Une banque améliore le processus de demande de carte de crédit

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2004-266

[Principes 4.3, 4.3.1, 4.3.7(d), 4.10.2; paragraphes 8(3), 8(4)a)(ii), 8(5), et principe 4.9]

Plainte

Une personne a déposé quatre plaintes comme une banque, affirmant :

1. Que la banque a recueilli et utilisé à son insu et sans son approbation des renseignements personnels pour lui émettre une carte de crédit d'entreprise;
2. Qu'elle a utilisé à son insu et sans son consentement des renseignements personnels pour effectuer une vérification de sa solvabilité;
3. Que la banque l'a empêchée d'avoir accès à ses renseignements personnels; et
4. Que la banque n'a pas voulu répondre à ses préoccupations et à ses plaintes à ce sujet.

Résumé de l'enquête

Selon la plaignante, en janvier 2002, son employeur l'a informée qu'il avait demandé une carte de crédit d'entreprise à son nom et qu'il en avait demandé une supplémentaire au nom de la plaignante afin qu'elle puisse l'utiliser pour les achats de la société. La carte, qu'elle a reçue à la maison, mentionnait à la fois son nom et celui de l'entreprise pour laquelle elle travaillait. Vu que la carte était pour l'usage de l'entreprise, elle préférait recevoir la correspondance pertinente à son travail. Elle a appelé la banque pour demander un changement d'adresse, mais elle n'a pu accéder au compte. Elle a allégué qu'on lui avait refusé l'accès au compte parce que, lorsque qu'elle a fourni son numéro d'assurance sociale et sa date de naissance aux fins d'identification, la banque ne détenait pas les renseignements voulus pour confirmer son identité.

Peu de temps après la réception de la carte, l'employeur de la plaignante lui a demandé de l'accompagner à la banque afin d'obtenir une avance de fonds avec la carte de crédit d'entreprise. La plaignante a acquiescé et elle a immédiatement déposé le plein montant au compte de l'entreprise. Le même jour, elle a fait un chèque du même montant à son employeur pour le compte de l'entreprise.

En mars, elle a reçu le premier état de compte à son adresse résidentielle. Elle a appelé la banque de nouveau pour demander un changement d'adresse et, cette fois, elle a été en mesure de prouver son identité en utilisant son NAS et sa date de naissance. La plaignante a déclaré que lors de cette conversation elle avait appris pour la première fois qu'elle, et non son employeur, était responsable du débit de la carte. Elle a également été informée que ses antécédents personnels en matière de crédit avaient été vérifiés avant l'émission de la carte.

Son employeur a refusé de payer le solde entier de la carte, et la plaignante l'a par la suite acquitté avec son propre argent. Afin d'intenter une action en justice contre son employeur pour la récupération du montant, la plaignante a voulu obtenir une copie du formulaire utilisé pour la demande de la carte de crédit comme preuve que sa signature n'y figurait pas. Elle a fait de nombreuses tentatives par téléphone pour obtenir une copie, de même qu'elle a expliqué les raisons de l'émission de la carte. On lui a d'abord affirmé que la demande était égarée et, ultérieurement, qu'elle n'était pas perdue, mais archivée. Ne recevant toujours pas de copie du formulaire, elle a porté plainte au Commissariat.

Le jour même où elle a déposé une plainte au Commissariat, elle a présenté à sa succursale de la banque en question un formulaire de demande d'accès à des renseignements personnels. Quelques semaines plus tard, la banque lui a écrit pour lui dire qu'elle avait besoin de 30 jours additionnels pour traiter la demande, citant le sous-alinéa 8(4)a)(ii). Un mois plus tard, la banque a écrit à la plaignante, l'informant qu'il n'existait aucun formulaire de demande de carte de crédit d'entreprise, mais qu'une demande en ligne avait été faite en personne à une succursale de la banque fermée depuis.

La banque lui a fourni une copie de la demande, sur laquelle aucun nom de requérant ne figurait. Selon la banque, le processus d'alors permettait l'émission de carte, faisant suite à une demande en ligne du personnel d'une succursale, laquelle était automatiquement approuvée ou rejetée. En cas d'approbation de la demande, la carte était expédiée directement au client. Depuis, la banque a modifié ses procédures pour inclure un formulaire de demande sur papier, qui doit être signé. La banque conserve alors les formulaires. Le Commissariat a constaté que le processus en place à l'époque ne requérait pas de signature.

La banque a contesté la plainte de la plaignante selon laquelle son employeur avait demandé la carte en son nom, déclarant qu'une demande de carte de crédit d'entreprise et son traitement ne pouvaient avoir lieu qu'en présence du client pouvant fournir les renseignements personnels requis. Le personnel de la succursale aurait alors authentifié l'identité du requérant selon la politique de la banque du « besoin de connaître son client ».

L'adresse résidentielle de la plaignante, son NAS et sa date de naissance figuraient sur la demande électronique. La représentante qui a traité la demande ne pouvait se souvenir de la transaction particulière, mais elle a indiqué qu'il aurait été hautement inhabituel pour elle de recueillir des renseignements personnels d'une tierce partie. De plus, comme la plaignante avait été une cliente depuis 1994 (d'une banque avec laquelle la banque mise en cause avait plus tard fusionné), l'information figurait déjà au dossier.

Selon la banque, lors du traitement des demandes de carte de crédit à une succursale, un rapport est acheminé à la section des cartes de crédit de la banque avec les renseignements du requérant pour l'ouverture d'un compte et l'émission d'une carte. Dans ce cas-ci, la date de naissance et le NAS figuraient au rapport, et les données ont été entrées dans le système de gestion des cartes de crédit de la banque lors de l'ouverture du compte.

Quant au consentement, lorsque la banque a envoyé la carte à la plaignante, elle lui a également expédié une convention avec les détenteurs de cartes décrivant les modalités de cette dernière. L'accord stipulait que la signature de la carte ou son utilisation confirmaient l'entente entre le détenteur de la carte et la banque. La plaignante a déclaré qu'elle n'avait pas lu la convention, croyant son employeur lorsqu'il lui a dit qu'elle n'était pas responsable du débit de la carte et que cette dernière était une carte « supplémentaire » pour l'entreprise. Toutefois, ce n'était pas le cas. La carte était une carte de crédit d'entreprise émise au nom de la plaignante, lequel figurait sur la carte. Elle était ainsi responsable de tous les frais et paiements qui pouvaient affecter ses antécédents en matière de crédit et non ceux de l'entreprise.

La plaignante a également allégué que la banque avait effectué une vérification de sa solvabilité sans son consentement afin de lui émettre une carte de crédit. En réponse, la banque a fourni une copie du consentement que la plaignante avait signé en 1994 lors de l'ouverture d'un compte avec la banque avec laquelle la banque mise en cause a plus tard fusionné. Cet accord permettait à la banque d'utiliser les renseignements personnels de la cliente pour effectuer une vérification de sa solvabilité lorsqu'il/elle présenterait une demande de crédit. La banque mise en cause utilise également une entente similaire touchant la prestation de services, mais elle a modifié depuis ses politiques concernant le consentement pour toutes les vérifications de solvabilité. Lors des demandes de crédit, les clients doivent maintenant signer un formulaire de demande de crédit détaillé, incluant le consentement aux vérifications de solvabilité, nonobstant qu'ils aient signé ou pas une entente touchant la prestation de services.

En conclusion, en ce qui concerne l'aide accordée à la plaignante, les documents bancaires prouvaient que la plaignante avait communiqué avec la banque en septembre et en novembre 2002. En janvier 2003, la plaignante a fait part de ses inquiétudes au bureau de l'ombudsman de la banque, lequel a référé son dossier à la section des cartes de crédit de la banque. Selon la banque, cela permettait de répondre aux préoccupations de la plaignante et de lui fournir un suivi régulier de l'état des recherches.

Conclusions

Rendues le 16 avril 2004

Application : Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire; le principe 4.3.1 établit que généralement une organisation obtient le consentement des personnes concernées relativement à l'utilisation et à la communication des renseignements personnels au moment de la collecte; le principe 4.3.7(d) stipule que le consentement peut revêtir différentes formes, par exemple au moment où les personnes utilisent le produit ou le service; le principe 4.10.2 établit quant à lui que les organisations doivent instaurer des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Les procédures relatives aux plaintes devraient être facilement accessibles et simples à utiliser.

Le paragraphe 8(3) établit qu'une organisation saisie d'une demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception; le sous-alinéa 8(4)a)(ii) stipule qu'une organisation peut proroger le délai de traitement d'une période maximale de 30 jours dans le cas où toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible le respect du délai; le paragraphe 8(5) établit que, faute de répondre dans le délai, l'organisation est réputée avoir refusé d'acquiescer à la demande; le principe 4.9 stipule quant à lui qu'une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter.

En ce qui concerne la plainte relative à la collecte et à l'utilisation de renseignements personnels sans le consentement de la plaignante, la commissaire adjointe à la protection de la vie privée a délibéré comme suit :

• Même si l'enquête a permis d'établir que la demande avait été faite en personne, il a été impossible de déterminer l'identité de la personne qui a fait la demande.
• Par conséquent, la commissaire adjointe n'a pu établir que la banque enfreignait le principe 4.3.
• Le principe 4.3.7(d) stipule que le consentement peut revêtir différentes formes, dont l'utilisation d'un produit. Comme la plaignante a utilisé la carte, la commissaire adjointe ne pouvait que conclure qu'elle l'avait acceptée.
• Toutefois, la commissaire adjointe se réjouit que la banque ait modifié depuis ses pratiques et qu'elle exige dorénavant la signature du client pour toutes les demandes de cartes de crédit, éliminant ainsi la possibilité d'une situation telle que décrite par la plaignante.

En ce qui concerne l'allégation que la banque a utilisé les renseignements personnels de la plaignante pour effectuer une vérification de sa solvabilité à son insu et sans son consentement lors du processus de traitement d'une demande de carte de crédit, la commissaire adjointe a délibéré comme suit :

• Bien que la plaignante ait signé un consentement en 1994, autorisant la banque à effectuer une vérification de solvabilité n'importe quand lors des demandes de crédit, la commissaire adjointe a fait remarquer que le Commissariat avait souligné lors de délibérations antérieures relatives au consentement le principe selon lequel la personne devait être informée du fait et des raisons de la collecte ou de la communication de renseignements personnels et ce, au moment de la collecte ou de la communication de ces renseignements.
• La banque ne peut donc invoquer une telle forme de consentement, obtenue huit ans auparavant auprès d'une banque différente lors de l'ouverture d'un compte personnel, pour justifier d'avoir effectué une vérification de la solvabilité lors du processus de traitement d'une demande de carte de crédit d'entreprise.
• Si la banque n'a pas respecté ses obligations en vertu des principes 4.3 et 4.3.1, la commissaire adjointe se réjouit du fait que la banque a modifié depuis ses pratiques et qu'elle exige dorénavant que tous les demandeurs de cartes de crédit signent un formulaire de demande, incluant le consentement à une vérification de la solvabilité.

Compte tenu de l'allégation d'utilisation, la commissaire adjointe a conclu que la plainte était fondée.

Concernant la plainte relative à l'accès, la commissaire adjointe a délibéré ainsi :

• Depuis septembre 2002, la plaignante avait fait plusieurs tentatives pour obtenir une copie du formulaire de demande. Elle a fait une demande officielle par écrit au début d'avril 2003, à laquelle la banque a répondu trois semaines plus tard, disant se prévaloir d'un prolongement de délai de trente jours en vertu du sous-alinéa 8(4)a)(ii). Un mois plus tard, elle a reçu l'information demandée.
• Comme aucune consultation n'a été entreprise pour trouver l'information que la plaignante avait demandée, le prolongement mentionné par la banque n'était pas valable. La banque avait, en effet, déjà entrepris la recherche du document plusieurs mois avant la réception de la demande officielle par écrit.
• La commissaire adjointe n'était pas d'avis que le prolongement était recevable et elle a donc jugé que la banque avait outrepassé le délai de trente jours stipulé au paragraphe 8(3), qu'elle était réputée avoir refusé d'acquiescer à la demande d'après le paragraphe 8(5) et que, par conséquent, la banque n'avait pas respecté ses obligations en vertu du principe 4.9.

Toutefois, comme la plaignante a reçu l'information demandée, la commissaire adjointe a conclu que la plainte relative à l'accès était résolue.

Quant à la façon dont la banque traite les plaintes concernant la manipulation des renseignements personnels, la commissaire adjointe a fait observer qu'en même temps que la plaignante tentait d'obtenir une copie du formulaire de demande, elle demandait également une explication quant à la façon dont la banque était parvenue à lui émettre une carte de crédit d'entreprise, prétendument à son insu et sans son consentement. Après sept mois, toujours sans réponse de la banque, elle a porté plainte au Commissariat. Comme l'a souligné la commissaire adjointe, c'était seulement en raison de l'intervention du Commissariat que la banque a offert à la plaignante une explication des circonstances entourant l'émission de la carte. Elle a donc constaté que la banque n'avait pas respecté ses obligations en vertu du principe 4.10.2.

La commissaire adjointe a conclu que la plainte relative à la conformité était fondée.