Une banque est accusée d'avoir recueilli inutilement des renseignements personnels et de les avoir communiqués

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-245

[Paragraphe 5(3) et principes 4.3.3 et 4.7 de l'annexe 1]

Plainte

Une personne s'est plainte que la banque a

  1. recueilli trop de renseignements personnels lors d'une tentative de retrait;
  2. communiqué des renseignements personnels à d'autres personnes au cours de l'examen et de la vérification de son identité.

Résumé de l'enquête

Le plaignant avait un compte personnel à une banque et il a tenté d'effectuer un retrait à une autre succursale. La caissière lui a demandé de signer un bordereau de retrait et, comme il n'était pas un client de la succursale, de présenter des pièces d'identité afin d'authentifier sa signature conformément aux procédures internes de la banque. La caissière a estimé que les pièces d'identité fournies par le plaignant n'étaient pas suffisantes pour établir son identité et elle l'a renvoyé à une représentante des services financiers qui a également examiné les documents.

La représentante des services financiers était assise à un bureau d'accueil dans une aire ouverte. Le plaignant avait peur que d'autres clients puissent avoir vu ses documents personnels à ce bureau; toutefois, la représentante a déclaré que le bureau avait un rebord à la hauteur du thorax et qu'une personne aurait dû se tenir directement derrière elle et regarder par-dessus son épaule afin de voir les documents qu'elle examinait. Il n'y avait personne derrière elle à ce moment-là.

Après avoir jugé, elle aussi, insuffisantes les preuves d'identité fournies, la représentante l'a amené à son bureau afin qu'elle puisse communiquer avec la succursale du client. Le bureau avait trois murs de verre de pleine hauteur, une porte coupée, et il était situé à environ vingt pieds du client le plus proche. La représentante a téléphoné à la succursale et a demandé une télécopie de la carte de signature du plaignant afin de comparer les signatures. Elle a également mentionné le nom du plaignant et son numéro de compte. Le plaignant a eu l'impression que les personnes à l'extérieur du bureau avaient entendu ces renseignements puisqu'elle parlait trop fort. La représentante a déclaré avoir peut-être élevé le ton légèrement parce que le plaignant lui parlait en même temps. Plusieurs employés de la banque qui se trouvaient à proximité ont indiqué plus tard qu'ils n'avaient rien entendu de la conversation entre le plaignant et la représentante. L'employé de la succursale du plaignant à qui on avait téléphoné a déclaré également que la représentante avait un ton de voix normal.

Après vérification de la carte reçue par télécopieur, on a permis au plaignant d'effectuer un retrait. Il a plus tard porté plainte à la banque qui, tout en lui présentant des excuses pour la frustration et les inconvénients encourus, l'a avisé que, selon elle, le personnel avait agi correctement et qu'il n'y avait eu aucune communication inappropriée de renseignements personnels.

Conclusions

Rendues le 3 décembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, toute entreprise, tout ouvrage ou tout secteur d'activité fédéral. La commissaire adjointe à la protection de la vie privée avait compétence dans cette cause parce qu'une banque constitue un ouvrage, une entreprise ou un secteur d'activité fédéral aux termes de la Loi.

Application : Le paragraphe 5(3) énonce que l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Le principe 4.3.3 stipule qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

En ce qui concerne la première plainte, la commissaire adjointe a délibéré comme suit :

  • Une personne raisonnable considérerait approprié qu'une banque vérifie l'identité du titulaire d'un compte inconnu à une succursale où il veut effectuer un retrait.
  • Il s'ensuit donc que la banque exigerait des renseignements suffisants à cet égard.
  • Puisque les pièces d'identité fournies ne prouvaient pas l'identité du plaignant à la satisfaction du personnel de la succursale, il était raisonnable de demander à la succursale du plaignant une copie de la carte de signature.
  • En s'interrogeant quant à l'identité du plaignant, les employés de la banque n'ont fait que suivre les directives internes de la banque relatives à la confirmation d'identité.
  • Les procédures et pratiques bancaires dans ce cas n'ont pas été excessives et effectuées dans un but légitime.

Pour ces raisons, la commissaire adjointe a établi que la banque a respecté le paragraphe 5(3) et le principe 4.3.3.

Elle a conclu que la première plainte était non fondée.

En ce qui concerne la deuxième plainte, la commissaire adjointe a délibéré comme suit :

  • Elle a conclu qu'il n'y avait aucune preuve à l'appui de l'allégation du plaignant selon laquelle les clients au bureau d'accueil avaient vu ses documents personnels.
  • Elle a conclu qu'il n'y avait aucune preuve que le nom du plaignant et son numéro de compte, que la représentante des services financiers avait mentionnés, aient été entendus à l'extérieur du bureau.
  • Les allégations du plaignant ont été contredites par plusieurs employés de la banque qui ont nié avoir entendu une partie de la conversation.
  • L'employé de la succursale du plaignant a déclaré que la représentante avait un ton de voix normal.

Vu l'absence de preuve à l'appui de l'allégation du plaignant selon laquelle on avait communiqué des renseignements personnels à son sujet, la commissaire adjointe a conclu que la banque n'avait pas contrevenu au principe 4.7.

Elle a conclu que la deuxième plainte était non fondée.

Date de modification :