Une banque refuse de communiquer à un client sa cote de crédit interne

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-63

[Principe 4.9 de l'annexe 1; alinéa 9(3)b)]

Plainte

Un individu s'est plaint qu'une banque lui ait refusé l'accès à ses renseignements personnels, plus particulièrement à sa cote de crédit.

Résumé de l'enquête

Après avoir lu un article sur le sujet, le plaignant a écrit à sa banque pour connaître sa cote de crédit. La banque a refusé de la lui communiquer, invoquant l'exemption énoncée à l'alinéa 9(3)b) de la Loi sur la protection des renseignements personnels et les documents électroniques. La banque était d'avis qu'en donnant aux clients leur cote de crédit interne, elle révélerait des renseignements commerciaux confidentiels, c'est-à-dire le modèle d'évaluation du crédit sur lequel les cotes sont fondées.

La banque a confirmé qu'elle conservait une cote de crédit de « gestion du compte » relativement à l'utilisation que le plaignant faisait de sa carte de crédit. La cote de crédit en question est la cote de crédit interne de la banque. Elle n'a pas été produite par le modèle d'évaluation du crédit normalisé d'une agence d'évaluation du crédit, mais plutôt par un modèle personnalisé unique à la banque dans lequel sont intégrées les priorités stratégiques de l'entreprise.

Pour justifier sa déclaration selon laquelle ces modèles d'évaluation interne du crédit sont des renseignements commerciaux confidentiels, la banque a fait état de trois arguments principaux :

(1) Un accord de confidentialité entre la banque et l'entreprise qui lui avait concédé une licence pour les modèles interdisait la communication des cotes de gestion des comptes. Le commissaire a fait observer que, à moins que les cotes ne soient jugées une exception en vertu de l'alinéa 9(3)b) ou d'une autre disposition de la Loi, la Loi remplace tout accord de confidentialité de ce genre.

(2) Les modèles d'évaluation du crédit devraient être considérés des renseignements commerciaux confidentiels selon les facteurs dont se servent communément les tribunaux pour déterminer ce qui est un « secret commercial » ou pour distinguer les renseignements « commerciaux » de renseignements « d'affaires ». Dans ce contexte, la banque a démontré, à la satisfaction du commissaire, qu'elle et les autres institutions financières considéraient véritablement leurs modèles d'évaluation interne du crédit comme des renseignements commerciaux exclusifs, comparables à des secrets commerciaux, les traitant et les protégeant en conséquence. Le commissaire a noté qu'il a jugé cet argument particulièrement convaincant lorsqu'il a dû arriver à ses conclusions.

(3) L'expérience d'autres administrations est révélatrice et appuie la position de la banque selon laquelle les cotes de crédit ne devraient pas être communiquées. Le commissaire a fait observer que, même si les pratiques en vigueur dans d'autres pays ne doivent pas nécessairement déterminer quelles règles devraient s'appliquer au Canada ou comment notre Loi devrait être interprétée, il a toutefois trouvé utile d'examiner l'expérience d'autres administrations pour confirmer que la désignation des modèles d'évaluation interne du crédit comme renseignements commerciaux confidentiels n'est ni fantaisiste ni trompeuse.

À l'appui de la proposition selon laquelle la communication de cotes de crédit internes pourrait révéler les modèles qui ont servi à les produire, la banque a présenté une analyse judiciaire des risques de fraude liée à la disponibilité des cotes de crédit. Cette analyse a conclu qu'une grande accessibilité aux cotes de crédit internes porterait atteinte à l'intégrité du modèle d'évaluation du crédit compte tenu du nombre relativement restreint de cotes produites par le modèle. Le Commissariat a consulté un spécialiste des algorithmes, qui a jugé que cette conclusion était, dans l'ensemble, correcte et qui a affirmé qu'avec l'accès aux cotes de crédit personnalisées, il serait plus facile de reproduire approximativement le modèle d'une banque.

Conclusions du commissaire

Rendues le 22 juillet 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.9 énonce qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concerne, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. L'alinéa 9(3)b) est une disposition d'exemption stipulant qu'une organisation n'a pas à communiquer des renseignements personnels si la communication révélerait des renseignements commerciaux confidentiels.

Le commissaire est convaincu que le modèle d'évaluation interne du crédit est un renseignement commercial confidentiel. De plus, en se fondant sur les présentations relatives à cette cause et à une autre cause précédemment entendue, il est persuadé en général que les modèles normalisés de l'évaluation du crédit interne des institutions financières devraient dorénavant être considérés des commerciaux confidentiels aux fins de la Loi.

En réponse à la question de savoir si la communication des cotes de crédit révélerait le modèle qui les a produit, le commissaire a conclu ce qui suit :

  • Il a fait observer que l'alinéa 9(3)b), qui utilise le mot « révélerait » plutôt que « pourrait révéler », place la barre très haute pour qui voudrait justifier le refus de communiquer des renseignements personnels.
  • Bien qu'il soit disposé à admettre qu'il est techniquement possible de reproduire approximativement un modèle d'évaluation du crédit si l'on connaît quelques cotes, il n'est pas du tout persuadé que cela va se produire.
  • En particulier, la présentation de la banque ne l'a pas convaincu que des fraudeurs iraient vraiment jusqu'à agir de la façon décrite dans l'analyse du risque dans le seul but de tromper une banque. Il a été particulièrement sceptique à l'égard de la crainte, de toute évidence partagée par toutes les banques canadiennes, que les fournisseurs de crédit concurrents auraient recours, en fait, à de telles tactiques pour « déchiffrer » les modèles d'évaluation du crédit les uns des autres et bénéficier de ce fait d'un avantage concurrentiel.
  • Cependant, il reste que la banque avait déclaré sa conviction et exprimé sa crainte d'inévitables fraudes commises par manipulation de cotes de crédit communiquées et sa méfiance de l'éthique concurrentielle des fournisseurs de crédit. Ayant personnellement examiner le modèle d'évaluation du crédit de la banque, le commissaire n'avait pas de raisons de soupçonner la présence d'arrière-pensées qui pourraient être incompatibles avec l'intérêt public, comme la crainte de soulever la controverse ou de porter atteinte à la réputation de la banque.
  • Il lui a semblé bien peu probable que la communication des cotes de crédit révélerait le modèle d'évaluation interne; toutefois, il est indéniable que le milieu bancaire canadien s'inquiète fortement de cette possibilité et que le commissaire lui-même a été incapable de la réfuter. De plus, il a continué de croire que l'impossibilité d'obtenir des cotes de crédit internes ne portait pas atteinte de façon importante aux droits à la vie privée des Canadiens et Canadiennes.
  • Compte tenu de son devoir d'équilibrer les droits à la vie privée des personnes et les intérêts légitimes des organisations en matière de renseignements, il a considéré qu'il était juste, dans les circonstances, d'accepter la proposition selon laquelle la communication des cotes de crédit internes révélerait le modèle d'évaluation du crédit qui les a produit.

Le commissaire a conclu que, en invoquant l'exception à l'alinéa 9(3)b) concernant les renseignements commerciaux confidentiels pour refuser au plaignant l'accès à sa cote de crédit, la banque avait agi conformément à la Loi.

Il a conclu que la plainte était non fondée.

Autres considérations

Cette conclusion est identique à la conclusion rendu par le commissaire dans le cadre d'une autre plainte contre une autre banque relativement au refus de communiquer des cotes de crédit internes.

Date de modification :