L’utilisation du NAS pour la vérification de l’identité ne peut constituer une condition de service
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2017-006
Le 20 décembre 2017
LEÇONS APPRISES
- Une organisation du secteur privé devrait demander à un client son numéro d’assurance sociale (NAS) seulement s’il est requis pour respecter ses obligations en matière de déclaration des revenus.
- Même si l’utilisation du NAS pour la vérification de l’identité peut aider le maintien de l’intégrité ou de l’exactitude des renseignements personnels d’un client, une organisation privée ne peut pas exiger de ses clients qu’ils le lui fournissent pour obtenir le service pour la vérification de l’identité.
- Pour de plus amples renseignements à ce sujet, on peut consulter la page Protéger votre numéro d’assurance sociale. Les organisations peuvent consulter notre document d’orientation intitulé Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé.
Plainte
Le plaignant a allégué qu’une institution financière ne permet pas à ses clients de refuser qu’il donne leur numéro d’assurance sociale (NAS) à des agences d’évaluation du crédit aux fins de vérification de l’identité lorsqu’ils font une demande d’ouverture d’un compte d’épargne. Même s’il ne voyait aucun inconvénient à fournir son NAS aux fins de déclaration de revenus, il ne voulait pas qu’on le transmette à des agences d’évaluation du crédit pour vérifier son identité.
Résumé de l’enquête
Une fois informée de la plainte, l’institution financière a confirmé auprès du Commissariat qu’elle recueille et utilise les NAS pour respecter ses obligations légales de déclaration de revenus et pour vérifier l’identité de clients potentiels avec l’aide d’agences d’évaluation du crédit. L’institution financière était d’avis qu’il était avantageux pour le client qu’elle utilise son NAS comme un point de validation supplémentaire dans la méthode d’identification aux fins d’évaluation du crédit, car cela assurerait l’intégrité et l’exactitude de ses renseignements personnels. L’institution financière s’est également reportée aux lignes directrices diffusées par le CANAFE et le gouvernement du Canada pour appuyer sa position, selon laquelle il est approprié qu’une banque en ligne, qui n’interagit pas en personne avec ses clients, exige de ces derniers qu’ils consentent à l’utilisation de leur NAS à des fins d’identification.
Résultat
Nous avons passé en revue les lignes directrices du CANAFE intitulées Méthodes pour vérifier l’identité des personnes et confirmer l’existence des entités, qui offre une orientation aux organisations du secteur financier sur la façon dont elles peuvent remplir leurs obligations légales de vérifier l’identité de leurs clients potentiels avant de leur fournir des services bancaires. Nous avons également examiné des documents d’Emploi et Développement Social Canada (EDSC), soit Protéger votre numéro d’assurance sociale et Numéro d’assurance sociale — Code de bonnes pratiques, qui conseillent les particuliers et les organisations du secteur privé quant à l’utilisation acceptable et inacceptable du NAS. Aucune de ces sources n’exigeait, ni ne suggérait, l’utilisation du NAS individuel à des fins de vérification de l’identité. Nous concluons donc que l’institution financière contrevient au principe 4.3.3 de l’annexe 1 de la Loi en exigeant le consentement de ses clients à cette pratique.
Le Commissariat a recommandé à l’institution financière de cesser de demander à ses clients de donner leur consentement à l’utilisation de leur NAS à des fins de vérification de l’identité comme une condition de service. L’institution financière a accepté d’apporter des changements à son processus de demande en ligne et à ses communications sur la protection de la vie privée connexes pour qu’ils indiquent que l’utilisation du NAS pour la vérification de l’identité est facultative et n’est pas une condition de service. Elle s’est engagée à apporter ces changements avant le 15 février 2018.
En conséquence, le Commissariat a conclu que la plainte était fondée et conditionnellement résolue.
Mise à jour : Lors d’une discussion de suivi avec l’institution financière, le Commissariat a confirmé qu’elle avait entièrement appliqué nos recommandations.
- Date de modification :