Une banque fait une communication inappropriée des renseignements personnels d'une cliente à l'ex-conjoint de celle-ci

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-175

[Principe 4.3]

Plainte

Une personne s'est plainte après que sa banque eût communiqué, à son insu et sans son consentement, le solde de son compte à son ex-conjoint.

Résumé de l'enquête

La banque a reconnu qu'un de ses employés a commis une erreur et a communiqué les renseignements relatifs au compte de la plaignante à l'ex-conjoint de celle-ci. L'ex-conjoint s'est rendu à une succursale de la banque et a affirmé, documentation à l'appui, que le compte était une « fiducie » au nom du fils du couple, qu'à l'origine, son propre nom (et celui de la plaignante) figuraient sur le registre du compte, et qu'il était un des gardiens du fils. Le gérant de la succursale étant absent, l'employé n'a pu le consulter. Donc, se fondant sur la documentation présentée, l'employé a communiqué l'information demandée, et ce, en dépit du fait que le nom de l'ex-conjoint ne figurait plus dans l'ordinateur au dossier du compte. Après que la plaignante eût communiqué avec la banque pour protester, le gérant a examiné la documentation présentée par l'ex-conjoint et a conclu que l'employé n'aurait pas dû communiquer l'information. La banque a présenté des excuses officielles à la plaignante et lui a offert une compensation monétaire en guise de sa « bonne volonté », ce que la plaignante a refusé. Les responsables de la banque ont également communiqué avec l'ex-conjoint pour éclaircir le fait que le compte n'était pas à lui et qu'ils ne lui communiqueraient plus aucune information y ayant trait.

De l'avis des responsables de la banque, la communication a résulté d'une erreur humaine et non d'un problème systémique au sein de l'organisation. Ils ont expliqué que, lorsque la banque engage de nouveaux employés, elle leur donne de la documentation concernant les politiques et les procédures à appliquer en matière de protection des renseignements personnels, de même qu'une entente que ceux-ci doivent signer et dans laquelle ils s'engagent à protéger la confidentialité des renseignements. De l'avis des responsables de la banque, la communication inappropriée s'est produite parce que l'employé n'a pas respecté les procédures établies lorsqu'il a vérifié la validité des documents de l'ex-conjoint.

Les responsables de la banque ont passé en revue leur politique de protection des renseignements avec l'employé en question. Ils ont également discuté avec lui des détails de l'incident, du pourquoi de l'importance de la politique de la banque et de la manière de procéder pour éviter qu'une telle situation ne se reproduise.

Conclusions du commissaire

Rendues le 12 mai 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toute installation, ouvrage, entreprise et secteur d'activité fédéral. Le commissaire avait compétence dans cette cause parce que les banques sont des installations, ouvrages, entreprises ou secteurs d'activité fédéraux selon la définition de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

Puisqu'il était indiscutable que la banque avait communiqué les renseignements personnels de la plaignante à son insu et sans son consentement, le commissaire a conclu que la banque avait enfreint le principe 4.3.

Le commissaire a donc conclu que la plainte était fondée.

Autres considérations

Bien que la banque ait présenté des excuses officielles à la plaignante et lui ait offert une compensation monétaire en signe de sa bonne foi, le commissaire a été d'avis que la somme proposée n'était absolument pas suffisante eu égard à la gravité des conséquences découlant de cette atteinte à la vie privée. Il a donc fortement encouragé la banque à bonifier substantiellement son offre et ce, de toute urgence.

Date de modification :