l’institution; ii) le défaut de l’institution de mettre en œuvre ses pratiques habituelles d’examen des dossiers. Elle est pleinement disposée à appliquer de telles procédures afin de s’assurer que de telles erreurs sont dorénavant décelées et corrigées de façon proactive.
40. Nous estimons que l’institution financière ne disposait pas des procédures, de la formation et des mesures de surveillance adéquates et qu’elle contrevenait aux principes 4.1.4 (a) et (c).
41. En outre, en raison de la nature sensible de l’information personnelle recueillie et divulguée par l’institution financière et des possibles répercussions que pourrait avoir la production erronée ou excessive de rapports sur le bien-être d’une personne, que ce soit sur le plan financier ou autre, il est primordial, selon nous, que l’institution financière dispose : i) de procédures éprouvées visant à assurer le traitement approprié (c.-à-d., conforme à la Loi sur protection des renseignements personnels ainsi qu’à d’autres lois) des renseignements personnels dans le cadre de son processus d’évaluation de la solvabilité; ii) d’une formation adéquate afin de s’assurer que les employés connaissent les procédures et les comprennent bien; iii) de mesures de surveillance continues afin d’assurer la conformité; iv) de processus et de procédures prévoyant des mesures correctives proactives à mesure que des problèmes liés à la protection de la vie privée sont décelés.
42. Bien que nous soyons heureux que l’institution financière ait apporté certains changements, tel qu’il a été mentionné précédemment, pour répondre aux préoccupations abordées dans le cadre de l’enquête, en raison de la portée des problèmes soulevés par le Commissariat, nous n’avons pas suffisamment confiance dans le cadre de gestion de la protection de la vie privée de l’institution financière pour conclure qu’elle s’acquitte de ses obligations redditionnelles prévues par la Loi. Par conséquent, nous avons demandé, et l’intimée a accepté que les mesures additionnelles énumérées ci-dessous soient prises.

Engagements de l’institution financière

43. En vue de prémunir adéquatement les clients de l’institution financière contre toute communication de renseignements personnels sensibles ou erronés dans le cadre de l’évaluation de la solvabilité, cette dernière a convenu de veiller, dans les 90 jours suivants la réception du présent rapport, à :
    1. réaliser un examen approfondi de ses pratiques en matière de traitement de l’information relative au crédit;
    2. modifier ces pratiques, notamment en mettant en place un cadre exhaustif de gestion des renseignements personnels pour assurer la conformité à la LPRPDE, prévoyant entre autres : i) des politiques et des procédures; ii) de la formation et des communications; iii) des mesures de surveillances pour assurer la conformité; iv) des mesures correctrices proactives en cas de non-respect;
    3. confier à un tiers la responsabilité de réaliser un audit afin d’examiner ses pratiques en matière de traitement des renseignements relatifs au crédit et d’évaluer sa conformité à la LPRPDE;
    4. présenter le rapport d’audit réalisé par un tiers au Commissariat afin qu’il l’examine et l’approuve.
44. Afin de faciliter la mise en œuvre des recommandations susmentionnées, nous avons suggéré que l’intimée consulte le document d’orientation du Commissariat : Un programme de gestion de la protection de la vie privée : la clé de la responsabilité.

Conclusion

45. En raison des changements apportés par l’intimée et de ceux qu’elle s’est engagée à apporter, nous estimons que cette plainte est fondée et conditionnellement résolue.
    
    Nous souhaitons nous assurer que l’institution financière respectera les engagements qu’elle a pris envers le Commissariat, tel qu’il est mentionné précédemment, et nous effectuerons un suivi auprès de l’intimée afin de nous assurer que ces changements ont été correctement apportés, et ce, dans le délai convenu. Au moment opportun, nous déterminerons si l’institution financière s’est pleinement conformée à nos recommandations et, le cas échéant, nous donnerons suite à toute préoccupation non réglée conformément aux pouvoirs qui nous sont conférés par la Loi.