Un client s'objecte aux pratiques de consentement de sa banque

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2003-250

[Principes 4.3, 4.3.5, 4.3.6 et 4.3.7 de l'annexe 1]

Plainte

Après avoir reçu de sa banque un avis lui indiquant que des modifications seraient apportées au libellé de sa convention de carte de crédit, un client a soulevé trois objections auprès du Commissariat à la vie privée :

  1. que la banque, avant la modification, communiquait à des tiers des renseignements personnels le concernant à des fins secondaires de marketing à son insu et sans son consentement;
  2. que la forme de consentement, appelé « consentement négatif », pratiquée par la banque est inappropriée, car il incombe aux clients de retirer leur consentement;
  3. que la demande de consentement négatif prend huit semaines à entrer en application.

Résumé de l'enquête

Cette plainte est en lien avec une cause précédente concernant la même banque. On avait alors conclu que l'institution avait omis d'obtenir le consentement significatif de ses clients avant d'utiliser leurs renseignements personnels à des fins secondaires de marketing. Le Commissariat avait donc recommandé à la banque de reformuler ses documents de communication destinés aux demandeurs de crédit en y précisant quels renseignements personnels seraient communiqués, à qui ils le seraient et de quelle manière exactement ils seraient utilisés. Le Commissariat a également recommandé que la banque prenne des mesures pour satisfaire aux attentes raisonnables de ses clients en se dotant d'un système rapide, facile et peu coûteux permettant aux clients de retirer leur consentement à la collecte, à l'utilisation et à la communication optionnelles de leurs renseignements personnels.

En réponse à ces recommandations, la banque a entrepris un examen, qui n'est pas encore terminé, du libellé de ses formulaires de demande de carte de crédit. Entre-temps, l'institution a envoyé un avis à ses clients les informant qu'ils sont en droit de refuser qu'on utilise leurs renseignements personnels à des fins secondaires de marketing et qu'il existe un numéro sans frais qu'ils peuvent composer pour se retirer des pratiques d'échanges de renseignements personnels de la banque. C'est toutefois cet avis qui a entraîné la plainte.

Quant à la période de temps nécessaire pour honorer une demande de consentement négatif, la banque a indiqué que, compte tenu des différents calendriers de production des diverses campagnes par publipostage ou de télémarketing, cela pourrait prendre jusqu'à 90 jours pour que cessent tout ce marketing. Cependant, la période de temps maximale mentionnée dans l'avis de modification était de huit semaines.

Conclusions

Rendues le 12 décembre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. Cette plainte était du ressort de la commissaire adjointe à la protection à la vie privée parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : Le principe 4.3 stipule que « toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire ». Le principe 4.3.5 nous oblige à tenir compte des attentes raisonnables de la personne dans l'obtention du consentement. En ce qui concerne la forme de consentement, le principe 4.3.6 prévoit que « la façon dont une organisation obtient le consentement peut varier selon les circonstances et la nature des renseignements recueillis ». Le principe 4.3.7 permet le recours au consentement négatif.

En ce qui concerne la première allégation, la commissaire adjointe a indiqué que le Commissariat avait conclu antérieurement que la banque en question n'obtenait pas le consentement significatif de ses clients à des fins optionnelles et secondaires de marketing. Le plaignant dans cette affaire s'était déjà objecté à cet égard après que la banque eut partiellement donné suite aux recommandations du Commissariat. Par conséquent, l'allégation du plaignant selon laquelle la banque utilisait et communiquait des renseignements personnels le concernant à son insu et sans son consentement avait déjà été réputée contrevenir au principe 4.3 et était donc fondée.

La commissaire adjointe a conclu que le premier chef de la plainte était fondé.

Concernant la deuxième allégation, la commissaire adjointe a souligné que même si son Commissariat privilégie l'option d'acceptation en tant que méthode la plus appropriée et la plus respectueuse à utiliser en tout temps, il reconnaît que le consentement négatif est acceptable dans certains cas rigoureusement définis. Cette question avait été examinée dans la plainte antérieure, et il avait alors été établi que cette forme de consentement ne serait acceptable que si la banque obtenait le consentement significatif des clients et que les renseignements personnels utilisés ou communiqués étaient non sensibles de par leur nature. L'enquête a démontré ici que les renseignements personnels utilisés ou communiqués étaient le nom et l'adresse des clients; ils étaient considérés dans ces circonstances comme non sensibles. Sachant que le libellé utilisé dans l'entente de consentement en cours d'élaboration tiendrait compte des recommandations du Commissariat et préciserait quels renseignements personnels sont utilisés ou communiqués, la commissaire adjointe a accepté que la banque ait recours au consentement négatif dans les circonstances, conformément aux principes 4.3.6 et 4.3.7.

La commissaire adjointe a conclu que le deuxième chef de la plainte était non fondé.

Quant à la troisième allégation, la commissaire adjointe était d'avis qu'un client qui figure déjà dans le système de marketing de la banque devrait raisonnablement s'attendre à ce que cela prenne quelques semaines avant que l'organisation traite sa demande de retrait de consentement. Elle a donc jugé que la période de temps précisée par la banque respectait les attentes raisonnables du client, comme le stipule le principe 4.3.5.

La commissaire adjointe a conclu que le troisième chef de la plainte était non fondé.

Autres considérations

Nonobstant le dernier verdict, la commissaire adjointe a recommandé à la banque que le nombre de jours précisés dans la convention relative aux comptes corresponde exactement à la période de temps maximale que cela prend pour s'assurer qu'une demande de retrait de consentement est entièrement traitée, soit 90 jours et non huit semaines.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :