Des agences d'évaluation du crédit acquittées d'avoir utilisé de manière abusive des numéros d'assurance sociale de certains consommateurs

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-194

[Principe 4.3 de l'annexe 1]

Plainte

Un particulier a déposé des plaintes distinctes contre deux agences d'évaluation du crédit : il prétendait qu'elles avaient recueilli de manière abusive des numéros d'assurance sociale (NAS) auprès de certaines banques et qu'elles les avaient utilisés comme identificateurs sans avoir obtenu le consentement explicite des consommateurs affectés.

Résumé de l'enquête

Le plaignant croyait que chacune des agences disposait d'une base de données nationale de NAS, fournie par des banques canadiennes, qui recueillait à l'origine des NAS à différentes fins en vertu de la Loi de l'impôt sur le revenu. Il pensait que les deux agences utilisaient leurs bases de données à de nouvelles fins d'identification, à l'insu et sans le consentement des consommateurs. Par ailleurs, il proposait d'obliger les agences, à moins qu'elles ne soient expressément autorisées par chaque consommateur à conserver les NAS à des fins d'identification, à supprimer tous les NAS se trouvant dans leurs bases de données.

En fait, les agences ne possèdent pas de bases de données distinctes vouées à la cueillette et à l'utilisation des NAS comme identificateurs. Leurs bases de données de travail sont structurées en fonction des noms et adresses, et non des NAS. Les agences recueillent les NAS, au sens où parfois il fait partie des renseignements personnels d'un particulier fournis par certaines banques dans le cadre de leurs activités, et parce que leurs bases de données peuvent contenir et contiennent tous les NAS ainsi obtenus. Cependant, aux fins d'une transaction commerciale, les agences n'exigent pas et ne demandent même pas que les banques leur fournissent le NAS d'un particulier .

Les agences ont aussi volontiers reconnu avoir parfois recours aux NAS ainsi recueillis - mais seulement afin de trouver dans leur base de données le dossier de crédit d'un consommateur qui présentait une demande de crédit. Le nom et l'adresse d'un consommateur suffisent en règle générale pour repérer son dossier. Cependant, pour certains cas difficiles, notamment lorsque la base de données renferme plus d'une personne ayant le même nom et habitant le même secteur postal, les agences utilisent d'autres renseignements personnels disponibles dans les dossiers, comme la date de naissance ou le NAS, pour obtenir une correspondance exacte. Les deux agences trouvent que le NAS est l'identificateur le plus efficace dans de tels cas.

Toutes les banques qui souhaitent recueillir, utiliser ou communiquer des NAS à des fins autres que des déclarations de revenu relatives à des comptes portant intérêt sont tenues, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi), de mentionner de telles fins secondaires et d'obtenir le consentement des particuliers à leur sujet. Par conséquent, en principe, toute banque qui communique un NAS à une agence d'évaluation du crédit à des fins d'identification a obtenu au préalable le consentement de la personne concernée.

Dans le cadre des ententes contractuelles établies avec leurs abonnés, les deux agences imposent une condition de consentement aux banques et aux autres entreprises qui veulent obtenir de l'information sur la capacité financière de certains consommateurs. L'une des agences signale en langue courante qu'avant de retenir des services, l'abonné doit obtenir toutes les autorisations nécessaires du consommateur conformément à la Loi en vigueur. L'autre agence utilise des termes plus précis pour indiquer que l'abonné, avant de fournir tout renseignement personnel, doit avoir le consentement de la personne concernée conformément à la loi en vigueur sur la protection des renseignements personnels. La première agence impose également une condition équivalente dans l'entente contractuelle établie avec ceux qui parmi ses abonnés lui fournissent des données sur les antécédents de certains consommateurs en matière de crédit.

Le Commissariat à la protection de la vie privée s'est assuré qu'en aucun temps les deux agences n'avaient divulgué de NAS de leur propre chef et, en tout cas, qu'elles ne les avaient jamais communiqués à un tiers autre que celui qui les leur avait fournis avec l'information initiale ayant trait à la demande de renseignements sur le crédit.

Conclusions du commissaire

Rendues le 16 juillet 2003

Compétence : Depuis le 1er janvier 2001, la Loi s'applique non seulement à tous les ouvrages, à toutes les installations, à toutes les entreprises et à tous les secteurs d'activité fédéraux, mais également à toute organisation pour ce qui est de la communication à l'extérieur d'une province de renseignements personnels à des fins d'étude. Ces cas relevaient du commissaire parce que les deux agences d'évaluation du crédit en question étaient des organisations qui jouaient un rôle dans ce type de communication.

Application : Selon le principe 4.3, « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ».

Dans chacun des cas, le commissaire était convaincu : que l'agence ne disposait pas d'une base de données distincte structurée en fonction des NAS; qu'elle n'avait pas exigé que les banques lui fournissent les NAS des demandeurs de crédit et qu'elle ne le leur avait pas demandés; qu'elle n'utilisait les NAS obtenus que pour jumeler correctement les dossiers de crédit dans les cas difficiles; qu'elle n'avait pas communiqué les NAS des consommateurs de son propre chef et qu'elle ne l'avait jamais fait à un tiers autre que celui qui les lui avait fournis dès le départ.

De plus, pour ce qui est des obligations des banques en vertu de la Loi, auxquelles s'ajoute celle du respect des conditions liées au consentement fixées dans le cadre des ententes contractuelles établies avec les agences, le commissaire croyait qu'il était raisonnable que chaque agence tienne pour acquis, lorsqu'une banque lui fournissait des NAS, que cette dernière avait obtenu le consentement explicite des consommateurs dont on avait trouvé le NAS en vue de l'utiliser et de le divulguer à des fins d'identification aux cours des activités entreprises avec l'agence.

Par conséquent, le commissaire a jugé que chacune des agences respectait le principe 4.3.

Il a conclu que les plaintes étaient non fondées.

Date de modification :