Le commissaire à la protection de la vie privée rend publique ses conclusions concernant le refus d'une banque de divulguer la cote de solvabilité

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-39

Ottawa, le 27 février 2002 - Le commissaire à la protection de la vie privée du Canada, George Radwanski, a publié aujourd'hui les conclusions suivantes au terme de la Loi sur la protection des renseignements personnels et les documents électroniques. Les conclusions sont sous forme de lettre adressée à l'organisation.

Cette lettre constitue mon rapport de conclusions en ce qui concerne la plainte déposée par [nom de la plaignante effacé] contre [nom de la banque effacé] en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi). Dans sa plainte reçue à mon bureau le 23 février 2001, [la plaignante] a allégué qu'[nom de la banque effacé] a contrevenu à la Loi en refusant sa demande d'accéder à sa cote de solvabilité.

J'ai d'abord déterminé que l'objet de la plainte entrait dans le champ de ma compétence en vertu de la Loi. Depuis le 1er janvier 2001, la Loi s'applique à tout installation, ouvrage ou entreprise de compétence fédérale. Par l'application du droit constitutionnel, toute banque, telle que [nom de la banque effacé] est une installation, ouvrage ou entreprise de compétence fédérale. Dans ces conditions, je suis donc tenu en vertu de l'article 12 de la Loi d'accepter et d'enquêter sur la plainte.

Avant de vous communiquer mes conclusions, je voudrais décrire brièvement les faits découverts par mon bureau au cours de l'enquête.

Il est important, dès le départ, d'élucider la nature des renseignements en litige.

Une cote de solvabilité, une méthode automatisée d'évaluation de la vraisemblance pour une personne de rembourser une dette dans les délais convenus, constitue un facteur significatif dans la décision d'une institution financière d'octroyer un crédit ou non à une personne. Une cote de solvabilité est déterminée au moyen d'un algorithme - une formule mathématique qui
« chiffre » les renseignements personnels d'une personne avec un système d'évaluation par points.

Cependant, il existe deux types de notations, utilisés par deux catégories d'organisations différentes qui se servent chacune d'un système d'évaluation différent.

La majorité des utilisateurs de crédit sont familiers avec le type d'évaluation de crédit offert par des agences telles que Equifax et TransUnion. Il est bien connu que les institutions financières, lors de l'examen d'une demande de crédit, requièrent un rapport de solvabilité de ces agences et ces rapports incluent une cote de solvabilité accordée par l'agence en question.

Cependant, ce qui est moins connu est le fait que les institutions financières génèrent elles-mêmes des évaluations de crédit différentes de celles des agences de crédit. La différence provient essentiellement du système d'évaluation utilisé pour chacun des cas.

Une évaluation de crédit provenant d'une agence de crédit est basée sur un modèle standardisé dont les composantes principales sont les données biographiques et les antécédents en matière de crédit de la personne. Une institution financière, d'autre part, utilise un modèle qui incorpore aussi des facteurs spécifiques à cette institution - à titre d'exemple, les politiques de la corporation, les stratégies d'affaires, les objectifs corporatifs et productifs, les antécédents de données de prêts, les indicateurs économiques et les données démographiques. Autrement dit et contrairement à l'agence de crédit, une institution financière telle que [nom de la banque effacé] utilise un modèle unique d'évaluation de crédit qui a été élaboré à l'interne et personnalisé afin de répondre à ses propres priorités stratégiques d'affaires.

Dans le cas de la plaignante, on avait utilisé une évaluation de crédit de la dernière catégorie - c'est-à-dire, une notation a généré au moyen de son propre modèle unique d'évaluation de crédit - qu'elle cherchait à consulter lorsqu'elle a présenté sa demande d'accès.

La banque a reconnu qu'en examinant la demande de crédit [la plaignante] avait précédemment déposée pour une carte de crédit - une demande fructueuse d'ailleurs, - la banque avait non seulement obtenu un rapport de crédit d'Equifax, mais avait aussi généré une évaluation de crédit interne selon son propre modèle. Bien que disposée à divulguer le rapport d'Equifax à la plaignante en accord avec cette agence [nom de la banque effacé] a refusé de lui divulguer sa propre évaluation interne en invoquant que la Loi ne la contraint pas à une telle divulgation.

Pour soutenir ses prétentions, [nom de la banque effacé] a présenté deux allégations principales : (1) qu'une évaluation de crédit interne ne constitue pas des renseignements personnels au sens de la Loi; et (2) que, même s'ils étaient considérés comme des renseignements personnels au sens de la Loi, une évaluation de crédit interne ne peut être communiquée parce qu'elle révèlerait des renseignements commerciaux confidentiels protégés par l'article 9(3)(b) de la Loi.

Sur la base de ces faits, je suis tenu de déterminer d'abord si une évaluation de crédit interne constitue, en fait, des renseignements personnels en conformité avec la définition de l'article 2 de la Loi.

L'article 2 définit « renseignements personnels » de la manière suivante : « [R]enseignement personnel » signifie des renseignements concernant une personne identifiable, mais n'inclut pas le nom, le titre ou l'adresse d'affaire ou le numéro de téléphone d'un employé d'une organisation. »

En apparence, l'évaluation de crédit en question se rapporte à une personne identifiable. Et cela apparaît être des « renseignements au sujet » de cette personne - à savoir, comment cette personne est cotée selon les critères de la banque pour l'octroi d'un prêt.

La banque, par contre, a présenté des allégations contradictoires qui peuvent être résumés de la manière qui suit :

  • Les renseignements personnels doivent être disponibles pour collecte, attendu qu'une évaluation de crédit interne est générée à l'interne par la banque plutôt que recueillie auprès de la personne. De la même manière, la Loi lie accès aux renseignements personnels avec la possibilité de les réviser et les corriger, attendu qu'une évaluation de crédit interne, pour autant qu'elle est basée sur un algorithme exclusif, n'est pas sujette à correction ou à révision. Pour ces motifs, bien que les renseignements qu'une banque recueille et utilise dans le but de générer une évaluation de crédit peuvent être assujettis à la Loi, l'évaluation de crédit elle-même ne l'est pas.
  • Une évaluation de crédit interne constitue une opinion de la société, une forme de
    « discours commercial » protégé en vertu l'article 2(b) de la Charte canadienne des droits et libertés. La Charte offre une garantie constitutionnelle à la fois du droit de s'exprimer et du droit de ne pas exprimer son opinion. Opinion ne se retrouve pas dans la définition de renseignements personnels en vertu de la Loi, attendu qu'elle est incluse dans la Loi sur la protection des renseignements personnels, qui est la contrepartie législative pour le secteur public fédéral. L'intention du Parlement d'exclure opinion de la définition en vertu de la Loi a certainement pour but de protéger la liberté de pensée et d'expression au sein du secteur privé.

En ce qui concerne le premier point, l'article 2 de la Loi définit les renseignements personnels simplement comme « .renseignements au sujet d'une personne identifiable. ». Ceci constitue une définition claire et élégante qui vise à prévenir la majorité des questions légalistes du genre soulevées ici - les questions à propos de l'origine, de la propriété, de l'opinion versus les faits, etc.

Pour ces motifs, cela n'influe pas sur l'intention de la Loi que les renseignements en question aient été collectés ou générés à l'interne; qu'ils proviennent ou non de la personne concernée; ou qu'ils « appartiennent » techniquement à la personne ou à une autre partie. Et cela n'a certainement pas d'importance qu'ils soient ou non sujets à correction ou à révision dans le cours normal de leurs utilisations.

Je voudrais souligner, à cet égard, que les banques génèrent aussi des numéros personnels d'identification, des numéros de comptes de banque, des numéros de contrats de prêts et des numéros de cartes de crédit pour leurs clients. Ceux-ci ne sont pas recueillis par la banque, et ne sont pas non plus sujet à correction ou à révision dans le cours normal de leur utilisation. Toutefois ces numéros font manifestement partie des « renseignements au sujet d'une personne identifiable » aux fins de la Loi, et pour ces motifs des renseignements personnels. J'en conclus qu'il en est de même pour l'évaluation de crédit en question.

Le deuxième point de [nom de la banque effacé] est à l'effet que les évaluations de crédit ne font pas partie des renseignements personnels sujet à divulgation parce qu'elles représentent des
« opinions ».

Je ne peux partager l'avis selon lequel l'hypothèse de la banque à l'effet que le Parlement a dû vouloir exclure opinions de la définition de renseignements personnels parce qu'elles ne sont pas expressément mentionnées. Au contraire, je suis d'avis que la définition est ouverte et n'inclut aucun exemple spécifique, tel que le faisait la Loi sur la protection de la vie privée pour exactement la raison contraire : Afin d'éviter la limitation involontaire de la définition de ce que peut être un renseignement personnel. Étant donné que la Loi est, en fait, sans restrictions quant à ce qui constitue un « renseignement au sujet d'une personne identifiable », je conclus que son champ d'application s'étend sans aucun doute à opinion, tel qu'il en est le cas dans la Loi sur la protection des renseignements personnels.

Pour ce qui a trait à l'invocation par la banque d'un droit en vertu d'une Charte corporative de s'abstenir d'exprimer une opinion, je trouve cet argument aussi peu convaincant qu'il est créatif.

Les corporations, tout comme les personnes, peuvent avoir ou non un droit au silence, un droit de s'abstenir d'exprimer une opinion. Mais en générant d'une notation au sujet d'une personne, la banque a déjà rompu ce silence. Elle a non seulement émis une opinion, mais a utilisé cet énoncé dans un but administratif : déterminer le mérite à l'octroi d'un prêt de la personne en question. Chercher à invoquer une quelconque notion d'un droit au silence découlant d'une Charte utilisée comme écran afin de se prémunir contre la divulgation de cette opinion à une personne tel que requis en vertu de la Loi est, selon moi, un manque de respect à la fois à la Charte et au bon sens.

Pour ces motifs, je conclus que l'évaluation de crédit générée par [nom de la banque effacé] dans ce cas constitue un renseignement personnel qui est assujetti à la Loi.

Je dois maintenant me prononcer sur la deuxième allégation de [nom de la banque effacé], qui consiste à affirmer qu'elle n'est pas obligée de divulguer une évaluation de crédit interne parce qu'en le faisant, elle révélerait des renseignements commerciaux confidentiels protégés par l'article 9(3)(b) de la Loi, qui édicte :

« En dépit de la note qui accompagne la clause 4.9 de l'Annexe 1, une organisation n'est pas requise de permettre l'accès à des renseignements personnels seulement si.le faire révèle des renseignements commerciaux confidentiels. »

Cette allégation de la banque implique deux propositions : premièrement, que la divulgation des notations générées par le modèle d'évaluation de crédit de la banque pourrait révéler les modèles eux-mêmes; et, deuxièmement, que les modèles d'évaluation de crédit de la banque constituent des renseignements commerciaux confidentiels. J'examinerai tour à tour chacune de ces propositions.

Pour soutenir la proposition qui allègue que la divulgation des notations pourrait révéler les modèles qui les génèrent, [nom de la banque effacé] a commandé et présenté une étude préparée par des experts en fraude. L'étude a conclu que, si les notations internes étaient facilement accessibles, un modèle d'évaluation de crédit pourrait être cassé en obtenant aussi peu que 24 notations.

Ceci pourrait être réussi en demandant à 24 personnes de soumettre une demande de crédit avec des données variables et ensuite une demande d'accès à leurs notations. Par une analyse des différentes notations et des variables sur lesquelles elles étaient basées, les compétiteurs et les fraudeurs pourraient découvrir le modèle de notation lui-même.

Afin d'évaluer les éléments de preuve de la banque à l'effet qu'un modèle de notation pouvait être « cassé » de cette manière par la connaissance des notations de demandeurs, mon bureau a consulté un expert dans le domaine des algorithmes.

Après révision de l'étude mentionnée ci-dessus, cet expert a déterminé que les conclusions dans son ensemble étaient exactes. En somme, il a affirmé que, même si la détermination précise d'un modèle de notation était difficile et très improbable, l'accès à des évaluations de crédit personnalisées rendrait sans hésitation plus facile l'approximation d'un modèle de banque.

Je remarque que cet article 9(3)(b) de la Loi établit une norme très élevée pour justifier la dissimulation de renseignements personnels. Il ne suffit pas que des renseignements commerciaux confidentiels puissent être divulgués. Cette disposition ne peut être invoquée lorsque tels renseignements « étaient » révélés. Puisque l'évaluation d'une telle prétention implique inévitablement de tenter de prédire l'avenir, celle-ci doit être faite avec minutie au cas par cas lorsque cet article est invoqué.

Dans la présente affaire, j'éprouve quelques difficultés à croire que les compétiteurs ou les réseaux d'artistes experts fraudeurs en algorithme se donneraient autant de peine. Le spectre des banques s'écroulant sous les attaques systématiques d'une équipe de mathématiciens avides de prêts n'en est pas un que je trouve particulièrement crédible.

Quant aux risques de la part des compétiteurs, [nom de la banque effacé] a prétendu que cet « avantage concurrentiel obtenu à des coûts significatifs sur plusieurs années serait perdu par la divulgation des notations internes et des modèles. Ces renseignements de nature délicate et exclusive ne devraient pas directement ou indirectement tomber entre les mains des compétiteurs ».

Encore une fois, j'ai peine à croire que les banques canadiennes iraient jusqu'aux extrémités décrites ci-dessus qui seraient nécessaires pour « casser » les modèles de notations de crédit entre elles. C'est vrai, je ne suis pas un banquier. Puisque [nom de la banque effacé] - et toutes les autres banques qui partagent la même réticence à divulguer les notations de crédit personnelles - dites-moi qu'en vigueur duquel l'éthique concurrentielle de l'ensemble des banques canadiennes est telle que je devrai, à mon grand regret, accepter qu'il en est ainsi.

Je dois donc accepter, bien qu'avec une certaine réticence, la preuve présentée par la banque et confirmée par mon bureau que le « cassage » d'un modèle, consécutif à la divulgation des notations de crédit internes est techniquement possible. En outre, je n'ai aucun doute de quelque nature que [nom de la banque effacé] et les autres institutions financières prennent ceci très au sérieux.

D'après les preuves qui me sont soumises, je ne suis certainement pas à ce stade dans une position pour réfuter les éléments de preuve et l'opinion de la banque que la divulgation des notations de crédit internes résulterait à révéler des modèles de notation et les considérations sur lesquelles elles sont basées. Dans le but de statuer sur cet aspect de la plainte, je dois donc, en toute équité, accepter qu'il en serait ainsi.

Je dois maintenant déterminer si les renseignements qui seraient communiqués, constituent des « renseignements commerciaux confidentiels ».

Dans un souci de clarté, permettez-moi de souligner encore une fois que la question n'est pas que la notation de crédit d'une personne en elle-même constitue un renseignement commercial confidentiel. Plutôt, il s'agit de déterminer si une telle notation constitue la porte d'entrée à des renseignements commerciaux confidentiels - en d'autres mots, si la divulgation de telles notations révèlera des renseignements commerciaux confidentiels.

La banque craint que ce qui serait révélé - et je dois déterminer si cela constitue des renseignements commerciaux confidentiels ou non - est le modèle de notation de crédit, qui est basé sur des facteurs tels que les politiques corporatives particulières de la banque, ses stratégies d'affaires et ses objectifs corporatifs et de production.

Afin de m'aider à trancher cette question, mon bureau a demandé les avis d'un certain nombre d'organismes clés de réglementation : le bureau du surintendant des institutions financières, la nouvelle Agence de la consommation en matière financière et le Bureau de la concurrence. Aucun d'entre eux n'avait étudié cette question, et personne ne pouvait offrir d'avis quant à savoir si les renseignements en question devait être considérés comme des renseignements commerciaux confidentiels.

En l'absence soit d'une définition spécifique dans la Loi ou des conseils pratiques d'experts banquiers indépendants, il est peut-être plus utile de considérer par analogie un renseignement commercial confidentiel à des « secrets de fabrication » et de considérer les facteurs communément utilisés par les tribunaux dans la détermination de ce qui constitue un secret de fabrication :

  • à quel point cette information est-elle généralement connue
  • est-elle connue des autres dans le même domaine
  • est-elle connue à l'intérieur de l'organisation
  • est-ce que quelqu'un à l'extérieur de l'organisation pourrait acquérir l'information d'une source indépendante
  • est-ce que l'organisation prend des mesures particulières pour assurer la confidentialité de cette information
  • est-ce que cette information est en quelque sorte unique et originale?

Les tribunaux ont aussi considéré un ensemble de facteurs afin de déterminer si une information est une information commerciale ou d'affaires. Ceux-ci incluent :

  • la valeur économique de l'information
  • la valeur de l'information pour l'organisation
  • la valeur de l'information pour les compétiteurs de l'organisation
  • l'information procure-t-elle un avantage à l'organisation sur les compétiteurs?
  • les dépenses en ressources, en temps et en effort autonome consacrées au développement et à la protection de l'information.

En appliquant ces considérations au cas sous étude, mon enquête a confirmé que la (.) surveille étroitement ses modèles de notations de crédit à l'encontre de l'accès externe et permet seulement à quelques-uns de ses experts d'y avoir accès. Elle investit des efforts et des coûts considérables dans la conception de ses modèles. Un modèle est conçu spécifiquement pour chacun de ses produits financiers. Et chacun des modèles est basé sur des renseignements exclusifs à la banque, tels que ses stratégies d'affaires, les renseignements accumulés sur l'historique de ses prêts, la tolérance au risque et les prévisions économiques.

Ces considérations me laissent peu de doute que [nom de la banque effacé] considère véritablement ses modèles de notations de crédit comme des renseignements commerciaux confidentiels et exclusifs et, les traite et les protège comme tels.

Je note également qu'à la fois au Royaume-Uni et en Australie, les représentants du secteur financier, les groupes de protection des consommateurs et le gouvernement ont conjointement révisé le système d'octroi du crédit et ont émis de nouvelles directives qui n'exige pas la communication de l'évaluation de crédit interne d'une personne.

Au Royaume-Uni, les prêteurs doivent donner une explication du rôle de la notation dans le processus décisionnel et aviser le consommateur des principaux motifs pour lesquels un crédit leur a été refusé. Cependant, ils n'ont pas à donner des détails sur les attributs actuels ou la pondération.

Les directives dans la législation australienne relative à la protection de la vie privée contiennent une clause qui porte sur les questions commercialement délicates du processus décisionnel :

« Dans la majorité des cas, une personne demande une explication du motif pour lequel une organisation a pris une décision défavorable. Une organisation peut habituellement rencontrer cette exigence (dans la mesure du possible) en expliquant les raisons de la décision actuelle et en donnant les données brutes. L'exception survient lorsqu'une organisation a utilisé un outil de notation qui est commercialement délicat et qu'elle ne veut pas rendre disponible les facteurs de notation et la pondération. »

Il est à noter que les banques canadiennes, tout comme leurs homologues du Royaume-Uni et d'Australie, informent les personnes des raisons majeures justifiant le refus d'un crédit ou une notation basse.

Bien entendu, les pratiques dans les autres pays tels que le Royaume-Uni et l'Australie ne visent ni les règles qui s'appliquent au Canada ni comment notre propre Loi doit être interprétée. Cependant, je trouve que l'expérience de ces autres pays m'aide à être convaincu que la représentation de [nom de la banque effacé] des renseignements en question comme étant des renseignements commerciaux n'est ni farfelue ni fallacieuse.

Je demeure sceptique quant à la prétention que les conséquences concurrentielles actuelles ou relatives à la fraude de la divulgation de la notation personnelle de crédit interne seraient aussi regrettables que les banques le prétendent. Si dans l'avenir, je dois à nouveau enquêter sur une plainte similaire où on me présenterait des éléments probants convaincants confirmant mon scepticisme remarquable, mes conclusions pourraient bien s'avérer différentes.

Néanmoins, selon les renseignements qui me sont disponibles, je juge que la conclusion la plus équitable que je peux rendre est que ces modèles de notation se qualifient au titre de renseignements commerciaux confidentiels en vertu de l'article 9(3)(b) de la Loi.

J'ai tranché la question dans ce cas appuyé sur deux autres considérations.

D'abord, j'ai examiné personnellement le modèle de notation de [nom de la banque effacé]. Je n'ai pas découvert quoique ce soit - outre le fait des craintes exprimées d'ouvrir les portes à la fraude ou au désavantage concurrentiel - qui puisse justifier la réticence de la banque à rendre les notations disponibles aux personnes qui les demandent. En d'autres mots, je ne trouve pas de raisons de soupçonner d'arrière-pensées qui seraient contraires à l'intérêt public, telle que la peur de soulever une controverse ou d'embarrasser la banque.

Par la suite, je suis incapable de voir comment la notation de crédit interne en elle-même peut être de quelque bénéfice réel et authentique à la personne qui le demande, en autant que la banque fournisse une explication de la manière que la réputation de solvabilité est perçue, et/ou pourquoi le crédit a été refusé ou limité. Ceci est particulièrement vrai dans le cas de la plaignante, puisqu'elle a réussi à obtenir le crédit qu'elle demandait.

En général, les personnes sont fondées à l'accès à leurs renseignements personnels sans devoir de quelque façon justifier pourquoi cela serait avantageux pour eux. Mais le but de la Loi, tel qu'énoncé à l'article 3, vise à d'équilibrer les droits à la vie privée des personnes avec les besoins des organisations de recueillir, d'utiliser ou de divulguer les renseignements personnels pour des motifs raisonnables. En remplissant mon mandat d'établir un juste équilibre en rendant une décision dans un cas aussi complexe que celui-ci, je crois qu'il est opportun de prendre en considération le fait qu'il y ait un bénéfice négligeable d'un coté et une crainte raisonnable de dommages importants de l'autre.

Dans le cas présent, je ne peux discerner de dommages importants aux droits de la protection des renseignements personnels de la plaignante ou à ceux des Canadiens et Canadiennes en général qui proviendraient de l'impossibilité d'obtenir accès aux notations de crédit internes. En revanche, [nom de la banque effacé] - dans une position soutenue par toutes les autres banques - a mis de l'avant un cas irréfutable que des dommages importants concurrentiels ou relatifs à la fraude pourraient survenir par suite de la communication de ce qu'elle considère comme des renseignements commerciaux confidentiels. Dans les circonstances, je trouve que la position de la banque mérite qu'on lui accorde le bénéfice du doute.

Pour ces motifs, je juge que la notation de crédit interne fait partie de ses renseignements personnels, mais qu'en citant l'exception de l'article 9(3)(b) pour les renseignements commerciaux confidentiels afin de lui refuser accès à cette notation de crédit, [nom de la banque effacé] agissait en conformité avec la Loi.

En conséquence, je conclus que la plainte n'était pas bien fondée.

Nonobstant cette conclusion, je veux assurer [la plaignante], et en même temps aviser qu'avec la seule exception de l'élément d'information à être soustrait de la divulgation dans ce cas (c.-à-d. son évaluation de crédit générée à l'interne), son droit d'accéder à ses renseignements personnels recueillis, utilisés ou divulgués par la banque demeure intact.

Notamment, [la plaignante] demeure justifiée d'obtenir de la banque une explication complète et satisfaisante en des termes compréhensibles de toute décision que la banque peut prendre à son égard, incluant une indication que la banque a utilisé une notation de crédit interne en prenant la décision.

Vous devriez savoir que la plaignante a été informée qu'en vertu de l'article 14 de la Loi, elle a le droit légal de s'adresser à la Cour fédérale - section de première instance pour une audience à l'égard de toute matière qu'elle déposait dans sa plainte ou dont j'ai disposé dans mon rapport, et invoqué à l'article 4.1.3, 4.2, 4.3.3, 4.4, 4.6, 4.7 or 4.8 de l'Annexe 1, à l'article 4.3, 4.5 or 4.9 de l'Annexe modifiée ou clarifiée par la Loi, aux paragraphes 5(3), 8(6) ou 8(7) ou à l'article 10. La plaignante a été informée qu'une telle requête doit être déposée dans les 45 jours de la date de cette lettre.

Ceci termine l'enquête sur cette plainte.

Je vous prie d'agréer, Madame, l'expression de mes sentiments distingués,

 

George Radwanski

Commissaire à la protection de la vie privée du Canada

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :