Une banque est accusée d'avoir exigé indûment les dates de naissance de demandeurs de compte

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-46

[Principe 4.4, annexe 1; paragraphe 5(3)]

Plainte

Un individu s'est plaint de ce qu'une banque avait tenté de façon inappropriée de recueillir ses renseignements personnels, et plus particulièrement sa date de naissance, lorsqu'il a voulu ouvrir un compte par téléphone.

Résumé de l'enquête

Le plaignant a allégué qu'il avait appelé pour ouvrir un compte de placement-épargne et qu'il s'était fait dire par le téléphoniste de la banque que sa date de naissance était requise « pour fins de déclaration du revenu ». Il s'est opposé, au motif que la banque avait déjà recueilli son numéro d'assurance sociale (NAS) pour fins de déclaration du revenu. Plus tard, il s'est renseigné auprès du centre local de ressources de la banque, où un superviseur lui a confirmé que la banque avait pour pratique d'exiger la date de naissance de tous les demandeurs de compte, mais il a précisé la collecte du renseignement n'était pas à des fins de déclaration de revenu, mais plutôt de vérification de l'identité des appelants.

L'enquête a confirmé que la banque recueillait les dates de naissance à cette fin expresse. En particulier, l'indication de ces renseignements est obligatoire sur le formulaire de demande en direct de la banque, et une fenêtre électronique instantanée indique que la date de naissance servira à la « vérification future de sécurité ».

Quel que soit l'objet de la collecte, le plaignant s'est opposé à ce que la banque exige la date de naissance des demandeurs de compte. À son avis, la banque recueillait déjà assez de renseignements personnels, autres que la date de naissance, pour faire les vérifications de sécurité qu'elle voulait. Il a fait valoir que, même si elle pouvait justifier le besoin de renseignements supplémentaires pour atteindre cet objectif, la banque devrait recueillir des renseignements risquant moins de servir à des fins extrinsèques, comme le marketing de masse. Il a fait valoir que son NAS pouvait servir non seulement à des fins de déclaration du revenu, mais aussi à des fins d'identification.

Au départ, la banque a indiqué que la collecte des dates de naissance n'était pas strictement obligatoire et a offert de faire une exception dans le cas du plaignant, en lui permettant de fournir un autre moyen d'identification s'il voulait encore ouvrir un compte. Cependant, la banque a par la suite retiré cette offre et annoncé que, selon sa nouvelle politique, elle exigerait la date de naissance de tous les demandeurs de compte sans exception, se conformant ainsi au projet de modifications du règlement d'application de la Loi sur le recyclage des produits de la criminalité. Si, comme prévu, ce projet de règlement entre en vigueur, toutes les institutions financières devront recueillir les dates de naissance comme identificateurs de compte.

Conclusions du commissaire

Rendues le 26 avril 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.4, annexe 1, énonce que l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées. Le paragraphe 5(3) énonce que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Au sujet du principe 4.4, le commissaire devrait déterminer si la collecte des dates de naissance était nécessaire à des fins de vérification de sécurité.

Notant que la prévision d'un besoin ne constitue pas en soi un besoin, le commissaire a établi que la collecte n'était pas actuellement une exigence de la loi. Sans contester la nécessité pour les banques de vérifier l'identité des appelants, il a quand même déterminé qu'il n'y avait pas de raison intrinsèque pour laquelle les dates de naissance devraient être recueillies, puisqu'il ne s'agit là que d'une façon parmi d'autres de vérifier l'identité des appelants. Il est convenu que la banque pourrait aussi bien atteindre son objectif de vérification de sécurité par d'autres renseignements recueillis - en particulier le NAS, comme l'avait suggéré le plaignant. En somme, il a conclu que la banque ne devait pas obligatoirement, à l'heure actuelle, recueillir les dates de naissance des demandeurs de compte et n'avait pas de raison de qualifier cette collecte d'obligatoire.

Au sujet du paragraphe 5(3), le commissaire est convaincu qu'une personne raisonnable n'estimerait pas acceptable que la banque exige les dates de naissance des demandeurs de compte au simple motif qu'elle s'attend à y être obligée par la loi plus tard.

Le commissaire a conclu que la banque n'avait pas respecté le principe 4,4 de l'annexe 1 et le paragraphe 5(3) de la Loi.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire a recommandé à la banque de cesser de recueillir les dates de naissance comme condition obligatoire de l'ouverture d'un compte tant que cette collecte ne sera pas exigée par règlement.

Date de modification :