Communication alléguée sans consentement de renseignements personnels pour des fins secondaires de marketing par une banque

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-82

[Principes 4.3, 4.3.2 et 4.3.5 de l'Annexe 1]

Plainte

Une personne a déposé une plainte parce qu'une banque avait, sans consentement, recueilli, utilisé ou communiqué des renseignements personnels pour des fins secondaires de marketing.

En particulier, elle a allégué que la banque n'informait pas ses clients de sa politique d'utiliser et de communiquer des renseignements personnels sur les clients à ses filiales pour des fins secondaires de marketing et ne leur donnait pas l'occasion de se désister de la communication de ces renseignements.

Cette plainte est une parmi plusieurs déposées par la même personne contre un certain nombre d'organisations. Sa position se résume comme suit :

  • Il convient toujours d'informer les clients et d'obtenir leur consentement avant de communiquer des renseignements pour des fins secondaires de marketing.
  • Les compagnies de marketing et les clients potentiels ne partagent pas les mêmes vues au sujet du consentement qu'il convient d'obtenir.
  • Les entreprises devraient non seulement déclarer les fins de la communication de renseignements personnels dans un document de politique mais aussi informer les clients individuellement de la pratique de communiquer ces renseignements, et leur donner la possibilité de retirer l'autorisation de les communiquer.
  • Les entreprises ne respectent pas cette obligation à plusieurs égards :

    (a) en se fondant sur un document qui n'est pas fourni aux clients, elles obligent ainsi le client à prendre l'initiative;

    (b) en enfouissant ces renseignements dans un long document et en les imprimant en petits caractères;

    (c) en ne rédigeant pas ces renseignements en termes clairs et simples pour qu'un client ordinaire puisse les comprendre;

    (d) en ne fournissant pas aux clients des renseignements suffisamment détaillés au sujet de l'ampleur et des fins de l'utilisation et du partage envisagé des renseignements personnels; et

    (e) en ne donnant pas de démarche facile pour refuser l'autorisation de communiquer ces renseignements.

Résumé de l'enquête

L'enquête a porté sur l'examen de la documentation et des procédures de la banque qui traitent des renseignements personnels. L'enquête a montré que la banque informe ses clients au sujet de ses politiques et pratiques touchant les renseignements personnels par les moyens suivants. L'enquête a permis de constater ce qui suit :

  • La banque fournit à ses clients deux documents sur la protection des renseignements personnels et fournit sur Internet ou sur papier un code de conduite détaillé concernant la protection des renseignements personnels.
  • En résumé, ces documents expliquent le but de la collecte, de l'utilisation, ou de la communication des renseignements personnels parmi les filiales de la banque, et le droit des clients de refuser d'autoriser la banque de communiquer leurs renseignements personnels ou de retirer cette autorisation.
  • La banque a également instauré un procédé grâce auquel ses représentants signalent aux clients ses politiques sur la protection des renseignements personnels et enregistrent leur autorisation ou non de communiquer leurs renseignements personnels à ses filiales.

En résumé, la banque estime que ses documents et ses procédures constituent une base suffisante pour renseigner les clients et obtenir un consentement convenable. La banque s'est engagée à reformuler l'autorisation à communiquer des renseignements personnels, et d'expliciter les procédures pour retirer le consentement.

Conclusions du commissaire

Rendues le 16 octobre 2002

Compétence: Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 stipule que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés; pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.5 stipule dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes.

Le commissaire a conclu que les attentes du client décrites dans sa plainte sont raisonnables et conformes à la Loi.

Le commissaire a conclu que la documentation et les procédés de la banque représentent un effort raisonnable d'informer de façon adéquate les clients des motifs secondaires de l'utilisation ou de la communication de leurs renseignements personnels et de leur droit de refuser d'autoriser la communication de ces renseignements ou de retirer cette autorisation d'une manière raisonnable.

Par exemple, la banque n'imprime pas ses politiques sur les renseignements personnels en petits caractères ou dans des documents que les clients n'ont pas à portée de main. Bien que les documents sur ses politiques ne nomment pas les filiales qui pourraient recevoir les renseignements personnels, ils indiquent le type d'organisations dont il s'agit. De plus, la banque fournit la liste à jour de ses filiales aux clients qui en font la demande.

En tout, le commissaire a trouvé que la documentation et les procédés de la banque informent adéquatement les clients et sont claires en ce qui concerne le consentement.

Le commissaire a donc estimé que la banque respectait les principes 4.3.5, 4.3.2 et 4.3 de l'annexe 1 de la Loi.

Le commissaire a conclu que la plainte était non fondée.

Autres considérations

Le commissaire a mentionné qu'il était impressionné par la politique de la banque d'informer individuellement les clients au sujet des utilisations secondaires facultatives des renseignements personnels, présenter ces utilisations secondaires en termes de préférences pour leur considération et, en fait, de les guider sur la marche à suivre pour refuser immédiatement d'autoriser la communication de leurs renseignements personnels. Pourvu que la banque respecte systématiquement sa politique et l'applique aussi à sa documentation sur les renseignements personnels électroniques, le commissaire serait très enclin à citer la politique de la banque en exemple de méthode d'obtention de consentement. Il a signalé aussi que le mode de refus de consentement qui est employé par la banque est très similaire à celui que la plaignante préfère.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :