Une banque adopte des changements fondamentaux à ses pratiques de collecte de renseignements

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-97

[Principes 4.3, 4.3.2 et 4.4 de l'annexe 1]

Plainte

Une personne s'est plainte au sujet du libellé d'un formulaire de demande de carte de crédit d'une banque qui lui demandait de consentir à la collecte d'«autres» renseignements, sans préciser ce que l'on entendait par «autres», et de les communiquer à une «tierce partie» non identifiée. Sur le formulaire, on demandait également des renseignements sur le revenu du conjoint sans que l'on demande le consentement du conjoint pour la collecte.

Résumé de l'enquête

La banque a reconnu sans hésiter que le libellé des dispositions sur le consentement devait être mis à jour pour refléter les prescriptions de la Loi sur la protection des renseignements personnels et les documents électroniques. Elle a communiqué avec le plaignant et a rencontré le personnel du Commissariat à la protection de la vie privée. Après examen, la banque a entrepris les mesures suivantes :

  • Elle a modifié tous ses documents afin de retirer toute référence au revenu du conjoint sur ses formulaires de demande. À la place, le formulaire demande le revenu du «foyer», si l'auteur de la demande désire que ces renseignements soient pris en compte dans le contexte d'une demande de carte de crédit.
  • Elle a accepté d'apporter des changements importants au libellé des dispositions sur le consentement. Les dispositions sur le consentement seront remaniées afin (a) de préciser et de mieux définir le genre de renseignements recueillis; (b) de déterminer la nature des affaires traitées avec la banque, y compris les filiales auxquelles les renseignements seront communiqués; (c) de fournir des renseignements sur les pratiques de marketing direct et d'échange de renseignements de la banque, de même qu'un numéro sans frais au cas où le consommateur ne désire pas recevoir de documents de marketing direct ou ne désire pas que la banque communique les renseignements sur son compte à ses filiales pour des fins de marketing.
  • Elle a fait savoir qu'elle aurait besoin d'environ un an pour mettre en place les changements, car elle doit faire le rapprochement entre différents systèmes technologiques et assurer l'élaboration adéquate de politiques et la formation du personnel. La banque a accepté de soumettre un rapport au Commissariat à la protection de la vie privée une fois que les changements seraient en place.

Conclusions du commissaire

Rendues le 30 septembre 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales, selon la définition de la Loi.

Application : Principes 4.3, 4.3.2 et 4.4, annexe 1.

Le commissaire a conclu que la banque contrevenait au principe 4.3 en recueillant des renseignements sur le conjoint sans le consentement de cette personne. Il a également conclu que les motifs invoqués par la banque pour recueillir les renseignements étaient vagues, contraire aux exigences énoncées au principe 4.3.2 à l'effet que les fins doivent être énoncées de façon à ce que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Il a établi que la banque contrevenait au principe 4.4, qui stipule que l'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.

Il a toutefois félicité la banque d'avoir réagi si rapidement aux préoccupations du plaignant et d'avoir accepté de mettre en œuvre des changements qui allaient au-delà des enjeux soulevés par le plaignant lui-même.

Le commissaire a conclu que la plainte était fondée et résolue.

Date de modification :