Un formulaire demande qu'on consente à la collecte, à l'utilisation et à la communication illimitées des renseignements personnels

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-184

[Principes 4.3, 4.3.2 et 4.3.3 de l'annexe 1]

Plainte

Une personne s'est plainte que dans son formulaire de demande de carte de crédit bancaire, la disposition sur le consentement demandait aux clients d'autoriser la cueillette et la communication illimitées de renseignements personnels les concernant. Par ailleurs, le plaignant désapprouvait la formulation imprécise de la demande de consentement quant à l'utilisation du numéro d'assurance sociale du client et aussi fait remarquer que dans le champ approprié à l'inscription du numéro d'assurance sociale (NAS) on ne précisait pas que c'était laissée à la discrétion du client.

Résumé de l'enquête

Après avoir pris en considération les préoccupations du plaignant et d'autres conclusions tirées de causes connexes, la banque a consenti à modifier la formulation de la demande de consentement. Elle a accepté notamment de s'assurer que la demande préciserait qu'il n'est pas obligatoire d'inscrire le NAS et qui sert seulement à comparer l'information sur le demandeur à celle du dossier de l'agence d'évaluation du crédit, lorsque celui-ci est disponible.

La banque n'a pas pris d'engagement ferme quant au libellé qui sera adopté. Celle-ci a indiqué que la mise en ouvre des changements sur le formulaire de demande prendra de six à huit mois. Le commissaire a avisé la banque qu'il s'était réjoui de son engagement à revoir en profondeur la formulation de sa demande de consentement.

Conclusions du commissaire

Rendues le 10 juillet 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. Le commissaire avait compétence dans cette cause parce qu'une banque constitue un ouvrage, une entreprise ou un secteur d'activité fédéral aux termes de la Loi.

Application : Le principe 4.3 stipule que toute personne doit être informée de la collecte, de l'utilisation ou de la communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Suivant le principe 4.3.2, les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le principe 4.3.3 précise qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.

Dans ses conclusions, le commissaire a fait référence à une conclusion antérieure ayant trait au même formulaire de demande. Selon cette conclusion, la banque n'avait pas fait un effort raisonnable pour s'assurer que le client individuel avait été informé des raisons de l'utilisation ou de la divulgation des renseignements personnels le concernant. Le libellé a été considéré tellement général qu'il était pratiquement impossible à comprendre, sauf si la personne devait comprendre que la banque avait l'intention d'utiliser les renseignements personnels et de les communiquer à qui que ce soit chaque fois qu'elle jugerait bon de le faire. On a constaté que le libellé était juridique et qu'il était imprimé en caractères minuscules difficiles à lire et à comprendre.

Étant donné que le texte du formulaire de demande n'a pas été modifié depuis qu'on en est venu à cette conclusion, les décisions sont demeurées inchangées. Par conséquent, le commissaire a conclu que la banque avait enfreint les principes 4.3, 4.3.2 et 4.3.3.

Quant à la question de fournir les NAS, le commissaire a fait référence à une récente conclusion relative à un formulaire de demande de carte de crédit utilisé dans une autre institution bancaire. Dans cette cause, la principale préoccupation était le fait que le formulaire n'indiquait pas clairement qu'il était facultatif de fournir le NAS pour les besoins d'identification. Il a été déterminé que la banque n'avait pas fait un effort raisonnable pour veiller à ce que le client soit informé adéquatement, ce qui a eu pour conséquence, que le consentement obtenu n'était ni valide ni significatif.

À l'instar de cette conclusion, le commissaire a déterminé que, dans la présente cause, le consentement obtenu par la banque n'était pas plus valide et que, par conséquent, la banque a enfreint les principes 4.3 et 4.3.2.

Le commissaire a donc conclu que la plainte était fondée. Il s'est également réjoui du fait que la banque se soit engagé à revoir en profondeur la formulation de sa demande de consentement.

Autres considérations

Le commissaire a proposé à l'institution bancaire de changer le libellé de la disposition autorisant le consentement pour s'assurer que celle-ci satisfait aux exigences suivantes :

  • préciser explicitement les sources et les objectifs de la cueillette des renseignements personnels;
  • limiter le type d'information qui est recueillie et divulguée;
  • indiquer clairement qu'il est facultatif de fournir son NAS dans le champ prévu à cette fin.
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :