Une banque est accusée de retenir des renseignements personnels en rapport avec une enquête sur fraude

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2002-68

[Principes 4.3 et 4.9, Annexe 1; articles 2, 7(1)b), 8(3), 8(4), 8(5) et 9(3)c.1)]

Plainte

Un individu s'est plaint qu'une banque

  1. avait refusé de lui donner accès à certains renseignements personnels qu'il avait demandés;
  2. avait tardé à lui donner accès à d'autres renseignements personnels; et
  3. avait excédé ses pouvoirs de recueillir des renseignements à son sujet dans le but de mener une enquête sur fraude.

Résumé de l'enquête

Le plaignant et une compagnie numérotée qu'il présidait ont fait l'objet d'une enquête sur fraude menée par le directeur régional de la sécurité de la banque sur une période de plusieurs mois. En décembre 2001, le plaignant a adressé une demande écrite à la banque afin de consulter les renseignements personnels se rapportant à ses transactions avec la banque pendant les deux dernières années. Il a spécifié que l'information devrait inclure des copies des télécopies supposément frauduleuses sur lesquelles figure le nom de sa compagnie et des copies de la correspondance ou des lettres échangées entre le directeur régional de la sécurité et des tiers dénommés.

La banque a répondu 18 jours plus tard pour signaler qu'elle aurait besoin d'un délai additionnel de 30 jours pour traiter la demande, vu la nature de la requête, le besoin de consulter divers départements internes et la coïncidence avec la saison des Fêtes. Dans la même lettre, la banque avisait également le plaignant de son droit de déposer une plainte concernant le délai au commissaire à la protection de la vie privée.

Cinquante-neuf jours après la demande originale, la banque a de nouveau écrit au plaignant, lui fournissant des copies de trois télécopies indiquant la compagnie numérotée ainsi que tous les renseignements qu'elle détenait concernant ses transactions personnelles durant la période visée. La banque a noté qu'elle avait fourni les télécopies requises sur une base volontaire, même si techniquement il ne s'agissait pas des renseignements personnels du plaignant. La banque a informé le plaignant qu'il n'y a avait pas eu de lettres ou de correspondance échangées entre le directeur régional de la sécurité et les tiers dénommés. Le Commissariat a confirmé que la banque n'avait pas dans ses dossiers de telles lettres ou correspondance.

La banque a aussi admis l'existence d'un rapport d'enquête concernant le plaignant. Cependant, la banque a refusé de lui permettre de consulter le rapport, soutenant que ce dernier était sujet à la dérogation de l'article 9(3) de la Loi sur la protection des renseignements personnels et les documents électroniques. En fait, la banque s'appuyait sur les dispositions dérogatoires des articles 7(1)b) et 9(3)c.1) de la Loi, qui s'appliquent aux renseignements personnels recueillis à des fins raisonnables liées à une enquête sur la contravention du droit fédéral. En se prévalant de l'article 9(3)c.1), la banque en a avisé le commissaire par écrit, ainsi que le requiert l'article 9(5).

Le plaignant alléguait, entre autres, que le directeur régional de la sécurité n'avait pas les pouvoirs requis pour mener une enquête dans une matière relevant possiblement du Code criminel.

Conclusions du commissaire

Rendues le 30 août 2002

Compétence : Depuis le 1er janvier 2001, la Loi s'applique à toute entreprise fédérale. Le commissaire avait compétence dans ce cas parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : L'article 2 définit un renseignement personnel comme étant « tout renseignement concernant un individu identifiable ». Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. L'article 7(1)b) dispense une organisation de l'obligation de recueillir des renseignements au su et avec le consentement de l'intéressé si la collecte est raisonnable à des fins liées à une enquête sur la violation d'un accord ou une contravention à la loi et si il est raisonnable de s'attendre à ce que la collecte effectuée au su ou avec le consentement de l'intéressé puisse compromettre l'exactitude du renseignement. Le principe 4.9 énonce qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter, d'en contester l'exactitude et l'intégralité et d'y faire apporter les corrections appropriées. L'article 9(3)c.1) dispense une organisation de l'obligation de communiquer à l'intéressé des renseignements personnels si les renseignements ont été recueillis au titre de l'alinéa 7(1)b). L'article 8(3) énonce que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. L'article 8(4) énonce que, à condition d'envoyer au demandeur un avis de prorogation dans les trente jours suivant la demande, l'organisation peut proroger le délai d'une période maximale de trente jours dans les cas où l'observation du délai entraverait gravement l'activité de l'organisation ou toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l'observation du délai. L'article 8(5) énonce que faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande.

Le commissaire a établi premièrement que les télécopies requises par le plaignant ne le nommaient pas ni ne l'identifiaient autrement en tant que personne, et par conséquent ne correspondaient pas à la définition de renseignement personnel à l'article 2.

En ce qui concerne le rapport d'enquête auquel on avait refusé l'accès au plaignant, le commissaire était convaincu que les renseignements personnels contenus dans le rapport avaient été recueillis à des fins raisonnables liées à une enquête sur la contravention du droit fédéral et que la connaissance ou le consentement du plaignant aurait pu compromettre l'exactitude du renseignement ou l'accès à celui-ci. De plus, il n'a rien trouvé dans la formulation de l'article 7(1)b) qui puisse suggérer que des pouvoirs d'enquête doivent être accordés par d'autres lois ou pour autrement dénommer qui peut conduire une enquête. Il a établi que, pour les fins de l'article, le directeur régional de la sécurité de la banque avait suffisamment de pouvoirs en tant que enquêteur.

Le commissaire a donc conclu que la banque avait agi de façon appropriée en invoquant les articles 7(1)b) et 9(3)c.1) pour se soustraire aux obligations habituelles posées par les principes 4.3 et 4.9.

En ce qui concerne les renseignements personnels que le plaignant avait pu consulter, le commissaire a établi que la banque avait répondu initialement bien en-deçà du délai énoncé à l'article 8(3). Il était également convaincu que l'avis écrit de la banque concernant une prorogation de 30 jours était légitime et raisonnable vu les circonstances. Il a aussi établi que la banque avait donné au plaignant accès à tous les renseignements auxquels il avait droit à l'intérieur du délai prolongé de 60 jours.

Le commissaire a donc conclu que la banque s'était conformée aux articles 8(3) et 8(4) et par conséquent au principe 4.9.

Il a conclu que la plainte était non fondée.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :