Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Un individu conteste le fait qu'on lui demande son NAS pour effectuer une enquête de crédit et s'oppose à une clause de consentement à la communication de ses renseignements personnels

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-151

[Principes 4.3, 4.3.2 et 4.3.3 de l'annexe 1, et paragraphe 5(3)]

Plainte

Un individu a allégué qu'une entreprise de télécommunications lui exigeait deux pièces d'identité, notamment sa carte d'assurance sociale, afin de lui fournir un service téléphonique cellulaire, et que la clause de consentement énoncée dans le contrat de service permettait à cette entreprise de communiquer son NAS aux agences de crédit sans l'en aviser ou lui dire pourquoi.

Résumé de l'enquête

Au moment de s'abonner à un service de téléphone cellulaire, on a demandé au plaignant de fournir deux pièces d'identité, dont son NAS. Les représentants de l'entreprise lui ont dit que ces renseignements étaient nécessaires pour effectuer une enquête de crédit, mais qu'ils seraient détruits par la suite. À la réception de son téléphone peu de temps après, l'individu a constaté que son NAS figurait sur le contrat de service. Il a également remarqué une clause qui stipulait que ces renseignements pourraient être transmis à toute autre agence de crédit. Le plaignant s'y est opposé, affirmant que la clause autorisait l'entreprise à communiquer ses renseignements personnels sans l'en informer ou sans explication. L'entreprise lui a répondu que pour pouvoir se prévaloir d'un service téléphonique cellulaire, ses membres devaient accepter que soient communiqués aux agences de crédit tous les renseignements personnels obtenus au cours d'une enquête de crédit. Le plaignant a retourné le téléphone.

Selon l'entreprise, un service téléphonique cellulaire est une forme de crédit non garanti. Lorsque les nouveaux clients souscrivent à un régime où ils paient les appels après coup, une enquête de crédit est effectuée. Les représentants de l'entreprise sont toutefois tenus d'en informer les clients avant de demander deux pièces d'identité. Les renseignements demandés sont les cartes de crédit, la date de naissance, le numéro de permis de conduire ou le NAS. L'enquête a confirmé que le plaignant a fourni son NAS et sa date de naissance, mais elle n'a pas permis de déterminer si son NAS avait été expressément demandé ou non.

En ce qui concerne la seconde allégation, l'entreprise a expliqué que le règlement du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) exige que l'on obtienne l'autorisation du client avant de communiquer ses renseignements personnels à un tiers. L'entreprise ajoute donc dans son contrat de service une clause de consentement qui vise à obtenir l'autorisation du client pour transmettre son dossier de crédit aux agences de crédit et à d'autres institutions qui offrent ce service, comme les banques ou les grands magasins. Pour être plus claire, l'entreprise a modifié le libellé de sa clause au cours de l'enquête.

Conclusions du commissaire

Rendues le 14 avril 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les entreprises fédérales. Cette plainte était du ressort du commissaire parce que les entreprises de télécommunications sont des entreprises fédérales au sens de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.3.2 précise les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.3 stipule qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Aux termes du paragraphe 5(3), l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Dans le cas de la première allégation, le commissaire a déterminé que la pratique consistant à demander deux pièces d'identité pour effectuer une enquête de crédit répondait aux exigences énoncées au principe 4.3.3 et au paragraphe 5(3).

Quant à la seconde, il a estimé que, même si l'entreprise demandait officiellement le consentement du client, conformément au règlement du CRTC et au principe 4.3 de la Loi, cela s'avérait sans fondement, puisque le libellé de la clause au moment de la plainte ne précisait pas clairement les renseignements que l'entreprise communiquerait aux agences de crédit. De la même manière, le commissaire n'a pas trouvé que le nouveau libellé était plus clair à cet égard. Il a donc estimé que la clause de consentement n'a pas répondu aux attentes énoncées au principe 4.3.2.

Le commissaire a donc conclu que la première allégation était non fondée, mais que la seconde était fondée.

Autres considérations

Le commissaire a recommandé à l'entreprise de reformuler le libellé de la clause de consentement de sorte que celle-ci indique clairement quels renseignements seront communiqués aux agences de crédit.

Date de modification :