Un prêteur à court terme recueille des justificatifs d’identité bancaires de services en ligne dans le cadre de demandes de prêts sur salaire

Conclusions d’enquête en vertu de la LPRPDE n^o 2021-006

Le 12 mars 2021

---

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

Description

Le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a informé le Commissariat à la protection de la vie privée (le Commissariat) que CashHere, un prêteur à court terme, demandait les mots de passe, les noms d’utilisateur et les questions et réponses de sécurité associés aux services bancaires en ligne de ses clients dans le cadre de demandes de prêts sur salaire. Le Commissariat a ensuite décidé d’ouvrir une enquête sur cette affaire.

Points à retenir

• Les organisations doivent recueillir, utiliser ou communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.
• Pour déterminer si la fin visée par les organisations pour recueillir des justificatifs d’identité bancaires est acceptable, nous tenons compte du caractère sensible des renseignements personnels ainsi que des facteurs énoncés par les tribunaux :
  1. si la fin visée par l’organisation représente un besoin légitime ou un intérêt commercial véritable;
  2. si la collecte, l’utilisation et la communication des renseignements personnels aident l’organisation à répondre à ce besoin;
  3. s’il existe des moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
  4. si l’atteinte à la vie privée est proportionnelle aux avantages obtenus par l’organisation.
• Il n’est pas acceptable qu’un prêteur recueille les informations bancaires d’identification en ligne pour valider l’identité et gérer le remboursement du prêt. Les risques d’atteinte à la vie privée associés au fait que les demandeurs donnent aux prêteurs l’accès à l’historique complet de leurs états financiers ainsi que la possibilité absolue d’effectuer des opérations financières dans leurs comptes ne sont pas proportionnels aux avantages commerciaux obtenus par le prêteur.

Rapport de conclusions

Aperçu

Le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a alerté le Commissariat que la société de l’Ontario n^o 2124478 (CashHere), un prêteur à court terme, demandait les mots de passe, les noms d’utilisateur et les questions et réponses de sécurité associés aux services bancaires en ligne de ses clients dans le cadre de demandes de prêts sur salaire.

Le Commissariat a ensuite décidé d’ouvrir une enquête sur cette affaire et a déterminé que CashHere recueillait et utilisait les justificatifs d’identité bancaires à des fins qu’une personne raisonnable ne jugerait pas acceptables. Nous admettons que les justificatifs d’identité des services bancaires en ligne puissent être efficaces pour permettre à CashHere de répondre à son besoin légitime de valider l’identité d’une personne et d’obtenir des renseignements crédibles et vérifiés sur ses revenus antérieurs afin de prendre la décision d’accorder un prêt et de gérer le remboursement du prêt. Toutefois, à notre avis, il existait des moyens portant moins atteinte à la vie privée pour réaliser ces fins, par exemple en recueillant des relevés bancaires papier caviardés et les coordonnées des employeurs. De plus, les risques d’atteinte à la vie privée associés au fait que les demandeurs donnent à CashHere l’accès à l’historique complet de leurs états financiers ainsi que la possibilité absolue d’effectuer des opérations financières dans leurs comptes, ne sont pas proportionnels aux avantages commerciaux obtenus par CashHere.

Au cours de notre enquête, CashHere a cessé de répondre au Commissariat et son site Web a été mis en vente. Nous avons cependant découvert qu’une organisation fonctionnant sous le nom de MoneyHome a commencé à exercer ses activités sous un site Web différent (www.moneyhome.ca), mais dans lequel on trouvait : i) le même formulaire de demande en ligne que celui utilisé par CashHere (exigeant des justificatifs d’identité bancaires); ii) l’inscription de l’ancienne adresse municipale de CashHere, ainsi que le permis de prêteur sur salaire de CashHere.

Compte tenu de ce qui précède, nous soupçonnons que la même entité qui exploitait CashHere, ou une entité liée, exerce maintenant ses activités sous le nom de MoneyHome, mais cette dernière a nié toute relation.

Par conséquent, le Commissariat conclut que cette affaire est fondée et qu’elle n’est pas résolue.

Contexte

1. Le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a informé le Commissariat que la société ontarienne n^o 2124478 (CashHere), un prêteur à court terme, demandait les mots de passe, les noms d’utilisateur et les questions et réponses de sécurité associés aux services bancaires en ligne de ses clients lors de l’évaluation des demandeurs de prêt.
2. CashHere est une société située en Ontario qui offre des prêts personnels à court terme, communément appelés « prêts sur salaire ». Les particuliers pouvaient faire une demande de prêt sur son site Web (http://cashhere.ca) en remplissant un formulaire en ligne. Nous soulignons qu’au moment de la publication du présent rapport, le site Web n’est plus en activité.
3. Avant d’ouvrir cette enquête, nous avons consulté CashHere pour mieux comprendre ses pratiques dans ce domaine. CashHere a expliqué au Commissariat que :
   1. l’entreprise recueillait, au moyen de son formulaire de demande en ligne, le numéro de compte bancaire en ligne et les justificatifs d’identité (y compris des renseignements sur le compte bancaire, les mots de passe et les réponses aux questions secrètes) ainsi que le numéro d’assurance sociale, le numéro de la carte d’assurance-santé de l’Ontario et du permis de conduire, ainsi que la date de naissance, pour que les clients soient admissibles à un prêt;
   2. les clients pouvaient fournir des renseignements sur leurs services bancaires en ligne, de façon volontaire, au lieu de fournir des copies papier des divers documents, dont un talon de paye avec le numéro de compte;
   3. l’entreprise recueillait ces renseignements pour vérifier les revenus et pouvoir identifier les clients malhonnêtes qui n’ont pas remboursé leur prêt. Elle a également affirmé qu’elle suivait les pratiques du secteur en exigeant ces renseignements.

Plainte

4. Convaincu qu’il existait des motifs raisonnables d’enquêter sur cette affaire, le Commissariat a décidé d’ouvrir une enquête, en vertu du paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), pour déterminer si CashHere :
   1. recueillait des renseignements personnels, et en particulier des justificatifs d’identité bancaires de services en ligne, à des fins qu’une personne raisonnable estimerait acceptables, conformément au paragraphe 5(3) de la Loi;
   2. recueillait plus de renseignements personnels que nécessaire et si elle recueillait ces renseignements de façon honnête et licite, conformément au principe 4.4 de l’annexe 1 de la Loi.
5. Au cours de l’enquête, nous avons obtenu d’autres observations écrites et verbales de la part de l’intimée. Au début de notre enquête, CashHere a accepté de modifier ses pratiques et ses formulaires pour rendre facultative la fourniture du numéro d’assurance sociale, du permis de conduire et de la carte d’assurance-santé d’un demandeur, mais elle a indiqué son intention de continuer de recueillir les justificatifs d’identité bancaires, de sorte que nous avons concentré notre enquête et le présent rapport sur le caractère acceptable de la collecte et de l’utilisation de ces justificatifs.

Analyse

QUESTION : Déterminer si l’entreprise CashHere recueillait des justificatifs d’identité bancaires à des fins acceptables.

6. Le paragraphe 5(3) de la LPRPDE prévoit qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Cette exigence s’applique à l’ensemble des renseignements recueillis, utilisés ou communiqués par une organisation, y compris les renseignements recueillis de manière facultative auprès des personnes (c.-à-d. non pas comme une condition de service), que la personne ait consenti ou non à la pratique (c.-à-d. que le consentement ne peut rendre acceptable une pratique inacceptable).
7. Conformément à son Document d’orientation sur les pratiques inacceptables du traitement des données : Interprétation et application du paragraphe 5(3)^{Note de bas de page 1}, le Commissariat tient compte des facteurs énoncés par les tribunaux afin de déterminer si une personne raisonnable estimerait que la collecte, l’utilisation et la communication de renseignements par une organisation sont effectuées à des fins acceptables dans les circonstances. Plus précisément, outre le degré de sensibilité des renseignements personnels en cause, nous pouvons aussi tenir compte des facteurs suivants :
   1. si la fin visée par l’organisation représente un besoin légitime ou un intérêt commercial véritable;
   2. si la collecte, l’utilisation et la communication des renseignements personnels aident l’organisation à répondre à ce besoin;
   3. s’il existe des moyens portant moins atteinte à la vie privée qui permettent d’atteindre les mêmes fins pour un coût et des avantages comparables;
   4. si l’atteinte à la vie privée est proportionnelle aux avantages obtenus par l’organisation.

Caractère sensible

9. Dans le cas présent, CashHere recueille des renseignements très sensibles, sous la forme de justificatifs d’identité bancaires, qui pourraient révéler des informations financières très détaillées sur l’emprunteur et l’exposer à la fraude ou au détournement de fonds dans ses comptes bancaires.

Besoin légitime

9. Nous reconnaissons que pour les services offerts par CashHere, c’est‑à‑dire les prêts à court terme sans vérification de solvabilité, l’entreprise avait un besoin légitime de pouvoir valider l’identité du demandeur et d’obtenir des renseignements crédibles et vérifiés sur ses revenus antérieurs afin de décider d’accorder un prêt et de gérer le remboursement du prêt.

Efficacité

10. CashHere a fait valoir, et nous l’admettons, que l’accès aux comptes bancaires en ligne des demandeurs de prêts était un moyen efficace de valider l’identité du demandeur et d’obtenir des renseignements sur ses revenus antérieurs.

Moyens portant moins atteinte à la vie privée

11. Bien que nous reconnaissions que l’objectif visé par CashHere représente un besoin légitime, et que la collecte des renseignements bancaires du demandeur de prêt l’aidait à répondre à ce besoin, il existe clairement d’autres solutions de rechange portant moins atteinte à la vie privée pour valider l’identité des demandeurs et obtenir des renseignements sur leurs revenus, qui n’exposent pas les demandeurs aux risques associés à un transfert du libre accès en ligne à leurs comptes bancaires.
12. L’entreprise CashHere elle‑même a offert aux demandeurs un autre moyen de valider leur identité et d’obtenir des renseignements sur leurs revenus. Les demandeurs pouvaient choisir de fournir des copies papier de leurs relevés bancaires ainsi que les coordonnées de leur employeur pour permettre à CashHere d’examiner leurs relevés bancaires ou de communiquer avec leur employeur pour valider leur identité et leurs antécédents professionnels. À notre avis, cette solution de rechange porte beaucoup moins atteinte à la vie privée, dans la mesure où elle ne fournit au prêteur que les renseignements indiqués sur le relevé (en particulier si elle permet de caviarder des passages, de sorte que seuls les renseignements sur le revenu sont fournis), au lieu de donner accès à l’historique complet des états financiers du demandeur. En outre, cette solution n’expose pas la personne au même risque de vol ou de fraude.

Proportionnalité

13. Par ailleurs, l’atteinte à la vie privée résultant de la collecte des justificatifs d’identité bancaires n’est pas proportionnelle aux avantages obtenus.
14. CashHere prétend qu’elle est en mesure de traiter plus efficacement une demande de prêt parce qu’elle peut accéder aux renseignements bancaires d’une personne directement en ligne, elle gagne ainsi du temps plutôt que d’attendre que la personne fournisse des copies de ses relevés bancaires. Compte tenu de la possibilité pour de nombreux particuliers de télécharger immédiatement leurs relevés bancaires, d’en faire une capture d’écran et de les acheminer par voie électronique, nous remettons en question les allégations d’efficacité de CashHere.
15. CashHere a également fait valoir qu’elle était plus susceptible d’approuver une demande de prêt si elle avait davantage confiance dans la validité des revenus et de la solvabilité du demandeur, bien que nous ne soyons pas convaincus que la présentation de relevés bancaires, de feuillets de renseignements fiscaux T4 et de talons de paye ou que la vérification d’un emploi auprès d’un employeur ne puisse permettre d’atteindre les mêmes objectifs.
16. Quoi qu’il en soit, nous estimons que l’atteinte à la vie privée liée à cette collecte est disproportionnée par rapport aux avantages cités par CashHere.
    1. La collecte des justificatifs d’identité bancaires permet un accès inutilement vaste aux renseignements financiers d’un demandeur (qui peuvent remonter à des années), alors qu’un aperçu de quelques mois permettrait de prouver les revenus antérieurs récents.
    2. La collecte des justificatifs d’identité bancaires donne à CashHere la possibilité d’effectuer des transactions financières réelles dans le compte bancaire du demandeur, un risque inutile au regard des objectifs de validation décrits au paragraphe 9.
17. CashHere a déclaré au Commissariat qu’elle n’utilise pas et n’utiliserait pas les justificatifs d’identité bancaires des demandeurs pour effectuer des transactions, bien qu’elle n’ait pas fait part de cet engagement aux demandeurs dans un accord écrit.
18. À notre avis, même s’il y avait un accord écrit à cet égard entre CashHere et le demandeur, ce dernier serait toujours exposé à un risque inacceptable et inutile. De plus, l’accord ne protégerait pas le demandeur ni n’atténuerait sa responsabilité à l’égard de son institution bancaire si des transactions non autorisées devaient en découler, soit en raison d’une mauvaise utilisation par CashHere ou un employé, soit en raison d’une atteinte aux mesures de sécurité de l’organisation.
19. L’Agence de la consommation en matière financière du Canada (ACFC) rappelle que : « s’ils divulguent leurs noms d’utilisateur et mots de passe à une tierce partie, les consommateurs pourraient enfreindre les contrats d’utilisation conclus avec leur institution financière et être tenus responsables des pertes découlant d’opérations non autorisées, et ce, même si un fournisseur de service met en place des mesures de sécurité »^{Note de bas de page 2}.
20. Compte tenu des facteurs susmentionnés, nous sommes d’avis qu’une personne raisonnable n’estimerait pas que les fins pour lesquelles CashHere recueille et utilise des justificatifs d’identité bancaires sont acceptables dans les circonstances, même si le demandeur fournit volontairement ces renseignements.

CashHere et MoneyHome

21. Le Commissariat a tenté de faire part à CashHere de ses conclusions et de sa recommandation de cesser de recueillir les justificatifs d’identité bancaires des demandeurs. Cependant, nous n’avons pas réussi à joindre CashHere. Au cours de notre enquête, CashHere a cessé de répondre à notre correspondance. Le site Web (http://cashhere.ca) est à vendre, même si nous avons obtenu la confirmation que la société était toujours inscrite comme active dans le registre des sociétés de l’Ontario.
22. À la fin de notre enquête, nous avons découvert qu’une entreprise appelée MoneyHome semblait, selon le site Web de MoneyHome, exercer ses activités à partir de l’adresse commerciale de CashHere. Il s’agit également d’une société de prêts sur salaire qui utilise un formulaire en ligne apparemment identique à celui de CashHere, qui recueille les justificatifs d’identité des services bancaires en ligne pour évaluer les demandes. Son site Web affichait exactement le même permis de prêteur sur salaire que celui de CashHere.
23. Nous avons communiqué avec l’entreprise MoneyHome pour confirmer son lien avec CashHere. En réponse à notre demande, MoneyHome a déclaré qu’elle n’avait aucun lien avec CashHere et que l’adresse sur son site Web n’était pas la bonne en raison d’une erreur commise par leur développeur Web. MoneyHome n’a pas répondu lorsque nous lui avons demandé pourquoi le permis de prêteur sur salaire affiché sur son site Web était le même que celui de CashHere. Nous avons constaté que le certificat a été retiré du site Web de MoneyHome peu de temps après notre entretien. L’adresse prétendument erronée a été supprimée par la suite.
24. Compte tenu de ce qui précède, et au moment de la publication du présent rapport, malgré que nous soupçonnions que la même entité qui exploitait CashHere, ou une entitée apparentée, exerce maintenant ses activités sous le nom de MoneyHome, les représentants de cette dernière nient tout lien avec CashHere.

Conclusion

25. Par conséquent, le Commissariat conclut que cette affaire est fondée et qu’elle n’est pas résolue.
26. Nous avons soulevé cette question, et les préoccupations susmentionnées, auprès du ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario, qui a initialement porté cette question à notre attention. Nous notons que le ministère a ajouté MoneyHome à sa Liste de mises en garde pour les consommateurs^{Note de bas de page 3}.
27. Nous avons l’intention de communiquer nos conclusions à MoneyHome et de publier ce rapport sur notre site Web pour informer MoneyHome et d’autres organisations de prêts sur salaire qu’elles devraient s’abstenir de se livrer aux pratiques visées par le présent rapport, qui ont été jugées contraires à la loi fédérale canadienne qui régit la protection des renseignements personnels.

Mise à jour

Nous avons transmis ce rapport à CashHere et à MoneyHome. Aucune des deux organisations n’a répondu au Commissariat. Nous avons constaté, en juin 2021, que le site de MoneyHome est maintenant à vendre.