Des clients s'opposent à l'utilisation du numéro d'assurance social pour activer une carte de crédit

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2002-115

[Principe 4.3 et 4.3.2 de l'annexe 1]

Plainte

Le commissaire a reçu des plaintes identiques provenant de deux personnes qui ont refusé de communiquer leur numéro d'assurance social (NAS) à leur nouvelle banque aux fins d'activation de leur nouvelle carte de crédit.

Résumé de l'enquête

Les deux plaignants avaient une carte de crédit de leur ancienne banque. Lorsque cette banque a fusionné avec une autre banque, le service des cartes de crédit a été vendu à une autre banque. Tous les renseignements concernant les comptes de carte de crédit des clients ont été transférés à la nouvelle banque avant que la Loi n'entre en vigueur. En 2001 et en 2002, les détenteurs de carte de crédit touchés ont reçu de nouvelles cartes avec le nouveau nom de la banque.

Afin d'activer ces cartes, les détenteurs devaient téléphoner à un numéro sans frais. Après avoir composé ce numéro, une messagerie vocale informatisée leur demandait d'avoir à la portée de la main leur NAS. On leur demandait par la suite d'entrer leur numéro de carte de crédit. Si la personne n'entrait pas son NAS ou s'il y avait un problème lors de la saisie du numéro de compte, alors l'appel était transféré à un agent, et d'autres critères étaient alors utilisés pour activer la carte de crédit.

L'un des plaignants a téléphoné au numéro sans frais, mais a refusé de donner son NAS. Il a donc mis fin à l'appel, puis a communiqué avec la banque. Il a alors retourné ses cartes de crédit à la banque et a envoyé un lettre mentionnant qu'il s'opposait à l'utilisation du NAS pour activer une carte de crédit. La banque lui a envoyé une autre carte. Lorsqu'il a essayé de l'activer, il a encore refusé de donner son NAS, il a mis fin à l'appel, puis a téléphoné à la banque pour leur demander qu'ils ferment immédiatement son compte de carte de crédit.

L'autre plaignant a également téléphoné au numéro sans frais, a refusé de donner son NAS, puis a parlé à un agent. Il lui a demandé comment la banque avait réussi à obtenir son NAS. On lui a répondu qu'il l'avait fourni sur sa demande originale de carte de crédit de son ancienne banque.

La banque a confirmé qu'elle demandait le NAS aux fins d'identification, car elle considérait qu'il s'agissait de l'unique identificateur « fiable » disponible. La banque a également indiqué qu'elle avait reçu les formulaires de demande sur microfilms lorsqu'elle avait acheté le service des cartes de crédit. Cependant, elle a admis qu'elle ne savait pas avec certitude quels clients avaient fourni leur NAS et pour quelle raison, mais elle a fait valoir que la majorité des clients l'avait fourni.

Les plaignants ne se souviennent pas d'avoir fourni leur NAS sur leur demande initiale. La banque a indiqué qu'elle n'avait pas reçu les demandes des deux plaignants lors de l'achat du service de cartes de crédit. Par conséquent, il était impossible de les examiner.

La banque a affirmé qu'elle avait reçu peu de plaintes à ce sujet. Dans le cas d'une plainte, la banque supprimait immédiatement le NAS du dossier de la personne. La banque a également changé son système de réponse automatisé pour que le NAS ne soit plus nécessaire pendant le processus d'activation de la carte de crédit. Par contre, la banque indique que, à moins que toutes les institutions financières soient obligées de le faire, elle n'examinera pas tous les dossiers de détenteur de carte de crédit afin de s'assurer que les NAS ne figurent plus au dossier inutilement.

Conclusions du commissaire

Rendues le 20 décembre 2002

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tout ouvrage, entreprise ou secteur d'activité fédéraux. Cette plainte était du ressort du commissaire, parce que les banques sont des ouvrages, des entreprises ou des secteurs d'activité fédéraux au sens de la Loi.

Application : Le principe 4.3 énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concerne et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 contient davantage de détails sur la question de l'information et du consentement en précisant que les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés.

Compte tenu de l'incertitude de la banque entourant la collecte initiale des NAS et compte tenu que le motif d'identification servait à d'autres fins que celles prévues initialement par la loi, c'est-à-dire aux fins de déclaration de revenus, la banque aurait dû faire preuve d'un effort raisonnable pour informer ses nouveaux clients de cette nouvelle procédure et obtenir leur consentement. Le commissaire a établi que la banque n'avait fait aucun effort ou qu'elle n'avait pas obtenu le consentement de ses clients. Par conséquent, la banque contrevenait aux principes 4.3 et 4.3.2 de l'annexe 1 de la Loi. Toutefois, le commissaire était satisfait que la banque ait éliminé l'utilisation du NAS pour activer les cartes de crédit.

Le commissaire a donc conclu que la plainte était fondée et résolue.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :