Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé
Les entreprises devraient-elles demander à leurs clients leur numéro d’assurance sociale?
Le Commissariat à la protection de la vie privée du Canada soutient depuis longtemps que le numéro d’assurance sociale (NAS) ne devrait pas servir d’identificateur général et que les organisations devraient limiter la collecte, l’utilisation et la communication des NAS à des fins autorisées par la loi et liées au revenu.
Tout en reconnaissant le fait que certaines organisations du secteur privé sont tenues par la loi de demander le NAS de leurs clients aux fins de la déclaration du revenu, nous continuons de nous opposer en principe à la pratique de demander le NAS à des fins d’identification qui ne sont pas autorisées par la loi et liées au revenu. Nous recommandons fortement que les organisations du secteur privé ne demandent pas le NAS de leurs clients, et qu’aucun client ne donne son NAS à une organisation du secteur privé, à moins que l’organisation ne soit autorisée par la loi à le demander à des fins liées au revenu.
Dans quelle mesure la collecte du NAS est-elle permise dans le secteur privé?
- Les employeurs sont autorisés à recueillir le NAS de leurs employés afin de pouvoir leur remettre des relevés d’emploi et des bordereaux T-4 aux fins de l’impôt sur le revenu.
- Les organisations comme les banques, les caisses populaires et les sociétés de fiducie sont tenues par la Loi de l’impôt sur le revenu de demander le NAS de leurs clients pour déclarer le revenu sur les comptes portant intérêt (p. ex., les comptes d’épargne).
- Aucune organisation du secteur privé n’est légalement autorisée à demander le NAS de ses clients à des fins autres que celles liées au revenu. Si le compte d’un client ne porte pas intérêt (p. ex., un compte de crédit par opposition à un compte d’épargne), une institution financière n’est pas tenue par la loi de recueillir son NAS et le client n’est pas tenu de le fournir.
- Malgré cela, il n’existe aucune loi qui interdit à une organisation de demander le NAS d’un client, ou à un client de fournir son NAS, à des fins autres que celles liées au revenu.
Malgré notre opposition en principe à la pratique, nous reconnaissons qu’une organisation peut demander le NAS et que le client peut décider de le fournir, à des fins raisonnables d’identification, dans la mesure où les principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sont effectivement respectés.
Comment la LPRPDE s’applique-t-elle à la collecte, à l’utilisation et à la communication des NAS?
Un NAS est le renseignement personnel de la personne à qui il a été attribué. À ce titre, sa collecte, son utilisation ou sa communication est assujettie à toutes les dispositions pertinentes de la LPRPDE. Les principes suivants de l’Annexe 1 de la LPRPDE s’appliquent.
- Principe 4.2 (Détermination des fins) : Une organisation doit informer la personne des fins pour lesquelles elle collecte le NAS au moment de la collecte, de vive voix ou par écrit (p. ex., sur un formulaire de demande de renseignements).
- L’organisation doit clairement indiquer si elle demande le NAS à des fins liées au revenu ou à des fins d’identification.
- Si elle demande le NAS aux fins de la déclaration du revenu, l’organisation doit clairement indiquer si la demande est requise par la loi.
- Si elle ne demande le NAS qu’à des fins d’identification, l’organisation doit clairement indiquer que la collecte est facultative.
- Si une organisation qui est tenue de recueillir le NAS aux fins de la déclaration du revenu entend également l’utiliser à des fins d’identification, elle doit, au moment de la collecte, clairement indiquer cette fin subséquente et le fait que le consentement de la personne aux fins d’identification est optionnel.
- Une organisation ne doit pas utiliser le NAS pour toute autre fin non antérieurement indiquée sans tout d’abord préciser la nouvelle fin et obtenir au préalable le consentement explicite de la personne. En d’autres mots, si l’organisation n’indiquait tout d’abord que la déclaration du revenu comme fin de la collecte du NAS, elle doit de nouveau obtenir le consentement éclairé spécifique de la personne avant d’utiliser le NAS à des fins d’identification.
- Lorsque le NAS sera utilisé à des fins d’identification, l’organisation doit prévoir un mécanisme pratique en vertu duquel la personne peut retirer son consentement à ces fins à n’importe quel moment après qu’elle a fourni son NAS. Le mécanisme doit être économique, facile à utiliser et exécutoire sans délai. Il est recommandé de fournir un numéro de téléphone sans frais.
- Principe 4.3 (Consentement) : Toute personne doit être informée de toute collecte, utilisation ou communication d’un NAS qui le concerne et y consentir. Lorsque les fins de la collecte du NAS sont raisonnables et clairement spécifiées à la personne lors de la collecte (p. ex., dans un formulaire de demande de renseignements), l’organisation peut juger que la personne a donné son consentement lorsqu’elle a fourni son NAS.
- Principe 4.3.3 : « Une organisation ne peut, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. »
- Les fins d’identification ne sont pas en soi considérées comme un fondement légitime pour demander qu’une personne communique son NAS. Si le NAS est demandé uniquement à des fins d’identification, l’organisation ne doit en aucune façon suggérer à la personne que le NAS est une condition de la prestation d’un bien ou d’un service ou, par ailleurs, de l’établissement d’un lien d’affaires.
- Même dans les cas où il est raisonnable qu’une organisation demande à un client une preuve d’identité, la demande du NAS en particulier doit être présentée et traitée comme facultative. En vérifiant l’identité, une organisation peut demander le NAS comme une option parmi d’autres, mais non pas comme une condition en soit.
- Exemple : Dans le cas d’une banque ou d’un autre établissement de crédit qui doit confirmer l’identité d’un demandeur de prêt afin de pouvoir effectuer une vérification de son crédit, il serait raisonnable qu’il demande son NAS comme une option d’identification parmi tant d’autres. Il ne serait toutefois pas acceptable que le NAS soit une condition pour l’octroi d’un prêt.
- Date de modification :