Une banque obtient un consentement valable pour utiliser le NAS à des fins de couplage de données sur le crédit
Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-159
[Principe 4.3, Annexe 1]
Plainte
La plaignante a allégué que la banque a utilisé de manière inappropriée son NAS comme moyen d'identification. Plus précisément, elle faisait référence aux termes employés sur le formulaire de demande de carte de crédit, qui avise le demandeur que la banque utilise le NAS pour séparer les renseignements à son sujet de ceux d'autres clients. La plaignante s'est inquiétée que la formule de consentement utilisée dans le formulaire de demande donne « carte blanche » à la banque de fournir son NAS à d'autres institutions financières ou bureaux de crédit ou de l'obtenir d'autres institutions financières ou bureaux de crédit. La plaignante craignait aussi que la banque ne refuse le service au demandeur qui ne veut pas fournir son NAS.
Résumé de l'enquête
La version papier et la version électronique du formulaire de demande de carte de crédit comportent toutes deux une case pour le NAS. Le mot « facultatif » figure entre parenthèses immédiatement après la rubrique « numéro d'assurance sociale ». Le formulaire informe aussi les demandeurs que la banque utilise le NAS pour séparer les renseignements à leur sujet de ceux d'autres clients, y compris les renseignements obtenus par le processus d'autorisation de crédit.
Le client qui accepte de fournir son NAS peut par la suite retirer son consentement s'il n'est plus d'accord avec la pratique. La banque garde un suivi des préférences de ses clients quant à la communication des renseignements personnels dans sa base de données. À la rubrique « bureau de crédit », le client peut accepter ou refuser que son NAS soit communiqué au bureau de crédit.
Le Code de protection des renseignements personnels de la banque est affiché sur le site Internet de celle-ci et distribué à ses nouveaux clients au moment de l'ouverture d'un compte. Le Code avise les clients qu'ils ont le droit de refuser ou de retirer leur consentement à l'égard des pratiques de la banque quand aux usages prévus des renseignements. Il informe également aux demandeurs que la communication du NAS pour des service de crédit est facultative.
Des employés du Commissariat ont confirmé que les bureaux de crédit ne communiquent le NAS qu'à une banque qui l'a obtenu, en premier lieu, avec le consentement du client.
Conclusions du commissaire
Rendues le 16 avril 2003
Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux installations, ouvrages, entreprises ou secteurs d'activités fédéraux. Le commissaire a compétence dans cette affaire parce que les banques constituent des installations, ouvrages, entreprises ou secteurs d'activités fédéraux au sens de la Loi.
Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
Le commissaire a d'abord indiqué que les utilisations du NAS qui sont autorisées par la loi ont augmenté depuis sa création, en 1964, à titre de numéro de compte client dans l'administration du Régime de pensions du Canada et de divers programmes d'assurance-emploi. Il a fait remarquer que le gouvernement fédéral, dans le but d'empêcher que le NAS devienne un identificateur universel, a émis une politique limitant la collecte et l'utilisation du NAS à des lois, des règlements et des programmes particuliers. Il précise que, bien qu'il n'y ait pas de loi qui empêche les organisations de demander le NAS pour d'autres fins, comme moyen d'identification, les organisations qui sont assujetties à la Loi doivent clairement indiquer au client que la prestation du NAS est facultative et ne constitue pas une condition de service.
Dans le cas qui nous occupe, le commissaire a déterminé que la banque avait clairement communiqué sa politique selon laquelle la prestation du NAS est facultative pour les produits de crédit. Il a aussi souligné que la banque a une procédure simple pour le retrait du consentement à la communication du NAS et qu'elle suit les préférences des clients dans sa base de données.
Le commissaire a conclu que la plainte était non fondée.
Autres considérations
Même si le commissaire s'est réjoui de la politique claire de la banque et de ses procédures de retrait, il tient à faire remarquer que le NAS n'est pas une pièce d'identité et ne devrait pas être utilisé de la sorte. Plus particulièrement, il a déclaré :
« Conformément à la position du gouvernement fédéral voulant que le NAS ne devrait servir qu'à des fins autorisées par la loi, j'exhorte les Canadiens et les Canadiennes à ne pas donner leur NAS à des fins d'identification. Autrement, le NAS risque de devenir de facto un identificateur national, au lieu d'un simple numéro de compte aux fins de programmes sociaux. »
- Date de modification :