Un homme conteste en principe le programme d'identification de la banque

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2001-27

[Principes 4.1, 4.2, 4.3, 4.4, et 4.7, Annexe 1; et paragraphe 5(3)]

Plainte

Une personne allègue qu'une banque contrevient à plusieurs dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en exigeant de ses clients réguliers qu'ils produisent deux preuves d'identité avant de pouvoir retirer des fonds de leurs comptes à une certaine succursale.

Résumé de l'enquête

Certaines succursales de la banque ont connu une épidémie d'usurpations d'identité frauduleuses. De concert avec la GRC, la banque a élaboré un programme de prévention de la fraude en vertu duquel les clients désirant transiger en personne dans ces succursales étaient avisés d'avoir en main deux preuves d'identité valides. À la succursale nommée dans la plainte, il y avait un avis à cet effet à chaque guichet.

Malgré que le plaignant n'était pas lui-même un client régulier de la succursale, il a contesté le principe de la pratique affichée. Il a cependant précisé que sa plainte visait les clients réguliers de la succursale, et non les visiteurs occasionnels. Il alléguait que le geste de demander deux preuves d'identité constituait une atteinte arbitraire et inutile à la vie privée des clients réguliers, d'autant plus que ces personnes auront certainement démontré leur identité au moment d'ouvrir un compte. Sa principale objection tenait au fait que si un client régulier, pour une raison quelconque, ne se conformait pas à la demande du caissier de s'identifier, ledit caissier pouvait refuser de permettre au client de faire un retrait en espèces de son compte. Le plaignant disait aussi s'inquiéter de la sécurité des renseignements personnels traités par les employés subalternes de la banque.

La position de la banque était que la loi lui donne le droit de vérifier à sa satisfaction l'identité des personnes qui font affaire avec elle, particulièrement là où des précautions spéciales sont justifiées. La banque a souligné qu'en appliquant le programme d'identification, ses employés respectent une procédure normalisée et claire en vertu de laquelle il est fort peu probable qu'un client régulier se fera refuser un retrait auquel il a droit. Le caissier ne demande une preuve d'identité que si le personnel de la succursale ne le connaît pas. Si une personne inconnue n'a pas deux preuves d'identité, le personnel va chercher à établir son identité par d'autres moyens. La banque soutenait que plusieurs clients avaient manifesté leur appréciation et leur appui au programme d'identification.

Conclusions du commissaire

Rendues le 4 décembre, 2001

Compétence : Depuis le 1er janvier 2001, Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les entreprises fédérales. Le commissaire est compétent dans ce cas parce que les banques sont des entreprises fédérales, selon l'interprétation de la Loi.

Application : Le plaintif lui-même a cité quatre principes de la Loi, soit les principes 4.1 (Responsabilité), 4.2.1 et 4.2.2 (Déterminer les fins de la collecte), 4.3.3 (Consentement) et 4.7 (Mesures de sécurité) de l'annexe 1. Le commissaire a aussi examiné la plainte à la lumière du principe 4.4 (Limitation de la collecte) de l'annexe 1 et de le paragraphe 5(3) (Fins acceptables).

Relativement aux principes 4.2.1 et 4.2.2, le commissaire a constaté que, au moment où le programme de prévention de la fraude fut instauré, la banque avait adéquatement déterminé et décrit les fins de la collecte de renseignements et que ces fins étaient affichées clairement à chaque guichet. Il a conclu qu'il n'existait aucun besoin de documentation supplémentaire à quelque étape que ce soit de la collecte. Il signalait également que la Loi n'impose pas à la banque d'identifier une personne au seul moment où le compte est ouvert ou d'utiliser uniquement les renseignements conservés pour fins d'identification ultérieure.

Pour ce qui est du principe 4.3.3, le commissaire a admis l'allégation de la banque selon laquelle aucun client régulier sans preuves d'identité ne se fera vraisemblablement refuser un retrait. Il a constaté que la production de documents ne constituait pas, dans ce cas, une condition de retrait pour un client régulier. Il a aussi conclu que les fins de la collecte avaient été adéquatement déterminées et décrites.

Sur le principe 4.1, le commissaire a noté que l'objet du principe n'est pas de limiter la responsabilité à quelques personnes seulement, mais plutôt de rendre l'ensemble de l'organisation responsable et imputable Le principe indique plus loin (4.1.1) que des membres de l'organisation autres que les personnes désignées comme responsables du respect des principes peuvent être chargés de la collecte et du traitement quotidien des renseignements personnels.

Pour ce qui est du principe 4.7, le commissaire a constaté que les mesures de sécurité adoptées par une banque pour protéger les renseignements personnels des clients lient non seulement les cadres supérieurs mais aussi les employés subalternes, qui ne sont pas moins tenus de respecter les dispositions de la Loi. Il considérait également comme déraisonnable d'attendre que toute personne inconnue des caissiers soit référée aux cadres supérieurs pour fins d'identification.

Au sujet du principe 4.4.1 et du paragraphe 5(3), le commissaire a conclu que le fait de demander à des clients non connus de s'identifier avant de faire une transaction financière ne pouvait aucunement être considéré comme une collecte de renseignements arbitraire. Il a constaté que la banque avait adopté une procédure et des lignes directrices sur les façons acceptables d'identifier un client, et il a admis la représentation de la banque selon laquelle des clients appuyaient le programme d'identification. Il a conclu qu'une personne raisonnable, et spécialement une qui a confié des avoirs à la banque, considérerait la collecte de renseignements en question adéquate.

Le commissaire a donc considéré que la banque respectait toutes les dispositions pertinentes de la Loi.

Le commissaire a conclu que la plainte était non fondée.