Une banque fait défaut de répondre à une demande d'accès dans les délais prévus

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-221

[Principe 4.9; articles 8(3) et 8(5)]

Plainte

Une personne allègue qu'une banque qui a refusé de lui octroyer une carte de crédit, n'a pas répondu à sa demande d'accès à ses renseignements personnels.

R é sum é de l'enquête

À la suite du refus de lui octroyer une carte de crédit, une personne a fait parvenir une lettre à la banque demandant d'obtenir la communication de ses renseignements personnels recueillis lors du traitement de sa demande ainsi que les raisons précises ayant motivé le refus de la banque de lui octroyer la carte. Plus de quinze semaines plus tard et à la suite de l'intervention du Commissariat, la banque a répondu à la personne et lui a envoyé une copie de sa demande d'adhésion par Internet, les renseignements de l'agence d'évaluation de crédit ainsi qu'un exemplaire du code de protection des renseignements personnels de la banque. Dans sa lettre de réponse, la banque a également informé la personne que sa demande avait été refusée parce qu'un compte qu'elle détenait dans une autre institution financière avait été en souffrance plusieurs fois dans le passé.

La banque a attribué à l'erreur humaine son retard à répondre, la correspondance n'ayant pas été acheminée au service responsable de donner suite à une telle demande. La banque a indiqué avoir pris des mesures afin d'éviter que ce genre de situation se reproduise.

Le plaignant n'était toujours pas satisfait, faisant valoir que les renseignements communiqués n'étaient pas les mêmes que ceux que la banque avait utilisés pour décider de lui refuser une carte de crédit. En comparant le rapport de crédit original de l'agence avec le rapport communiqué au plaignant, le Commissariat a établi qu'il y avait deux différences : (1) le rapport communiqué était produit dans un langage courant et (2) il avait été traduit en français, la langue de préférence du plaignant. Le Commissariat a informé le plaignant que les rapports étaient par ailleurs identiques et que les deux différences contenues dans le rapport reçu étaient compatibles avec le principe 4.9.4 de l'annexe 1 de la Loi.

Conclusions du commissaire

Rendues le 16 septembre 2003

Comp é tence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toutes les installations, tous les ouvrages, toutes les entreprises et tous les secteurs d'activité fédéraux. Le commissaire avait compétence dans cette cause parce qu'une banque est une entreprise fédérale selon la définition de la Loi.

Application : Le principe 4.9 spécifie qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter. L'article 8(3) stipule que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Enfin, l'article 8(5) indique que faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande.

Puisque la banque a fait défaut de répondre à la demande au cours de la période de 30 jours établie par la Loi, le commissaire a considéré qu'elle ne s'est pas conformée à l'article 8(3) et est réputée avoir refusé d'y acquiescer en vertu de l'article 8(5). Le commissaire a aussi conclu que la banque avait enfreint le principe 4.9 de la Loi a en niant l'accès aux renseignements personnels de la personne. Il a toutefois apprécié le fait qu'à la suite de son intervention, la banque ait communiqué tous les renseignements personnels demandés et pris des mesures afin d'éviter que ce genre de situation ne se reproduise.

Le commissaire a conclu que la plainte était fondée et résolue.

Date de modification :