Conservation de renseignements personnels après le rejet d'une demande

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2001-6

[principe énoncé à l'article 4.5 de l'annexe 1]

Plainte

Une particulière qui avait présenté une demande de carte de crédit s'est plainte que la banque, après l'avoir rejetée, ait refusé de satisfaire à sa requête pour que les renseignements personnels recueillis dans sa demande soient supprimés des dossiers de la banque.

Résumé de l'enquête

La plaignante avait présenté en personne une demande de carte de crédit, mais la banque en question l'avait rejetée. La plaignante a ensuite demandé que les renseignements personnels qu'elle avait inscrits dans sa demande soient retirés du système informatique de la banque. Le directeur de la succursale a répondu que le pouvoir de supprimer des renseignements ne lui avait pas été délégué, et il n'a pas tenté d'établir s'il était possible d'entreprendre d'autres démarches à cette fin.

De fait, l'agent de protection de la vie privée et le gestionnaire des opérations des cartes de crédit étaient investis par délégation du pouvoir de retirer ces renseignements sur demande spéciale, mais dans la présente affaire, la demande de la plaignante n'a pas été transmise à l'un ou l'autre de ces responsables. À la banque, la pratique courante relative aux demandes de carte de crédit présentées en personne consistait à saisir immédiatement les renseignements personnels dans le système informatique de la succursale, puis de les envoyer au système hôte du centre d'évaluation des dossiers de financement pour soumettre la demande à la décision de la banque. Si la demande était refusée, les renseignements n'étaient pas éliminés automatiquement. Sauf sur demande spéciale de l'individu dont la demande avait été rejetée, les renseignements personnels le concernant étaient conservés dans le système informatique de la banque, où le personnel de la succursale pouvait y avoir accès indéfiniment.

Conclusions du commissaire

Rendues le 23 juillet 2001

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Cette plainte était du ressort du commissaire parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : Le principe énoncé à l'article 4.5 de l'annexe 1 stipule que les renseignements personnels doivent être conservés aussi longtemps que nécessaire pour la réalisation des fins auxquelles ils ont été recueillis.

Le commissaire a jugé déraisonnable le fait que si la plaignante n'avait pas insisté pour qu'ils soient retirés, les renseignements personnels la concernant auraient pu demeurer accessibles indéfinitivement à la succursale, après que la banque les a utilisés pour des fins auxquelles ils avaient été recueillis (c.-à-d. la prise de décision au sujet de la carte de crédit). Il a conclu que dans cette affaire, la banque avait contrevenu au principe énoncé à l'article 4.5.

Néanmoins, le commissaire a également fait observer que la banque avait, par la suite, supprimé les renseignements personnels concernant la plaignante et confirmé qu'ils n'avaient pas été communiqués à un tiers. En outre, il a signalé que le plaignante était satisfaite de ce règlement.

Le commissaire a donc conclu que la plainte était fondée et résolue.

Autres considérations

En vue d'aborder les irrégularités décelées dans l'enquête du commissaire, la banque en question a convenu d'entreprendre un examen approfondi de ses pratiques courantes de conservation des renseignements personnels. La banque a également convenu de mettre en oeuvre une stratégie de communication visant à informer les employés et les clients de sa procédure relative aux plaintes concernant la protection des renseignements personnels.