Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Un client accuse un employé de la banque d'avoir communiqué des renseignements confidentiels à des tiers

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-113

[Principes 4.3, 4.7, 4.9 et 4.10.4, Annexe 1; paragraphes 8(3) et 8(5)]

Plainte

Un titulaire de compte a soulevé cinq allégations contre une banque affirmant :

(1) qu'un employé de la banque avait communiqué des renseignements personnels et confidentiels à un tiers;
(2) que le même employé avait communiqué, à trois autres tiers, des renseignements personnels et confidentiels dont le fait que le titulaire avait déjà porté plainte contre la banque concernant les divulgations initiales;
(3) que la banque avait échoué à répondre à sa demande de mener une enquête approfondie concernant sa plainte;
(4) que la banque n'avait pas adopté les mesures de sécurité adéquates pour protéger ses renseignements personnels en circulation, ce qui a eu pour résultat la communication des renseignements à des tiers non autorisés;
(5) que la banque avait dépassé le délai prescrit pour lui fournir la documentation qu'il avait demandée.

Résumé de l'enquête

Dans le cas des deux premières allégations, on a confirmé que certains éléments des renseignements personnels du plaignant se rapportant à ses transactions avec la banque avaient en effet été communiqués à des tiers, dans la mesure où que ces tiers ont pris connaissance de ces renseignements. Cependant, l'employé de la banque en cause a nié toute implication quant aux renseignements communiqués. Bien que la véracité de cette dénégation n'ait pu être établie avec certitude et malgré le manque de cohérence des témoignages de l'employé et des tiers en question, le Commissariat n'a pas obtenu plus de succès que le plaignant dans l'établissement d'une preuve corroborante.

Dans le cas de la troisième allégation, la banque a reconnu que son ombudsman avait entrepris, mais non achevé, une enquête concernant la plainte déposée par le plaignant. Cependant, la banque a expliqué, et le plaignant a confirmé, que l'ombudsman avait suspendu l'enquête après que le plaignant ait refusé de permettre à ces témoins d'être interrogés à moins qu'il ne soit présent lors de l'entrevue.

Dans le cas de la quatrième allégation, on a confirmé que la banque avait envoyé au plaignant une trousse d'information livrée à sa demande par messagerie et qu'un agent de sécurité de l'immeuble avait accepté le colis et signé le bon de livraison et que le père du plaignant avait par la suite pris possession du colis. Cependant, après avoir informé le plaignant que son père devrait être interrogé, le plaignant a répondu que son père ne voulait pas être mêlé à cette histoire. Le plaignant n'a pas non plus voulu expliquer les renseignements précis qu'il croyait avoir été communiqués ni donner le nom des tiers qui, selon lui, avaient reçu ses renseignements.

Dans le cas de la cinquième allégation, deux éléments distincts ont été examinés : une demande d'emprunt et une lettre. En premier lieu, la banque n'avait aucun document concernant une demande d'emprunt et le plaignant n'a pas été en mesure de fournir la date de sa demande ou les moyens qu'il avait employés pour faire sa demande. Aucun autre document n'a pu être fourni à l'effet duquel il aurait été possible de prouver que le plaignant avait fait une demande et qui aurait pu raisonnablement être interprétée comme se rapportant à une demande d'emprunt. En deuxième lieu, le plaignant a contesté la réponse initiale de la banque concernant une certaine lettre qu'il aurait demandée, principalement parce que la lettre reçue ne correspondait pas à la lettre qu'il avait demandée. L'explication de la banque était qu'un employé de la banque avait pris la liberté de dater électroniquement à nouveau la lettre dans le fichier avant de l'envoyer au plaignant. On a confirmé que la lettre envoyée correspondait essentiellement à celle demandée par le plaignant.

Conclusions du commissaire

Rendues le 21 janvier 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les entreprises fédérales. Le commissaire avait compétence dans cette cause parce que les banques sont des entreprises fédérales selon la définition de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur nature délicate. Le principe 4.9 stipule qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter, d'en contester l'exactitude et l'intégralité et d'y faire apporter les corrections appropriées. Le principe 4.10.4 stipule qu'une organisation doit faire enquête sur toutes les plaintes. Le paragraphe 8(3) stipule que l'organisation saisie de la demande doit y donner suite avec la diligence raisonnable et, en tout état de cause, dans les 30 jours suivant sa réception. Le paragraphe 8(5) stipule qu'une organisation qui n'a pas répondu dans les délais est réputée avoir refusé d'acquiescer à la demande.

Le commissaire a d'abord observé que ce cas était fortement caractérisé par le manque de fiabilité des preuves testimoniales provenant des deux parties. Malgré la rigueur de cette enquête, très peu de faits ont été dégagés qui auraient pu établir leur véracité.

Dans le cas des deux premières allégations, le commissaire a observé qu'il n'y avait aucune preuve sérieuse permettant déterminer si l'employé avait divulgué ou non des renseignements personnels sur le plaignant à son insu et sans son consentement. Par conséquent, le commissaire n'a pu établir que la banque avait enfreint le principe 4.3.

Dans le cas de la troisième allégation, il a conclu que l'interruption de l'enquête par la banque concernant la plainte déposée par le plaignant n'était pas attribuable à un manquement à ses responsabilités en vertu de la Loi, mais plutôt au refus du plaignant de collaborer de façon raisonnable. Par conséquent, le commissaire n'a pu établir que la banque avait enfreint le principe 4.10.4.

Dans le cas de la quatrième allégation, le commissaire a fait remarquer qu'il n'avait reçu aucune preuve permettant de corroborer l'affirmation voulant que le colis envoyé au plaignant par la banque avait été ouvert lors de la livraison ou que toute communication de son contenu avait été transmise à un tiers non autorisé. Le commissaire a donc conclu qu'il n'existait aucun fondement légitime pour prouver que la banque n'avait pas adopté les mesures de sécurité adéquates pour protéger les renseignements personnels du plaignant ou qu'elle avait enfreint le principe 4.7.

Dans le cas de la cinquième allégation, en premier lieu, le commissaire n'était pas convaincu que la banque avait reçu une demande d'information de la part du plaignant qui aurait pu raisonnablement être interprétée comme une demande d'emprunt. En second lieu, il était convaincu que, même si les dates étaient différentes, la lettre envoyée initialement par la banque était sensiblement la même que l'original demandé par le plaignant et qu'elle répondait de bonne foi à la demande. Puisque la réponse a été présentée dans les délais prescrits, le commissaire a conclu que la banque avait rempli ses obligations en vertu du paragraphe 8(3) et qu'elle n'était pas réputée avoir refusé d'acquiescer à la demande.

Le commissaire a conclu que la plainte était non fondée.

Date de modification :