Une institution financière communique trop de renseignements en réponse à une ordonnance de communication

Conclusions en vertu de la LPRPDE n^o 2017-012

Le 29 août 2017

Description

Le plaignant a présenté une demande d’accès à ses renseignements personnels et a découvert que son institution financière avait fourni à la police ce qu’il croit être trop de renseignements en réponse à des ordonnances de communication, particulièrement des renseignements sur son compte REEE datant de 1999. Nous avons conclu que les documents n’étaient pas visés par l’ordonnance de communication et ont été communiqués en réponse à une demande informelle de la police, formulée après l’émission de l’ordonnance.

Rapport de conclusions

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE ou la Loi)

1. Le plaignant allègue que son institution financière aurait communiqué ses renseignements personnels en contravention à la Loi lorsqu’elle a télécopié des documents comportant des renseignements sur son régime enregistré d’épargne-études (REEE) à un détective du service de police municipal.
2. L’institution financière a indiqué qu’elle avait communiqué les renseignements personnels du plaignant au service de police municipal au titre de trois ordonnances de communication consécutives rendues par un tribunal provincial. En ce qui concerne la communication visée par la présente plainte, elle était expressément fondée sur une ordonnance de communication rendue en 2013. Selon l’institution, les renseignements communiqués l’ont été conformément à cette ordonnance de communication et, par conséquent, d’une manière conforme à l’alinéa 7(3)c) de la Loi.
3. Toutefois, le libellé de l’ordonnance de communication de 2013 est très précis et mentionne des documents produits pendant une période bien précise. L’enquête a permis d’établir que des documents hors du champ d’application de l’ordonnance de communication ont été communiqués. À notre avis, l’institution financière ne peut invoquer l’alinéa 7(3)c) de la Loi pour justifier la communication des renseignements personnels en cause.
4. À la suite de la publication du rapport d’enquête préliminaire et des recommandations du Commissariat, l’institution financière a accepté de revoir ses procédures afin de s’assurer qu’elles sont claires et de fournir des « outils de travail » et une formation spécialisée au personnel responsable des communications en vertu des ordonnances de communication.
5. En conséquence, nous avons conclu que la plainte est fondée et résolue.

Résumé de l’enquête

Contexte

1. Le plaignant, qui était un client d’une institution financière, allègue que celle-ci aurait communiqué ses renseignements personnels en contravention à la Loi lorsqu’elle a télécopié des documents comportant des renseignements sur son régime enregistré d’épargne-études (REEE) à un détective du service de police municipal.
2. À la suite d’une demande d’accès à l’information, le plaignant a découvert que l’institution financière avait envoyé par télécopieur au détective des documents faisant état d’opérations effectuées dans son compte REEE en 1999. Le plaignant a déclaré que le détective avait obtenu une ordonnance de communication pour obtenir des renseignements sur ses comptes auprès de l’institution financière. Toutefois, à son avis, l’ordonnance de communication ne prévoyait que la communication des documents relatifs à son compte REEE pour la période de 2008 à 2011 et, par conséquent, les documents comportant des renseignements relatifs aux opérations effectuées en 1999 étaient hors de la portée de cette ordonnance.
3. Nous avons examiné l’ordonnance de communication mentionnée par le plaignant, qui a été rendue en 2012. L’ordonnance visait à obtenir des renseignements importants sur les relevés bancaires de plusieurs comptes appartenant au plaignant, y compris le compte REEE. Le libellé précis de la demande concernant le compte REEE était le suivant :

   Relevés bancaires au nom de [nom du plaignant] concernant le numéro de compte du régime enregistré d’épargne-études [omis] [avec l’institution financière], pour la période de novembre 2008 à septembre 2011. [traduction]

4. En réponse à la plainte, l’institution financière a indiqué qu’elle avait communiqué les renseignements personnels du plaignant au service de police municipal en se fondant sur trois ordonnances de communication consécutives rendues par un tribunal provincial relativement à une enquête menée sur le plaignant pour diverses infractions au Code criminel. De l’avis de l’institution financière, les renseignements fournis l’ont été conformément aux ordonnances de communication et ont, par conséquent, été communiqués de manière conforme à l’alinéa 7(3)c) de la Loi.
5. En ce qui a trait à la communication des renseignements sur le compte REEE du plaignant datant précisément de 1999, l’institution financière a déclaré qu’elle ne l’avait pas fait en vertu de l’ordonnance de communication rendue en 2012, comme le prétendait le plaignant, mais en vertu de l’ordonnance de communication subséquente rendue en 2013, qui demandait à l’institution financière de fournir toutes les pièces justificatives des opérations relatives au compte du plaignant et qui ne fixait pas de période pour les documents en question. Par conséquent, « puisque l’ordonnance de communication ne précisait pas de période pendant laquelle [l’institution financière] devait fournir une sélection d’opérations relatives au REEE, [l’institution financière] a fourni ce qu’elle croyait nécessaire pour s’y conformer, y compris les opérations effectuées en 1999. » [traduction]
6. Le Commissariat a examiné l’ordonnance de communication rendue en 2013. Le libellé précis de la demande concernant le compte REEE en question était : « Toutes les pièces justificatives des opérations effectuées dans les comptes appartenant à [nom du plaignant] énumérés à l’annexe B ci-jointe se rapportant à [l’institution financière]. » [traduction]
7. L’annexe B commence par la mention suivante : « Les pièces justificatives pour les catégories d’opérations suivantes concernant [les comptes du plaignant avec l’institution financière] doivent être fournies. » [traduction] On y énumère ensuite les catégories d’opérations qui ont été demandées pour chaque compte. Le point concernant le compte REEE indique une période allant du « 1er octobre au 31 décembre 2010 ». Sous « Détails de la demande » apparaît la mention suivante : « Le rapport trimestriel antérieur du 30 septembre 2010 indique un solde de « 0 » pour le REEE familial no [omis]. Pour ce qui est du trimestre se terminant le 31 décembre 2010, le solde est de [omis] $. Les pièces justificatives confirmant le montant déposé dans le REEE doivent être fournies. » [traduction]
8. L’institution financière a fourni des renseignements en réponse à l’ordonnance de communication rendue en 2013, notamment en ce qui concerne le compte REEE. Après avoir reçu ces renseignements, le détective a communiqué avec un spécialiste des documents de l’institution financière en 2013 pour lui demander des détails sur les fonds versés dans le compte REEE lors de son ouverture initiale. En réponse à cette demande, le spécialiste des documents a envoyé par télécopieur des renseignements transactionnels de 1999 au détective.
9. L’institution financière nous a communiqué ses procédures internes à suivre pour se conformer à une ordonnance de communication, qui comprennent notamment les directives suivantes à l’intention des employés chargés de répondre aux demandes présentées en vertu d’une ordonnance de communication :

   Savoir reconnaître ce qui est demandé

   *** Portez toujours attention à la question de savoir si l’ordonnance de communication indique expressément « y compris, sans toutefois s’y limiter », ce qui donne accès au demandeur à de l’information sur chaque compte, ou si elle fait expressément référence à un compte en particulier. Il en va de même pour les renseignements demandés « uniquement ou conjointement ». Si le demandeur exige des demandes de crédit ou des documents d’ouverture de comptes qui sont détenus conjointement, assurez-vous de ne pas inclure de renseignements sur la personne conjointe, à moins qu’ils ne soient visés par l’ordonnance de communication.

   Vous pouvez vous conformer aux demandes secondaires comme les demandes de pièces justificatives, pourvu qu’elles cadrent avec l’ordonnance de communication originale et la période demandée à l’origine. Toute demande de renseignements en dehors de la portée initiale peut nécessiter l’émission d’une ordonnance de communication supplémentaire. Toute exception devrait être renvoyée au [gestionnaire]. [traduction]

10. L’institution financière croit également qu’elle a obtenu le consentement du plaignant à ce qu’elle communique ses renseignements personnels aux organismes d’application de la loi, puisque la politique de confidentialité de l’institution financière stipule que l’institution financière peut communiquer des renseignements personnels à toute organisation dans le but de prévenir ou de détecter toute activité criminelle, ce qui était le fondement de l’enquête du service de police municipal.

Application

11. En analysant les faits, nous avons appliqué le principe 4.3 de l’annexe 1, le paragraphe 6(1) et l’alinéa 7(3)c) de la Loi.
12. Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
13. Le paragraphe 6(1) stipule que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
14. L’alinéa 7(3)c) stipule qu’une organisation ne peut communiquer des renseignements personnels à l’insu de l’intéressé ou sans son consentement que si la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents.

Analyse et constatations

Analyse

15. La question est de savoir si l’institution financière peut se fier à l’ordonnance de communication rendue en 2013 concernant la communication des documents énumérant les opérations effectuées dans le compte REEE du plaignant en 1999.
16. Il convient de noter que le plaignant n’a pas contesté les autres communications que l’institution financière a faites en réponse aux ordonnances de communication qui lui ont été délivrées et qui demandaient divers documents provenant des comptes du plaignant. Dans sa plainte au Commissariat, le plaignant n’a soulevé des préoccupations qu’en ce qui concerne la communication des renseignements relatifs à son compte REEE en 1999.
17. En ce qui concerne cette communication, nous sommes d’avis qu’elle ne cadre pas avec le champ d’application de l’ordonnance de communication rendue en 2013. L’ordonnance de communication indique, à l’annexe B, que des pièces justificatives ont été demandées pour confirmer le montant déposé dans le compte REEE entre octobre et décembre 2010. Il n’était pas question de fournir des pièces justificatives concernant le compte REEE pour les périodes antérieures.
18. Étant donné la spécificité de l’annexe B concernant les documents demandés, nous ne sommes pas d’accord avec l’affirmation de l’institution financière selon laquelle elle était tenue de communiquer les opérations effectuées en 1999. À notre avis, l’information transactionnelle de 1999 n’était pas visée par l’ordonnance de communication rendue en 2013 parce que l’information ne se situe pas dans la période visée et ne cadre pas avec la nature des renseignements demandés à l’annexe B.
19. Nous constatons que les procédures internes de l’institution financière qu’il faut suivre pour se conformer aux ordonnances de communication reconnaissent qu’une ordonnance de communication supplémentaire peut être nécessaire si les demandes de renseignements dépassent la portée initiale de la demande de renseignements. Dans ce cas, la demande subséquente de renseignements concernant le compte REEE a dépassé la portée initiale de l’ordonnance de communication. L’intimé aurait donc dû refuser de fournir les renseignements supplémentaires, à moins d’avoir obtenu, au préalable, une ordonnance de communication révisée.
20. En conséquence, l’institution financière ne peut pas invoquer l’alinéa 7(3)c) pour justifier sa décision de communiquer les renseignements sur le compte REEE datant de 1999 à l’insu du plaignant ou sans son consentement.
21. En ce qui concerne l’argument secondaire de l’institution financière selon lequel le plaignant a consenti à la communication de ses renseignements personnels en acceptant la politique de confidentialité de l’institution, nous ne sommes pas convaincus. À notre avis, les termes généraux mentionnés par l’institution financière dans sa politique de confidentialité ne peuvent servir de fondement au consentement éclairé dans les circonstances, particulièrement à la lumière de la nature délicate des renseignements financiers en cause^{Note de bas de page 1} et des attentes raisonnables d’une personne dans la situation du plaignant.
22. La clause particulière mentionnée par l’institution financière stipule que l’institution financière peut communiquer des renseignements personnels « [aux fins de prévention et de détection de fraude ou d’activité criminelle ou encore de gestion et de règlement des pertes liées à une fraude ou à une activité criminelle] ». [traduction] Ce libellé est de nature générale et ne fait aucune mention expresse de la communication aux organismes d’application de la loi. En effet, la mention concernant la prévention et la détection de fraude ou d’activité criminelle laisse entendre que cette disposition vise davantage les cas où l’institution financière fait une communication de son propre chef à la suite de renseignements qu’elle a découverts, ce qui se veut une situation très différente de celle consistant à répondre à une demande de renseignements de la part des organismes d’application de la loi.
23. D’autres dispositions de la politique de confidentialité appuient ce point de vue. La politique de confidentialité stipule également, en particulier, que l’intimé peut communiquer des renseignements personnels « [pour répondre à des ordonnances, demandes ou requêtes d’un tribunal ou pour se conformer aux règles de production d’un tribunal] ». [traduction] Cette mention plus précise laisse entendre que la communication aux autorités chargées de l’application de la loi se fera conformément à une demande légale valide.
24. En outre, la politique de confidentialité interne de l’institution financière, qui comporte des renseignements sur la façon dont elle traite les renseignements personnels des clients, contredit sa propre position. Le code de protection des renseignements personnels stipule en particulier que si l’institution financière communique des renseignements sur un client en vertu d’une assignation à comparaître, d’un mandat de perquisition ou d’autres ordres d’un tribunal ou d’un gouvernement, elle fera des « efforts raisonnables » pour s’assurer que « [seuls les renseignements personnels dont la communication est légalement requise sont communiqués] » et que « [les demandes informelles de renseignements personnels de la part du gouvernement ou d’organismes d’application de la loi ne sont pas respectées] ». [traduction] Cela renforce le point de vue selon lequel un client ne s’attendrait pas raisonnablement à ce que l’institution financière communique des renseignements personnels aux organismes d’application de la loi simplement sur demande.
25. Enfin, même si elle était rédigée différemment, nous doutons que la politique de confidentialité, qui, de par sa nature, comporte des conditions générales que les clients acceptent lorsqu’ils s’inscrivent aux services de l’institution financière, soit le moyen convenable d’obtenir leur consentement explicite à la communication de renseignements financiers de nature délicate en réponse à une demande des organismes d’application de la loi.
26. En réponse à notre rapport d’enquête préliminaire, l’institution financière s’est opposée à la conclusion selon laquelle le compte REEE du plaignant comporte des renseignements personnels de nature délicate et a demandé au Commissariat d’expliquer sa position. L’institution financière a cité le paragraphe 36 de l’affaire de la Banque royale du Canada c. Trang (« arrêt Trang »), dans lequel la Cour suprême du Canada indique que même si l’information financière est généralement extrêmement délicate, le degré de sensibilité d’une information financière en particulier est une détermination contextuelle.
27. Nous convenons que la sensibilité est une détermination contextuelle, mais le contexte ici –l’information sur les comptes financiers tenue confidentielle par l’institution financière au nom de ses clients – indique que l’information est plus sensible, et non moins sensible. Nous soulignons à cet égard que la politique de confidentialité de l’institution financière stipule que cette dernière s’engage à préserver la confidentialité et le caractère privé des renseignements personnels de ses clients.
28. Les faits dans cette affaire se distinguent de ceux de l’affaire Trang. Dans l’arrêt Trang, la Cour suprême du Canada a conclu que les renseignements en cause (c.-à-d. le cours actuel d’une hypothèque) étaient « moins » sensibles du fait qu’il existait déjà un « large éventail » de renseignements sur l’hypothèque qui étaient publiquement disponibles^{Note de bas de page 2}. Par contre, dans ce cas-ci, aucun fait probant n’indique que les renseignements sur le REEE demandés par le détective du service de police municipal étaient accessibles au public ou qu’ils supplantent autrement la présomption générale voulant qu’à titre de renseignements financiers, les renseignements sur le REEE doivent être considérés comme étant de nature délicate. À cet égard, l’institution financière n’a pas présenté de justification, autre qu’un renvoi général à l’affaire Trang, pour expliquer pourquoi elle n’est pas d’accord avec la conclusion du Commissariat en ce qui a trait à la sensibilité des renseignements personnels en cause. Quoi qu’il en soit, nous soulignons que la sensibilité n’est que l’un des facteurs à prendre en considération et que le Commissariat a également tenu compte des attentes raisonnables d’une personne dans la situation du plaignant, ce qui indique également qu’il n’y a pas consentement dans ce cas-ci.
29. Nous sommes par conséquent d’avis que l’institution financière ne peut se fonder sur le principe 4.3 pour justifier la communication des renseignements personnels en cause.
30. Dans notre lettre et notre Rapport préliminaire d’enquête, nous avons recommandé que l’institution financière revoie ses procédures de conformité aux ordonnances de communication et s’assure, au moyen d’une formation spécialisée, que les employés chargés de répondre aux demandes en vertu d’une ordonnance de communication suivent les procédures de diligence raisonnable afin que seuls les renseignements personnels qui sont visés par l’ordonnance de communication soient communiqués.
31. Nonobstant son point de vue à propos de la sensibilité des renseignements sur les REEE, l’institution financière a accepté de s’assurer que les employés chargés de répondre aux demandes en vertu d’une ordonnance de communication comprennent leur responsabilité consistant à fournir des renseignements personnels dans le cadre de l’ordonnance de communication. L’institution financière reverra ses procédures pour s’assurer qu’elles sont claires et fournira des « outils de travail » et une formation spécialisée à l’équipe opérationnelle chargée des communications en vertu d’ordonnances de communication.

Conclusion et recommandations

32. En conséquence, nous concluons que la plainte est fondée et résolue.