Une employée d'une banque accède indûment au compte d'un client

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-212

[Principe 4.5 de l'annexe 1]

Plainte

Une personne s'est plainte qu'une employée d'une banque a indûment utilisé et communiqué ses renseignements personnels.

Résumé de l'enquête

Le plaignant était en conflit continuel avec son beau-fils avec qui il avait un prêt conjoint. Un jour, son beau-fils lui a dit qu'il connaissait son solde bancaire et son revenu. Le plaignant a cru que ces renseignements ont été fournis par la conjointe de son beau-fils, alors employée d'une banque. Pour éviter que celle-ci ait accès aux renseignements personnels le concernant, le plaignant a fait bloquer son compte, mesure qui vise à empêcher les employés travaillant à une autre succursale que celle du client (l'employée en question ne travaillait pas à la succursale du plaignant) de voir les numéros de compte ou les soldes du client. Toutefois, une personne qui connaît le numéro du compte peut y faire un dépôt. Ainsi, quelque temps après, une somme d'argent était déposée dans le compte du plaignant.

Le plaignant a fait part de ses préoccupations à la banque. Celle-ci a alors effectué une enquête de sécurité, qui a révélé que l'employée avait effectivement accédé au dossier principal du client, lequel contenait une liste de tous les numéros de compte et des soldes ainsi qu'un historique des transactions effectuées pour chacun des comptes. Même si le compte avait été bloqué, l'enquête de la banque a permis d'établir que l'employée était parvenue à déposer de l'argent dans le compte du client.

L'employée a admis à la banque qu'elle avait bel et bien accédé au compte, mais a nié avoir communiqué des renseignements à ce sujet au beau-fils du plaignant.

Par la suite, la banque a revu l'importance de la confidentialité avec les employés de la succursale où s'était produit l'incident. Bien qu'aucune note de service n'ait été envoyée au sujet de cette affaire, l'institution a affirmé avoir remis à ses employés un exemplaire révisé de ses lignes directrices sur la conduite des employés. La banque s'est excusée auprès du plaignant et lui a présenté une offre de règlement qu'il a refusée.

Conclusions du commissaire

Rendues le 6 août 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Cette plainte était du ressort du commissaire parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : Le principe 4.5 stipule que « les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige ».

Le fait que l'employée de la banque ait accédé aux renseignements bancaires du plaignant et qu'elle ait déposé une somme d'argent dans le compte est non contesté. L'employée l'a admis et le système informatique l'a prouvé. Même s'il était probable que l'employée ait communiqué les renseignements personnels du plaignant au beau-fils, le commissaire a déterminé que les preuves étaient insuffisantes.

Par contre, comme l'employée avait accédé aux renseignements personnels du plaignant à ses propres fins, le commissaire a jugé que ces renseignements avaient été utilisés dans un but autre que celui pour lequel ils ont été recueillis et sans le consentement du plaignant. Il a conclu que la banque contrevenait ainsi au principe 4.5 de l'annexe 1.

Le commissaire a conclu que la plainte était fondée.

Date de modification :