Une banque n'est pas tenue de publier ses politiques et ses pratiques concernant la gestion des renseignements personnels

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-183

[Principes 4.8 et 4.8.2d)]

Plainte

Un homme a porté plainte lorsque la banque a refusé de lui fournir de l'information détaillée sur ses politiques et ses pratiques concernant l'utilisation frauduleuse de renseignements personnels.

Résumé de l'enquête

Victime d'un vol d'identité de la part d'un employé de la banque, le plaignant a demandé à l'institution bancaire copie de ses politiques et pratiques contre la fraude. Il semble qu'un autre employé de la banque l'aurait informé que son cas avait incité l'institution à revoir ses politiques et pratiques. Il désirait comparer l'« ancienne » version des politiques à la « nouvelle » pour s'assurer que la banque avait tiré profit de son expérience et pour améliorer ses méthodes de prévention de la fraude. La banque a refusé, prétextant que ses politiques sont des renseignements exclusifs liés aux opérations internes.

Dans ses observations au commissaire, la banque a mentionné qu'elle publiait les politiques et pratiques générales concernant la gestion des renseignements personnels et de la sécurité de l'information dans une brochure et sur son site Web. Bien que l'institution bancaire se soit servi de pratiques et de méthodes plus précises pour déceler les activités frauduleuses, elle a soutenu que de donner des détails sur ses pratiques exposerait les clients parce que ces renseignements pourraient peut-être servir à contourner les mesures de protection qu'elle a conçues. La banque a prétendu qu'une telle démarche rendrait les mesures de protection inefficaces.

Conclusions du commissaire

Rendues le 10 juillet 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. Le commissaire avait compétence dans cette cause parce qu'une banque constitue un ouvrage, une entreprise ou un secteur d'activité fédéral aux termes de la Loi.

Application : Le principe 4.8 stipule qu'une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. Le principe 4.8.2d) précise que l'information disponible doit inclure une copie de toute brochure ou autre document d'information expliquant la politique, les normes ou les codes de l'organisation.

Le commissaire a constaté que cette plainte soulevait la question à savoir comment une organisation fait la part des choses entre son obligation aux termes de la Loi d'informer le public des politiques et des pratiques visant à protéger les renseignements personnels sous sa garde et de garantir l'efficacité des mesures de protection de ces renseignements.

Bien que la situation du plaignant l'ait poussé à demander de l'information précise démontrant que la banque avait tout fait pour empêcher que la situation ne se reproduire, le commissaire était d'avis qu'une institution bancaire doit savoir de façon plus générale quelles seront les conséquences de la diffusion de détails sur ses politiques et pratiques. Il a trouvé logique qu'une banque ne veuille pas rendre public les étapes précises suivies pour empêcher la fraude, puisque les criminels pourraient utiliser cette information pour déjouer les mesures de protection de l'institution. Le commissaire est d'avis que la banque est parvenue à un équilibre entre l'exigence aux termes du principe 4.8 qui consiste à informer les clients sur ses pratiques de gestion de l'information et son devoir de protéger les renseignements personnels concernant les clients. Par conséquent, il a conclu que la banque n'avait pas enfreint les principes 4.8 et 4.8.2d).

Le commissaire a conclu que la plainte était non fondée.

Date de modification :