Une femme accuse une banque d'avoir communiqué des renseignements sur sa carte de crédit à son conjoint

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-108

[Principe 4.3 de l'annexe 1]

Plainte

Une personne prétend qu'un employé de banque a communiqué des renseignements à son conjoint au sujet du compte de sa carte de crédit.

Résumé de l'enquête

Le représentant de la banque a téléphoné à la résidence de la plaignante pendant les heures de bureau et a parlé à son conjoint, qui n'était pas codétenteur de la carte, dont la situation financière n'avait pas été prise en compte lorsque la plaignante avait obtenu sa carte et qui ne savait même pas que cette dernière en détenait une. L'employé a révélé au conjoint le solde impayé actuel et le fait que le compte n'était plus gelé et que le paiement de la plaignante avait été reçu.

Au départ, la banque a nié que son représentant avait communiqué les renseignements personnels de la plaignante à son conjoint. Toutefois, après l'intervention du Commissariat, la banque a admis que son représentant avait en fait communiqué ces renseignements et que la position initiale de la banque avait été prise avant qu'une enquête complète sur la question ne soit terminée.

Le Commissariat a examiné les documents et les procédures de formation touchant la protection des renseignements personnels. Ces documents portent sur la limitation de la communication de renseignements sur le client et sur les procédures de vérification de l'identité, et ils comprenaient des scénarios de communications téléphoniques à utiliser lorsque le personnel communique avec les clients. Les procédures exigent que le détenteur de la carte soit identifié avec certitude avant de communiquer tout renseignement personnel. Il était évident que l'employé de la banque qui avait parlé au conjoint de la plaignante n'avait pas suivi les procédures appropriées.

La banque a fait part de ses préoccupations sur l'incident et a examiné ses politiques et procédures en matière de protection des renseignements personnels avec le représentant du client et l'employé qui avait traité au départ une lettre de plainte que la plaignante avait envoyée à la banque. Elle a également fait savoir qu'elle réexaminerait ses procédures et sa formation sur la protection des renseignements personnels et qu'elle mettrait en place les améliorations identifiées durant l'examen et les communiquerait à ses employés.

La banque a présenté ses excuses à la plaignante et lui a offert un geste de « bonne volonté » de nature pécuniaire, que la plaignante a accepté.

Conclusions du commissaire

Rendues le 19 décembre 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique aux entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.3 établit que toute personne doit être informée de la collecte, l'utilisation ou la communication à des tiers de renseignements personnels qui la concernent et y consentir, à moins qu'il soit inapproprié de le faire.

Puisqu'il est clair et indéniable que la banque a communiqué des renseignements personnels sur la plaignante à son insu et sans son consentement, le commissaire a conclu que la banque avait contrevenu au principe 4.3.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire était convaincu que la banque avait des procédures en place qui, quand elles étaient suivies, offraient une protection adéquate conformément au principe 4.7, qui stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. De l'avis du commissaire, cet incident dénotait un problème unique et n'était pas le symptôme de la présence d'un problème répandu à la banque.

Date de modification :