Une banque se conforme aux principes de consentement

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-241

[Principes 4.3 et 4.3.3]

Plainte

Trois personnes se sont plaintes du fait que leur banque ne donnait pas à ses détenteurs de cartes de crédit la chance de refuser le consentement à des pratiques de collecte et de communication décrites dans une convention révisée envoyée aux clients.

Deux pratiques ont fait l'objet de critiques : 1) la collecte de renseignements auprès de tiers au sujet d'achats, par exemple des numéros de vol, et des heures de départ et d'arrivée, et 2) la communication de renseignements personnels à des tiers comme les fournisseurs de programmes de fidélisation.

Résumé de l'enquête

La banque reçoit des renseignements relatifs aux transactions des détenteurs de cartes de crédit professionnelles tels que les numéros de vol et les heures d'arrivée. Les entreprises en font la demande afin de rapprocher les relevés de dépenses des employés. La banque ne recueille toutefois pas ce genre d'information quand il s'agit de produits de consommation.

La banque a expliqué que lorsqu'elle modernisé sa technologie de sorte à permettre la lecture des données concernant les détenteurs de cartes professionnelles, elle a décidé de modifier sa convention avec les détenteurs de cartes afin d'y indiquer qu'elle recueillait ces données. Mais, comme ce n'est pas ce qu'elle faisait dans le cas des détenteurs de cartes régulières, elle a choisi de retirer cette clause de toutes les futures conventions et demandes de cartes régulières.

En ce qui concerne les pratiques de communication de la banque, celle-ci partage les renseignements suivants avec les fournisseurs de programmes de fidélisation :

  • nom, adresse et numéro de téléphone du client ;
  • numéro de carte de crédit ;
  • numéro de membre ;
  • renseignements relatifs aux points.

La banque a souligné que les gens qui font la demande d'une carte de crédit assortie d'un programme de fidélisation ne peuvent prendre part au programme tout en refusant que soient communiqués les renseignements relatifs à l'identification et aux points, car ces renseignements sont nécessaires pour faire bénéficier le détenteur des avantages du programme.

Conclusions

Rendues le 4 décembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique à toutes les entreprises fédérales. Cette plainte était du ressort de la commissaire adjointe à la protection de la vie privée parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : Le principe 4.3 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». Selon le principe 4.3.3, « une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées ».

En ce qui concerne la collecte, étant donné qu'il n'était pas question de véritable collecte de renseignements personnels du consommateur, la commissaire adjointe a jugé que la banque n'avait pas enfreint la disposition concernant le consentement comme l'énonce le principe 4.3. La commissaire adjointe était néanmoins heureuse de constater que la banque avait décidé de modifier le libellé de la convention afin de décrire de façon plus précise ses pratiques actuelles.

Elle a conclu que la plainte liée à la collecte de renseignements était non fondée.

En ce qui concerne la communication, la commissaire adjointe a délibéré comme suit :

  • Compte tenu du principe 4.3.3, l'objet visé par la communication des renseignements personnels du client, tel qu'il est précisé dans la convention, est de voir à ce que les détenteurs de carte reçoivent les points auxquels ils ont droit selon les programmes de fidélisation.
  • Un tel objectif est à la fois légitime et logique — si une personne demande une carte de crédit assortie d'un programme de fidélisation, elle doit s'attendre que les renseignements personnels pertinents soient communiqués avec le fournisseur du programme de fidélisation pour qu'elle puisse éventuellement jouir des avantages connexes.
  • La communication de renseignements n'est pas exagérée et elle vise une fin légitime.
  • Si une personne ne veut pas que les renseignements la concernant soient divulgués de cette façon, ou si elle ne désire pas adhérer à un programme de fidélisation, elle peut choisir parmi toute une gamme d'autres cartes de crédit sans volet de fidélisation que lui offre la banque.
  • La commissaire adjointe a donc conclu que les pratiques de consentement de la banque respectent les exigences des principes 4.3 et 4.3.3.

Par conséquent, elle a conclu que la plainte en matière de communication était non fondée.

Date de modification :