La cliente d'une banque s'oppose à ce qu'une entreprise privée la consulte pour un sondage

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-35

[principes 4.1.3 et 4.3 de l'annexe 1; et paragraphe 5(3)]

Plainte

Une cliente s'est plainte que sa banque ait recueilli et utilisé ses renseignements personnels et en avait fait une communication indue à un tiers, notamment une entreprise d'études de marché, sans son consentement.

Résumé de l'enquête

La plaignante avait reçu un appel d'un intervieweur travaillant pour le compte d'une société d'études de marché. L'intervieweur s'est adressé à la plaignante comme cliente de la banque en question et lui a demandé de participer à un sondage. La cliente a refusé et a demandé à l'intervieweur comment il savait qu'elle était cliente de la banque. Il a répondu que les renseignements étaient dans sa base de données. La plaignante a par la suite communiqué avec le directeur de la succursale locale de sa banque, qui a reconnu que la banque retenait effectivement parfois les services d'entreprises privées pour réunir des renseignements pour son compte. Le principal souci de la plaignante était de connaître l'ampleur des renseignements personnels que la banque avait communiqués à un tiers, et si les renseignements avaient été vendus.

La banque avait passé un contrat à une certaine société d'études de marché pour une étude sur la prestation future de produits et de services à ses clients. Cette société avait, par ailleurs, sous-traité la partie « sondage téléphonique » de l'étude à une autre société de recherche. Les renseignements personnels communiqués par la banque n'avaient pas été vendus, mais plutôt fournis pour fins de recherche. Ils n'étaient formés que du numéro, du nom complet, de l'adresse, du numéro de téléphone à domicile, et de la langue de préférence des clients.

La banque faisait affaire depuis plus de 10 ans avec l'entreprise avec qui elle avait contracté, et il y avait un accord de confidentialité entre les deux. Cependant, bien que la banque ait eu l'impression que le sous-traitant serait soumis au même accord, il n'y avait, de fait, aucun accord de confidentialité particulier entre l'entreprise sous contrat et son sous-traitant. À la fin du sondage et de l'étude, conformément à l'accord de confidentialité existant, les deux entreprises détruisaient les renseignements que la banque avait fournis au départ. Le rapport de l'étude que l'entreprise contractante remettait plus tard à la banque ne contenait que des données agrégées sans mentionner de clients individuels.

La pratique de la banque consistant à communiquer des renseignements sur ses clients à des parties externes et à en recevoir de leur part aux fins du maintien de la relation bancaire et de l'offre de produits et de services était énoncée dans un document que la plaignante aurait reçu et signé à l'ouverture de son compte. La banque avait aussi expliqué cette pratique dans divers documents de communication, et notamment une brochure sur la protection des renseignements personnels que la cliente aurait de même reçue à l'ouverture de son compte.

Avant 2001, les clients avait le choix de s'exclure des campagnes de marketing et des sondages de la banque, mais la procédure n'était pas bien annoncée, et il n'y avait pas de numéro 1 800 à cette fin. Avec l'adoption de la Loi le 1er janvier 2001, la banque a notifié une procédure d'exclusion à tous ses clients, avec un numéro 1 800. La banque a l'intention d'appliquer graduellement un processus par lequel elle demandera le consentement écrit exprès.

Quant à la plaignante, la banque lui a demandé directement si elle aimerait être exclue des futures campagnes de marketing et des sondages, et s'est conformée à sa demande d'exclusion. La banque a aussi présenté ses excuses à la plaignante.

Conclusions du commissaire

Rendues le 10 janvier 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales, selon la définition de la Loi.

Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir. Le paragraphe 5(3) énonce que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Le principe 4.1.3 énonce qu'une organisation est responsable des renseignements personnels qu'elle a en possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement, et doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

Le commissaire a établi que la banque avait notifié par écrit à la plaignante ses pratiques concernant la collecte, l'utilisation et la communication de ses renseignements personnels au moment de l'ouverture de son compte. Il a aussi établi que la collecte, l'utilisation et la communication en question dans la plainte étaient compatibles avec les pratiques énoncées de la banque. En outre, il a jugé que l'objet énoncé - c.-à-d. obtenir l'avis du client sur des produits à offrir - était un objet qu'une personne raisonnable aurait estimé acceptable dans les circonstances. Enfin, étant donné que les renseignements en question étaient limités, protégés par un accord de confidentialité, non vendus, et dûment détruits après utilisation, il a établi que le consentement exprès de la plaignante n'était pas requis. Il a donc conclu que la banque se conformait au principe 4.3 de l'annexe 1 et au paragraphe 5(3) de la Loi.

Le commissaire a conclu que la plainte était non fondée relativement à ces deux dispositions.

Cependant, il a aussi établi que l'entente de confidentialité entre la banque et l'entreprise contractante était lacunaire, en ce sens qu'elle ne prévoyait pas le cas de la sous-traitance. À cet égard, donc, il a conclu que la banque contrevenait à la Loi.

Le commissaire a conclu que la plainte était fondée relativement au principe 4.1.3.

Autres considérations

Le commissaire a recommandé à la banque de modifier son entente de confidentialité avec l'entreprise contractante pour l'assortir d'une disposition précise couvrant la sous-traitance.

Date de modification :