Guide pour la gestion des comptes des membres d'une famille ou d'un ménage
Le présent document donne des conseils aux organisations pour éviter une mauvaise gestion des renseignements personnels se rapportant à un compte détenu par plus d'un membre d'un ménage.
Il a pour objet de les aider à mieux comprendre les problèmes de protection de la vie privée inhérents à la gestion des comptes des membres d'une famille et de proposer des pratiques exemplaires pour protéger la vie privée des personnes.
Les organisations peuvent utiliser le présent document d'orientation comme outil de référence en complément à la formation des employés.
Aperçu
L'existence d'un lien de parenté entre des personnes ne signifie pas que celles ci ont des attentes moins élevées en matière de confidentialité en ce qui a trait à la communication de leurs renseignements personnels respectifs.
Les organisations ont souvent des clients qui vivent sous le même toit, ont un lien de parenté ou détiennent des comptes conjoints. Le Commissariat à la protection de la vie privée du Canada a fait enquête sur les risques d'atteinte à la sécurité des renseignements personnels qui se présentent lorsque les organisations ne traitent pas les renseignements concernant des membres d'une même famille de façon appropriée.
Nombre des problèmes que nous avons observés pourraient être évités si les organisations prenaient des précautions supplémentaires au moment de traiter les renseignements personnels quand elles savent que des comptes détenus par une famille ou plusieurs titulaires sont en jeu.
Les entreprises devraient s'assurer de tenir et de gérer les comptes des membres d'une même famille de manière à respecter la vie privée de leurs clients. Elles devraient aussi prendre les mesures nécessaires pour atténuer le risque de communication de renseignements à la mauvaise personne, d'envoi de renseignements à la mauvaise adresse, d'absence de consentement de toutes les parties associées à un compte ou d'omission de mettre à jour ou de tenir avec exactitude les renseignements relatifs au compte.
Les organisations doivent se doter d'un programme de gestion de la vie privée prévoyant des principes de gouvernance et des mesures de sécurité techniques afin que des mécanismes de protection des renseignements personnels appropriés permettent d'assurer la conformité aux exigences en la matièreNote de bas de page 1. Il est par ailleurs important de donner une formation aux employés sur la gestion et le traitement des problèmes propres aux comptes détenus par une famille ou un ménage pour protéger la vie privée des personnes.
Dix conseils à l'intention des organisations en ce qui a trait à la gestion des comptes des membres d'une même famille ou d'un même ménage
1 : Obtenez le consentement de toutes les personnes titulaires d'un compte.
Dans certains cas, un compte peut être détenu par plusieurs personnes. Si l'organisation doit vérifier la solvabilité d'une personne, il est important d'obtenir le consentement de tous les titulaires du compte avant de demander un rapport de solvabilité.
Il est également important de vérifier l'identité d'une personne qui prétend vouloir apporter des changements à un compte, y compris ajouter le nom d'une autre personne au compte, afin de se prémunir contre toute tentative pour soutirer des informations confidentielles.
Pour en savoir plus, reportez-vous au rapport des conclusions en vertu de la LPRPDE no 2011 2004.
2 : Communiquez uniquement à l'intéressé lui-même les renseignements se rapportant au titulaire d'un compte.
Les membres d'une famille peuvent habiter à la même adresse, tout en ayant des comptes distincts. L'organisation devrait s'assurer que seule la personne autorisée qui détient un compte reçoit de l'information s'y rapportant. Il faut absolument être prudent et éviter de communiquer des renseignements concernant un compte à un autre membre de sa famille en raison d'une erreur administrative ou autre.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-156.
3 : Assurez-vous que les renseignements personnels mis à jour concernant un compte se rapportent au titulaire visé.
L'exactitude de l'information constitue un principe important du respect de la vie privée. La mise à jour des renseignements relatifs au titulaire d'un compte au moyen des renseignements se rapportant à un autre membre de la famille peut entraîner une communication non autorisée et avoir des conséquences financières négatives pour les autres membres de la famille visés.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-150.
4 : Donnez aux employés une formation sur l'accès aux comptes des membres d'une même famille, et surveillez les pour vous assurer qu'ils n'y accèdent pas de façon inappropriée
Les employés de l'organisation ne doivent pas « fouiner » dans les comptes détenus par d'autres membres de la famille du titulaire. Pour régler ce problème, il est essentiel de mettre en place un cadre de gestion de la protection de la vie privée d'ordre général prévoyant des politiques et des pratiques appropriées, des programmes de formation pour les employés et d'autres mesures de sécurité en vue d'empêcher tout accès inapproprié aux renseignements sur les clients.
La formation des employés de première ligne et l'adoption de politiques et de procédures organisationnelles sur cette question sont absolument essentielles.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-212.
5 : Veillez à ce que les renseignements concernant les comptes reflètent les changements dans les relations familiales.
L'existence d'une relation familiale entre des clients ne signifie pas que les renseignements concernant leurs comptes individuels sont ou demeureront reliés. Il faudrait mettre en place des systèmes de TI et former les employés pour gérer de manière appropriée tout changement dans la situation de famille (par exemple une séparation) ou dans les comptes (par exemple la fermeture d'un compte conjoint) et s'assurer que les renseignements personnels d'une personne relatifs à un compte ne seront pas communiqués sans son consentement à une autre personne n'y ayant plus accès.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-175.
6 : Lorsque vous exécutez une ordonnance du tribunal qui exige la production de renseignements sur un compte, ne divulguez que les renseignements prescrits par la loi, et communiquez les de la manière prescrite.
En exécutant une ordonnance d'un tribunal, l'organisation devrait se conformer aux instructions qui y sont stipulées et limiter en conséquence la communication des renseignements personnels. Les renseignements personnels communiqués doivent se limiter à l'information expressément demandée et être transmis uniquement à la partie ou aux parties mentionnées de la manière prescrite. Si une ordonnance l'enjoint à produire des renseignements sur le compte d'un client, l'organisation ne doit pas communiquer les renseignements personnels du titulaire d'un compte conjoint qui n'est pas visé par la procédure et qui n'est pas autrement mentionné dans l'ordonnance sans le consentement de ce dernier.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2009-005. Consultez aussi X c. RBC Banque Royale, 2012 CF 1095.
7 : Apprenez à vos employés à faire attention lorsqu'ils laissent des messages.
Le simple fait qu'un individu puisse lui avoir transmis le nom d'une personne de référence ne signifie pas que l'organisation peut communiquer à cette personne tous les renseignements relatifs au compte. Par exemple, un message laissé à l'intention du titulaire d'un compte et mentionnant qu'on appelle de la part du service du recouvrement d'une organisation peut révéler plus de renseignements que nécessaire.
Pour en savoir plus, reportez-vous au résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-225.
8 : Assurez-vous que les pratiques organisationnelles traitent les questions des exécuteurs testamentaires et du droit de survie des comptes.
Les renseignements concernant le compte d'une personne décédée devraient être communiqués uniquement à une personne autorisée à administrer la succession, par exemple l'exécuteur testamentaire, et non à n'importe quel membre de la famille. Par ailleurs, dans le cas d'un compte conjoint avec droit de survie, les organisations devraient obtenir le consentement du titulaire survivant avant de communiquer à l'exécuteur testamentaire des renseignements sur le compte. Les organisations doivent absolument adopter des politiques et des procédures et donner aux employés une formation leur permettant de régler les questions relatives à la protection de la vie privée touchant les exécuteurs testamentaires et le droit de survie des comptes.
Pour en savoir plus, reportez-vous au rapport des conclusions en vertu de la LPRPDE no 2013-005 : En vertu de la LPRPDE, l'accès d'un bénéficiaire aux renseignements relatifs à une succession se limite à ses propres renseignements personnels.
9: Élaborez des procédures sur la fourniture d'un accès aux représentants
Lorsqu'une personne prétend être autorisée à accéder au compte d'une autre personne en vertu d'une procuration, il se peut que l'organisation doive passer en revue le document de procuration en entier afin d'évaluer les limites des pouvoirs conférés à son titulaire. Une organisation devrait élaborer des procédures officielles ainsi que des documents de formation connexes pour permettre aux employés de traiter les demandes d'accès à des comptes présentées par des représentants.
Pour en savoir plus, reportez vous au rapport des conclusions en vertu de la LPRPDE no 2004 278.
10: Ne prenez pas pour acquis que les comptes des différents membres d'une famille ou d'un ménage peuvent être regroupés.
Le fait que des personnes aient des liens de famille ou la même adresse ne justifie pas que leurs comptes soient regroupés. Le fait de communiquer au titulaire d'un compte des renseignements sur le titulaire d'un autre compte, en l'absence de tout lien entre les deux comptes, est contraire aux obligations en matière de conformité à la législation sur la protection de la vie privée et peut également miner la confiance d'un consommateur dans les pratiques commerciales d'une organisation. Avant de regrouper des comptes, une organisation devrait solliciter le consentement des titulaires des comptes visés et cette approche devrait être communiquée aux employés dans divers documents de formation.
Pour en savoir plus, reportez vous au résumé des conclusions de plainte réglée rapidement no 2 : En fusionnant les comptes de deux ménages habitant à la même adresse, une société de télécommunications communique les renseignements personnels d'un individu sans son consentement.
- Date de modification :