Une cliente juge excessives la collecte, l'utilisation et la communication de renseignements personnels par une banque pour l'ouverture d'un compte de dépôt personnel et trouve vagues les fins énoncées

Résumé de conclusions d'enquêtes en vertu de la LPRPDE no 2003-256

[Principes 4.3.2 et 4.3.3; paragraphe 5(3)]

Plainte

Une particulière s'est plainte de ce qu'une banque exige, comme condition d'ouverture d'un compte de dépôt personnel, que les demandeurs consentent à la collecte, l'utilisation et la communication de renseignements personnels au-delà de ce qui est nécessaire pour satisfaire les fins légitimes et énoncées explicitement. La plaignante contestait essentiellement la vérification de la solvabilité exigée par la banque pour l'ouverture du compte, malgré le fait qu'elle ne demandait aucun type quelconque de crédit et qu'elle acceptait que son compte soit assorti de limites. Elle contestait également :

  • La collecte de la date de naissance et du numéro d'assurance-sociale (NAS) du demandeur, ainsi que de plusieurs autres renseignements personnels, y compris l'adresse et l'information liée à l'emploi;
  • La communication de ses renseignements personnels à d'autres institutions financières;
  • La conservation et la communication de renseignements personnels à des agences d'évaluation du crédit et d'autres institutions financières après la cessation de la relation entre le client et la banque sans qu'il soit précisé pendant combien de temps les renseignements seraient conservés et les raisons pour lesquelles ils seraient conservés et (ou) communiqués.

En résumé, elle s'opposait à ce que la banque recueille et communique ses renseignements personnels sans préciser les raisons pour lesquelles les renseignements en question étaient nécessaires et sur l'utilisation de ceux-ci.

Résumé de l'enquête

Les éléments de la présente plainte concernant la vérification de la solvabilité reprennent ceux qui ont été analysés dans le Résumé de conclusions d'enquêtes #219 et mettent en cause la même banque. On peut trouver une description détaillée de la position de la banque et des résultats de l'enquête menée par le Commissariat concernant la vérification de la solvabilité obligatoire au lien ci-haut.

Au sujet de la collecte de renseignements personnels, la banque demande la date de naissance du demandeur pour deux raisons : pour se conformer au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes et afin de déterminer l'admissibilité du demandeur aux services bancaires spéciaux liés à l'âge.

Conformément au Règlement, l'entité financière doit « vérifier l'identité d'une personne au moyen de son certificat de naissance, son permis de conduire, sa carte d'assurance-maladie (si un tel usage n'est pas interdit aux termes de la loi provinciale applicable), son passeport ou un document semblable ». La banque doit voir l'original du document et indiquer la date de naissance sur le formulaire de demande.

Pour ce qui est des services bancaires liés à l'âge, le formulaire de demande en usage au moment de la demande de renseignements de la plaignante ne mentionnait pas cette fin. C'est toutefois le cas pour le formulaire révisé.

La banque recueille le NAS à deux fins : pour déclarer les revenus à l'Agence des douanes et du revenu du Canada (ADRC), lorsque le particulier est titulaire d'un compte producteur de revenus, et pour faciliter l'identification du client auprès des agences d'évaluation du crédit, mais seulement afin d'assurer un appariement exact des dossiers d'antécédents de crédit. La banque soutient que la prestation du NAS est volontaire dans les deux cas et que le demandeur peut simplement choisir de ne pas communiquer celui-ci à la banque.

Cependant, la case figurant sur le formulaire de demande que la plaignante devait remplir comporte une case pour le NAS, mais sans la mention « facultatif ». Selon la banque, celle-ci n'indique pas que la prestation du NAS est facultative en raison des dispositions de la Loi de l'impôt sur le revenu, selon lesquelles les banques doivent demander le NAS aux personnes ouvrant un compte aux fins de la déclaration de revenus. Toutefois, ni le formulaire précédent ni le formulaire en usage n'indiquent clairement cette fin. En fait, la formulation confond cette condition obligatoire avec un usage facultatif (assurer un bon appariement des dossiers d'antécédents de crédit). Bien que la politique de la banque veuille à ce que la prestation du NAS pour la dernière fin soit facultative, cela n'est pas clair sur le formulaire de demande. De plus, la politique de la banque voulant que la prestation du NAS soit facultative aux fins de la déclaration de revenus contrevient aux dispositions de la Loi de l'impôt sur le revenu.

Pour ce qui est des autres renseignements que doit fournir le demandeur, le Règlement sur le recyclage des produits de la criminalité et le financement d'activités terroristes exige que les banques conservent au dossier le nom, l'adresse et la profession des titulaires de comptes ainsi que les ententes relatives à la tenue du compte et diverses transactions bancaires. Bien que la banque réunisse des renseignements supplémentaires dont elle se sert ensuite pour confirmer l'identité du demandeur par la communication de ceux-ci aux agences d'évaluation du crédit, elle ne précise pas sur le formulaire de demande les identificateurs qui sont obligatoires et ceux qui sont facultatifs.

En ce qui concerne la communication des renseignements personnels du demandeur à d'autres institutions financières, le formulaire de demande et la politique sur la protection des renseignements personnels de la banque ne fournissent guère de précisions quant aux fins d'une telle communication. Dans ses arguments présentés au Commissariat, la banque a précisé qu'elle vérifiera s'il y a suffisamment d'argent dans le compte pour la compensation de chèques présentés pour fins de paiement aux bureaux d'autres institutions financières, à la condition que l'institution en question figure sur la liste des organisations approuvées. Elle fournira également des données relatives au crédit dans les cas où l'organisation qui en a fait la demande n'a pas pu obtenir les renseignements d'une agence d'évaluation du crédit. La banque confirmera aussi le nom, l'adresse personnelle, la date de naissance, le dernier employeur connu et les numéros de carte de crédit, de compte des prêts et des hypothèques du client. Cependant, l'enquête a révélé que, si la banque demande le consentement des demandeurs pour la communication de ces renseignements, elle n'explique pas les fins de la communication sur le formulaire de demande ni dans sa politique sur la protection des renseignements personnels.

Au sujet des pratiques de la banque en matière de conservation et de communication des renseignements de ses anciens clients, la banque communique l'information aux agences d'évaluation du crédit conformément aux lignes directrices contenues dans les lois provinciales sur les rapports relatifs aux clients, lesquelles permettent aux institutions financières de faire état de renseignements défavorables aux clients pendant une période donnée après la dernière activité de paiement. Le Commissariat a téléphoné au numéro sans frais de la banque et appris que celle-ci conservait les renseignements personnels de ses clients pendant sept ans après la fin de la relation de la banque avec le client. Cependant, ni la brochure sur la protection des renseignements personnels ni la politique sur le sujet ne fournissent de précisions sur les pratiques de conservation des renseignements de la banque ni sur les justifications de celles-ci. La banque ne précise pas les fins auxquelles les renseignements sont communiqués aux agences d'évaluation du crédit. Le formulaire de demande énonce un certain nombre d'options pour le demandeur souhaitant obtenir de plus amples renseignements (composer un numéro sans frais, demander copie de la politique de la banque sur la protection des renseignements personnels ou consulter le site Web de la banque).

Conclusions du commissaire

Rendues le 1er octobre 2003

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s'applique aux installations, ouvrages, entreprises ou secteurs d'activités fédéraux. Le commissaire avait compétence dans cette affaire parce qu'une banque est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral au sens de la Loi.

Application : Selon le Principe 4.3.2, parce que l'information et le consentement sont nécessaires, les organisations doivent faire un effort raisonnable pour s'assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Le Principe 4.3.3 prévoit qu'une organisation ne peut pas, pour le motif qu'elle fournit un bien ou un service, exiger d'une personne qu'elle consente à la collecte, à l'utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées. Conformément à l'article 5.3, l'organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu'à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.

Le commissaire a examiné la plainte sous les angles suivants :

  • La banque recueille, utilise et communique les renseignements personnels des clients essentiellement dans le but de vérifier l'identité du demandeur afin de déterminer si celui-ci présente un risque pour elle. Il est donc raisonnable et indiqué, aux fins de la diligence raisonnable, et particulièrement, conformément aux obligations législatives qui incombent à la banque (pour respecter les règlements contre le recyclage des produits de la criminalité et pour fournir des services de carte bancaire à tous les détenteurs de comptes) que les banques recueillent, utilisent et communiquent des renseignements personnels limités des demandeurs de comptes de dépôt afin de vérifier l'identité des demandeurs et de déterminer si ceux-ci ont des antécédents d'utilisation illégale ou frauduleuse de comptes de dépôt personnels. Le commissaire a jugé que ces fins étaient légitimes en vertu du Principe 4.3.3.
  • La banque recueille, utilise et communique également les renseignements personnels pour se conformer à diverses exigences législatives, comme celles énoncées dans la Loi de l'impôt sur le revenu et les dispositions provinciales relatives aux renseignements sur les consommateurs. Là encore, le commissaire a considéré que ces fins étaient légitimes en vertu du Principe 4.3.3.
  • Cependant, il a également établi que, au moment de la demande de renseignements de la plaignante, la banque n'avait pas pour pratique d'énoncer ces fins en ces termes et n'expliquait pas d'une façon raisonnablement compréhensible, en vertu du Principe 4.3.2, les raisons pour lesquelles elle demandait tous ces renseignements ni les utilisations qu'elle comptait en faire. Particulièrement :
    1. La banque n'a pas indiqué qu'elle devait demander aux demandeurs leur nom, leur adresse, leur date de naissance, leur profession et, dans le cas des comptes producteurs de revenus, leur NAS;
    2. La banque n'a pas décrit clairement la façon dont elle utilise les renseignements personnels pour offrir des services et produits supplémentaires;
    3. En ce qui concerne le NAS, la formulation utilisée sur le formulaire de demande confond une exigence obligatoire (respect de la Loi de l'impôt sur le revenu) avec une utilisation facultative (permettre l'appariement de dossiers de crédit);
    4. Si la banque demande le consentement des demandeurs pour la communication des renseignements à d'autres institutions financières, le formulaire de demande ne précisait pas quels renseignements seraient communiqués, à quelles institutions les renseignements pouvaient être communiqués et les circonstances en l'espèce. De plus, la banque n'a pas expliqué l'objet de la communication continue aux agences d'évaluation du crédit;
    5. Si la conservation des renseignements est bien mentionnée sur le formulaire, la banque ne fournit aucune explication sur ses politiques de conservation des renseignements au sujet de ses anciens clients;
    6. La banque n'a pas expliqué le but et la nature de la « vérification de la solvabilité ».
  • Compte tenu de ce qui précède, le commissaire a déterminé qu'on ne pouvait pas dire que la banque avait rempli la condition des fins « explicitement indiquées » prévue au Principe 4.3.3.
  • En ce qui concerne particulièrement la vérification de la solvabilité, le commissaire a également déterminé que, malgré les dénégations subséquentes de la banque, les vérifications menées auprès des agences d'évaluation du crédit entraînent une sorte de vérification de la solvabilité, en ce sens que le système de vérification vérifie automatiquement les renseignements sur le crédit du demandeur afin d'établir l'admissibilité de celui-ci à une protection contre les découverts auprès de la banque. Même si le commissaire a reconnu que bien des clients sont favorables aux produits de crédit, les demandent et se soumettent volontairement à des vérifications de la solvabilité pour y être admissibles, il considère qu'il est fort peu probable qu'une personne raisonnable considère la politique de la banque relative aux vérifications obligatoires de la solvabilité comme étant indiquée dans une situation comme celle de la plaignante, en ce sens que celle-ci ne demandait pas de produits de crédit de quelque type que ce soit et était disposée à s'en passer. De plus, vu la capacité et la volonté de la banque d'adapter ses procédures d'ouverture de compte dans certaines situations particulières, le commissaire trouve déraisonnable que la banque refuse de faire la même chose pour les personnes qui ne veulent pas avoir des rapports de crédit avec la banque et qui sont disposées à se passer de tout produit susceptible de représenter un risque en matière de crédit pour la banque.
  • Par conséquent, le commissaire n'a pas considéré que la politique de la banque en matière de vérifications obligatoires de la solvabilité, même lorsque des produits de crédit ne sont ni demandés ni souhaités, comme une fin indiquée en vertu du paragraphe 5(3) de la Loi.
  • Enfin, les éléments de preuve indiquent que la banque recueille plus de renseignements qu'il n'est nécessaire aux fins de la vérification de l'identité, ce qui contrevient au Principe 4.3.3. L'information concernant les employeurs actuels et précédents et la durée de l'emploi ne servent que dans le cas où la banque reçoit un avertissement de l'agence d'évaluation du crédit. Le commissaire a indiqué que l'information devrait être clairement indiquée comme étant facultative.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

En ce qui concerne les formulaires d'ouverture de comptes de dépôt personnel, le commissaire a recommandé que la formulation soit modifiée pour indiquer que :

  1. La collecte du nom, de l'adresse, de la date de naissance et de la profession du titulaire du compte est requise par la loi;
  2. La présentation de preuves documentaires relatives à l'identité est requise par la loi;
  3. La participation aux programmes spéciaux fondés sur l'âge est facultative;
  4. La prestation du NAS aux fins de la déclaration de revenus est obligatoire; cependant, la prestation du NAS pour l'appariement des dossiers de crédit est facultative;
  5. La prestation de renseignements concernant l'employeur, l'employeur précédent et la durée de chaque emploi est facultative.

Au sujet de la vérification de la solvabilité, le commissaire a fait les recommandations suivantes :

  1. La banque ne devrait pas faire de demandes de renseignements relatives à l'admissibilité du demandeur à des produits de crédit sauf si elle a déterminé que le demandeur était intéressé à obtenir de tels produits;
  2. Dans les cas où le demandeur s'est montré intéressé à obtenir les produits de crédit rattachés à un compte personnel de dépôt, la banque devrait obtenir un consentement distinct pour la collecte de renseignements sur le crédit (comme le nombre de demandes de renseignements auprès d'agences d'évaluation du crédit et une recommandation de limite pour les découverts);
  3. Sauf dans les cas où le consentement a été accordé pour de telles demandes de renseignements relatives au crédit, la banque devrait modifier le logiciel utilisé pour confirmer l'identité du demandeur auprès de l'agence d'évaluation du crédit de manière à supprimer les champs qui indiquent le nombre de demandes de renseignements faites auprès de l'agence d'évaluation du crédit au cours des 60 derniers jours et la limite recommandée pour les découverts;
  4. La banque devrait mettre en oeuvre des procédures permettant aux personnes qui souhaitent ouvrir un compte de dépôt sans se soumettre à une vérification de la solvabilité de le faire en acceptant des conditions visant à réduire les risques, comme une période de retenue applicable aux chèques déposés;
  5. La banque devrait clarifier, dans les documents explicatifs accompagnant son formulaire de demande d'ouverture d'un compte de dépôt, que les « vérifications » en question seront menées par l'intermédiaire d'une agence d'évaluation du crédit.
Date de modification :