Une banque n'obtient pas le consentement explicite de ses clients pour communiquer leurs renseignements personnels

Résumé de conclusions d'enquêtes en vertu de la LPRPDE n^o 2003-192

[Principes 4.3, 4.3.2, 4.3.4 et 4.3.5 de l'annexe 1]

Plainte

Un particulier s'est plaint que sa banque n'avait pas obtenu le consentement explicite de ses clients dans le cadre des pratiques de communication qui les concernaient. Il pensait également que la banque devrait demander le consentement écrit de ses clients avant de communiquer leurs renseignements personnels à des tiers, à moins que ces derniers ne fournissent des services administratifs connexes.

Résumé de l'enquête

Le plaignant a été avisé par sa banque qu'elle modifiait la clause de consentement liée aux renseignements personnels en ce qui concernait les conventions de crédit et de dépôt. L'objectif de cette modification visait à informer les clients de l'utilisation que la banque comptait faire de leurs renseignements personnels à des fins secondaires, c'est-à-dire pour la promotion de nouveaux produits et services. Le formulaire signalait que les clients pouvaient retirer par écrit leur consentement à la banque, mais ce faisant, il les avisait qu'ils pourraient empêcher la banque d'offrir des produits et services efficaces. Le formulaire comportait aussi une note sur ceux qui auraient accès aux renseignements personnels des clients.

À l'origine, si les clauses de consentement de la banque sensibilisaient les clients au fait que leurs renseignements personnels allaient être utilisés à des fins secondaires de promotion, les renseignements personnels n'étaient communiqués à l'époque qu'aux groupes de la banque, et non à d'autres fournisseurs de services. Les « groupes » désignaient les membres de la « famille financière » de la banque, alors que les « fournisseurs de services » qualifiaient les organismes externes avec lesquels la banque entretenait des relations d'affaire. Des organismes de ce type pourraient commercialiser un produit ou un service ou remplir des fonctions qui aident la banque à gérer les comptes des clients; il pourrait s'agir d'un service d'imprimerie, par exemple. Puisque la banque mettait au point un nouveau produit avec un organisme externe, ou un fournisseur de services, elle en a profité pour modifier la clause de consentement pour indiquer que de nouveaux produits et services pouvaient être élaborés en collaboration avec ses groupes et des fournisseurs de services, et pour rappeler aux clients qu'ils peuvent refuser que leurs renseignements personnels soient communiqués dans un tel cas.

Même si la plainte était fondée sur l'avis de modification, le Commissariat a examiné les termes utilisés dans les formulaires de demande de compte et les formulaires d'acceptation de la banque, ainsi que dans les documents sur la confidentialité, à la disposition de la clientèle. La banque a reconnu que la formulation relative au processus à suivre pour retirer son consentement et à l'utilisation de fournisseurs de services était vague; elle a consenti à la clarifier dans les prochaines versions imprimées de ses documents. La nouvelle formulation précisera que les renseignements personnels utilisés aux fins secondaires de promotion ne nuiront pas à la capacité de la banque de fournir des services. La banque affirme qu'elle établira aussi une distinction entre les entreprises fournissant des services et des produits à l'appui des relations de la clientèle avec la banque (comme des services d'impression des chèques), et celles qui utilisent les renseignements personnels du client à des fins de commercialisation de produits et de services additionnels. La nouvelle formulation donnera des exemples dans chaque cas et précisera également le type d'information communiquée à des fins secondaires de promotion.

Le plaignant s'est vivement opposé à ce que la banque se serve du retrait du consentement; il croyait que les renseignements personnels d'un particulier ne devraient pas être communiqués, sauf si celui-ci accorde expressément son consentement par écrit. La banque a défendu l'utilisation du retrait du consentement en déclarant que celui-ci convenait aux cas où les renseignements étaient moins confidentiels. Elle a ajouté qu'en ce qui concernait le produit qui avait entraîné la modification, elle se servait des renseignements sur la clientèle pour produire des listes de distribution qu'elle envoyait ensuite au fournisseur de services. Les renseignements qui figuraient à la liste comprenaient le nom, l'adresse, le numéro de téléphone et l'adresse de courrier électronique du client. La banque ne communiquait pas de renseignements financiers ou de solvabilité au fournisseur de services, ni à ses groupes à des fins de promotion de produits et services additionnels. En principe, elle a l'intention d'envoyer deux fois par année une liste de distribution à jour au fournisseur de services.

La banque accepte en tout temps les demandes que lui présentent des clients de vive voix, par écrit, courriel ou télécopieur, ou au moyen de sa ligne 1-800, au sujet des renseignements personnels qui les concernent à ne pas les utiliser à des fins secondaires de promotion. Cependant, on a remarqué que l'avis de modification ou les documents de la banque sur la confidentialité ne faisaient pas mention de la ligne 1-800. La banque a précisé que cette information serait présente lors des prochaines impressions.

Le Commissariat a examiné les pratiques de la banque au sujet des demandes de retrait et a découvert qu'elle pouvait facilement mettre à jour le dossier d'un client pour y indiquer les souhaits de ce dernier, le jour même où la demande est présentée ou le prochain jour ouvrable.

Conclusions du commissaire

Rendues le 23 juillet 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et documents électroniques (la Loi) s'applique à tous les ouvrages, toutes les installations, toutes les entreprises et à tous les secteurs d'activité fédéraux. Ce cas relève du commissaire parce qu'une banque est un ouvrage, une installation, une entreprise ou un secteur d'activité fédéral selon la Loi.

Application : Selon le principe 4.3, « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». Suivant le principe 4.3.2, «  il faut informer la personne au sujet de laquelle on recueille des renseignements et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués ».

Le principe 4.3.4 établit que « la forme du consentement que l'organisation cherche à obtenir peut varier selon les circonstances et la nature des renseignements. Pour déterminer la forme que prendra le consentement, les organisations doivent tenir compte de la sensibilité des renseignements. Si certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte ». Par ailleurs, selon le principe 4.3.5, « dans l'obtention du consentement, les attentes raisonnables de la personne sont aussi pertinentes ».

Le commissaire a tout d'abord signalé que les problèmes relatifs aux clauses de consentement de la banque étaient si fondamentaux que l'avis de modification ne les clarifiait pas, même si la banque était bien intentionnée. Par ailleurs, le commissaire a estimé que la formulation utilisée par la banque dans les clauses de consentement était vague. Les raisons pour lesquelles on recueillait et communiquait des renseignements personnels n'étaient pas claires, et on ne précisait pas quelle information serait communiquée et à qui elle le serait. Il ne pensait pas que les clients pourraient raisonnablement comprendre la manière dont leurs renseignements personnels seraient utilisés, d'après la formulation des clauses de la banque et les documents de celle-ci sur la confidentialité. Par conséquent, il a estimé que la banque n'avait pas les fondements pour déclarer valable le consentement des clients, conformément aux principes 4.3 et 4.3.2.

En ce qui concerne l'utilisation du retrait du consentement dans les cas où les renseignements personnels servent à des fins secondaires de promotion, si le commissaire a reconnu que le retrait du consentement est acceptable dans certaines situations très bien définies, selon lui, la manière de procéder la plus adéquate et respectueuse est de chercher à obtenir le consentement des personnes concernées, et il encourage les organismes à l'adopter. Il a énoncé les conditions qu'un organisme doit remplir pour justifier le fait de s'en remettre au retrait du consentement :

1. On doit pouvoir démontrer que les renseignements personnels ne sont pas confidentiels, d'après leur nature et le contexte.
2. La situation de transmission de renseignements doit être circonscrite et bien définie pour ce qui est de la nature des renseignements personnels utilisés ou communiqués et de l'ampleur de l'utilisation ou de la communication prévue.
3. Les buts de l'organisme doivent être circonscrits et bien définis, énoncés de manière raisonnablement claire et compréhensible, et mentionnés aux particuliers au moment où l'on recueille leurs renseignements personnels.
4. L'organisme doit établir une procédure pratique qui permette aux particuliers concernés de retirer leur consentement facilement, de manière peu coûteuse et sur-le-champ, dans le cas où l'on voudrait utiliser leurs renseignements personnels à des fins secondaires; en outre, il doit les aviser de la procédure au moment où il recueille leurs renseignements personnels.

Si le commissaire était convaincu que la banque ne communiquait pas de renseignements personnels confidentiels, il n'a pourtant pas pu conclure que l'utilisation du retrait du consentement était acceptable dans les circonstances, parce que la banque n'avait de toute évidence pas respecté les trois dernières conditions mentionnées ci-dessus. Par conséquent, il a jugé que la banque enfreignait les principes 4.3.4 et 4.3.5.

Par conséquent, le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire s'est réjoui d'apprendre que la banque avait accepté de modifier la formulation de sa clause de consentement afin d'y préciser quels renseignements seraient communiqués à des fins de promotion, qu'une demande de retrait de consentement ayant trait à une communication de ce type n'influerait pas sur la prestation de services, les méthodes de retrait du consentement, ni les types de services fournis par des tiers qui aident à administrer le compte d'un client.