Une banque est accusée d'avoir refusé une demande d'accès et de communiquer des renseignements personnels sans consentement
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-140
[Principes 4.3 et 4.9; paragraphes 8(3) et 8(5)]
Plainte
Une personne a déposé deux plaintes contre une banque : (1) qu'elle n'avait pas répondu à sa demande d'accès à son rapport de crédit et fourni une liste de toutes compagnies auxquelles la banque avait communiqué ses renseignements personnels; et (2) qu'elle continue de divulguer ses renseignements personnels à d'autres compagnies même si le délai de communication après une faillite est échu.
Résumé de l'enquête
Le plaignant avait déclaré faillite quelques années auparavant et il avait de la difficulté à obtenir du crédit. En octobre 2001, il a écrit à une banque avec laquelle il avait compte de carte de crédit impayé, présentant ses inquiétudes concernant la déclaration relative à ce compte. Dans sa correspondance, il a demandé son rapport de crédit et une liste de toutes les compagnies auxquelles la banque avait communiqué des renseignements concernant son crédit et autres renseignements financiers. En décembre 2001, la banque a répondu qu'elle avait déclaré sa dette correctement auprès des bureaux de crédit.
Durant l'enquête, la banque a admis qu'il y avait eu des retards pour acheminer la réponse au plaignant et qu'elle était d'accord qu'elle n'avait pas abordé ses inquiétudes particulières. À la demande du commissaire, la banque a écrit de nouveau au plaignant, pour clarifier qu'elle communiquait les renseignements relatifs au plaignant seulement aux bureaux de crédit et le conseiller sur la façon d'obtenir son rapport de crédit.
En ce qui concerne la deuxième plainte, la banque n'avait aucun dossier quant à la communication des antécédents de crédit du plaignant à un organisme autre que les bureaux de crédit, auxquels elle avait communiqué de tels renseignements électroniquement une fois par mois. La banque a fait remarquer qu'une telle communication fait partie du processus de demande de crédit habituel et qu'elle est autorisée en vertu de la convention régissant l'utilisation des cartes de crédit. La position de la banque était que, étant donné que le plaignant avait utilisé sa carte de crédit, il avait consenti à de telles communications.
Quant à la question de la faillite et du délai imposé pour la déclaration de renseignements négatifs, la banque a déclaré qu'elle n'était pas au courant du fait que le plaignant avait déclaré faillite, mais que, même si elle l'avait su, le non-paiement d'une dette aurait toujours été déclaré aux bureaux de crédit. Le délai pour la déclaration, par un bureau de crédit, de renseignements personnels défavorables dans la province où réside le plaignant est de sept ans.
Conclusions du commissaire
Rendues le 10 mars 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tous les ouvrages, entreprises ou secteurs d'activités fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une banque est un ouvrage, une entreprise ou un secteur d'activités fédéral selon la définition de la Loi.
Application : Le principe 4.9 énonce que toute personne qui en fait la demande doit être informée de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers et lui permettre de les consulter; et il sera aussi possible de contester l'exactitude et l'intégralité des renseignements et d'y faire apporter les corrections appropriées. Le paragraphe 8(3) énonce qu'une organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les 30 jours suivant sa réception. Le paragraphe 8(5) énonce que, faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande. Le principe 4.3 établit que la personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir à moins qu'il ne soit pas approprié de le faire.
En ce qui concerne le premier chef de plainte, la banque n'a pas contesté le fait qu'elle n'avait pas fourni au plaignant les renseignements personnels demandés dans le délai de 30 jours prévu par le paragraphe 8(3) de la Loi. Le commissaire a donc conclu que la banque n'avait pas respecté ses obligations en vertu du paragraphe 8(3), et qu'en vertu du paragraphe 8(5), elle avait refusé la demande et elle avait contrevenu au principe 4.9 de l'annexe 1.
Il a par conséquent conclu que la plainte était fondée.
En ce qui concerne la deuxième plainte, le commissaire a déterminé qu'il n'y avait aucune preuve qui suggérait que la banque avait indûment communiqué les renseignements personnels du plaignant. Les seules organisations auxquelles la banque avait communiqué des renseignements étaient les bureaux de crédit. Le commissaire était persuadé que la banque avait informé le plaignant, par la convention de titulaire de carte, qu'elle communiquerait ses renseignements de crédit aux bureaux du crédit et qu'elle avait eu son consentement parce qu'il avait utilisé la carte. Par conséquent, il a conclu que la banque n'avait pas contrevenu à l'exigence de communication et de consentement, stipulée au principe 4.3.
Le commissaire a donc conclu que la deuxième plainte était non fondée.
- Date de modification :