Les pratiques de tenue de dossiers d’une banque offrent une protection inadéquate des renseignements personnels

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-380

[Principes 4.3 et 4.7.1 de l’annexe 1]

Leçons apprises

Les banques devraient :

  • s’assurer de garder des preuves de tous les changements apportés à un compte;
  • consigner clairement toute communication de renseignements personnels;
  • préciser en vertu de quel pouvoir elles ont communiqué des renseignements personnels;
  • établir des périodes de conservation appropriées et les mettre en application de façon constante.

Un homme a appris avec surprise que sa banque avait communiquée à sa sœur de l’information sur son compte bancaire sous prétexte qu’elle était l’administratrice de la succession de leur défunte mère. Bien qu’il ait administré les affaires financières de sa mère, et détenu avec elle un compte conjoint, le plaignant a affirmé que le compte en question était seulement à son nom.

La banque n’était pas de cet avis, mais elle n’a pu produire de preuve pour soutenir son affirmation selon laquelle le compte était également au nom de la mère du plaignant. Compte tenu du manque de documentation sur la propriété du compte et de l’incertitude de la banque à savoir si elle avait oui ou non communiqué l’information en question, la commissaire adjointe à la protection de la vie privée s’est étonnée de la mauvaise tenue des dossiers de la banque et a estimé qu’elle offrait une protection inadéquate des renseignements personnels. Elle a fait plusieurs recommandations à la banque pour améliorer ses pratiques de documentation des modifications et de la communication des renseignements personnels. Elle a aussi demandé à la banque d’établir des périodes de conservation – ou de faire en sorte que celles déjà adoptées soient appliquées dans toutes les succursales. La banque s’est conformée à toutes les recommandations et la plainte a été estimée fondée et résolue.

Suit un résumé du déroulement de l’enquête et des délibérations de la commissaire adjointe.

Résumé de l’enquête

Quelques années auparavant, la mère du plaignant lui avait demandé de l’aider à gérer ses finances. La mère et le fils s’étaient entendus pour que ce dernier s’occupe de l’administration des comptes bancaires de sa mère et voie au paiement de ses factures. À cette fin, le plaignant était devenu détenteur conjoint du compte de sa mère à une succursale locale de la banque. Le plaignant a administré ses finances dans ce compte jusqu’à ce qu’il décide qu’il serait plus facile de le faire à partir d’un compte établi dans la ville où il vivait (la mère ne résidait pas dans la même province que le fils). Ce nouveau compte, qui fait l’objet de la présente plainte, contenait de l’argent appartenant à la mère du plaignant. Le plaignant a déclaré qu’il était le seul titulaire du compte, que c’était lui qui l’avait ouvert et qu’il était le seul signataire de la carte de signature. Il a indiqué qu’il avait transféré de l’argent du compte conjoint (de la succursale locale de sa mère) à son propre compte.

Au décès de sa mère, un des frères du plaignant a été nommé administrateur de la succession. Le plaignant lui a communiqué les renseignements sur le compte à partir de la date du décès jusqu’à celle de la fermeture du compte (quelques mois plus tard). Cette information consistait en relevés détaillant des transactions de paiement d’impôts, de factures et d’autres dépenses directement liées aux affaires de la mère. Le plaignant croyait qu’il était tenu de fournir ces renseignements à l’administrateur de la succession.

Plus tard, une des sœurs du plaignant a obtenu de la cour qu’on lui confie le mandat d’administratrice de la succession. En conséquence, tous les documents relatifs aux biens de la mère lui ont été remis, y compris les relevés bancaires que le plaignant avait fournis à son frère. Le plaignant a affirmé que sa sœur, en qualité d’administratrice de la succession de sa mère, avait subséquemment obtenu des renseignements sur le compte en litige relativement à des transactions antérieures à la date du décès de la mère. À l’appui de sa plainte, le plaignant a fait référence à une lettre qui lui a été adressée par l’avocat de sa sœur concernant certains montants prélevés dans le compte. Le plaignant s’est alors rendu compte que la banque avait communiqué à un tiers les transactions faites à partir de son compte. Il a communiqué avec la banque pour se plaindre de la communication non autorisée de ses renseignements personnels et a demandé comment sa sœur avait pu obtenir sans son autorisation des copies de ses relevés bancaires.

Le plaignant a fait valoir que le fait qu’il ait fourni des relevés de ses transactions bancaires au précédent administrateur de la succession après le décès de sa mère, n’autorisait pas la banque à communiquer les relevés antérieurs à son décès. La première fois qu’il a abordé ce sujet avec les employés de la banque, il semblait s’opposer à la communication des renseignements antérieurs au décès de sa mère, parce qu’il croyait qu’il était uniquement tenu de fournir des renseignements postérieurs à son décès. Ce n’est qu’après avoir été informé que l’administratrice de la succession avait le droit d’obtenir des renseignements bancaires antérieurs au décès de la mère, que le plaignant a déclaré que le compte avait été ouvert uniquement à son nom. Bien qu’il ait déjà écrit (dans une lettre adressée à la banque) que le compte était « conjoint », il a tout de même maintenu qu’en réalité, le compte avait été ouvert à son seul nom.

La banque a déclaré que le compte était conjoint et qu’elle devait communiquer les relevés bancaires si l’administratrice de la succession en faisait la demande. Toutefois, la banque a été incapable de prouver ce qu’elle avançait en produisant la carte de signature exigée à l’ouverture du compte ou la demande d’ouverture du compte. Selon la succursale locale du plaignant, les dossiers électroniques peuvent être détruits au bout d’un certain temps, mais les copies papier sont archivées et conservées plus longtemps. Normalement, elles sont conservées cinq ans après la fermeture du compte. On a demandé de refaire une recherche dans les archives, mais sans succès. La banque a déclaré qu’elle n’avait pas de raison d’ajouter le nom de la mère, à moins qu’il s’agisse d’un compte conjoint.

L’enquête a établi que, même si la fermeture du premier compte de la mère et du fils remontait à plusieurs années (plus de cinq ans), la banque a pu fournir la carte de signature montrant qu’il s’agissait d’un compte conjoint.

La banque a aussi pu produire divers relevés bancaires pour le compte en litige. Quand une représentante du Commissariat a rendu visite à la succursale où le compte était détenu, elle a aussi obtenu des copies de documents qu’on n’avait pas fournis au Commissariat quand il avait demandé toute la documentation et qu’on avait affirmé lui avoir tout remis.

Un des relevés bancaires que la banque a fourni au Commissariat était adressé au plaignant et à sa mère. Toutefois, le plaignant a fourni une copie du premier relevé qu’il avait reçu relativement à ce compte. Seul son nom y figure. Selon lui, quand l’argent a été transféré du compte conjoint détenu par lui et sa mère dans la province de résidence de celle-ci au compte en litige, et quand les chèques de pension de la mère ont commencé à être déposés dans ce compte, le nom de la mère a commencé à apparaître sur les relevés. Il a déclaré qu’il n’avait pas abordé cette question avec la banque, étant donné que les chèques de pension étaient versés au compte et qu’il pensait que la banque avait ajouté le nom de sa mère pour éviter des difficultés avec le dépôt direct des chèques.

La banque a répondu qu’il incombait aux détenteurs des comptes de l’aviser des erreurs inscrites sur leurs relevés et que le plaignant ne l’avait pas informée des questions qu’il avait pu avoir au sujet de l’apparition du nom de sa mère sur les relevés.

Quant à la communication supposée des renseignements, la banque a admis qu’elle avait préparé des documents pour l’administratrice de la succession, mais elle ne pouvait confirmer que ces renseignements lui avaient effectivement été remis, car elle n’en avait pas de trace. Le plaignant a déclaré que sa sœur lui avait dit, ainsi qu’à son représentant, qu’elle avait reçu les renseignements de la banque en sa qualité d’administratrice de la succession. Le Commissariat a examiné la documentation envoyée au plaignant par l’avocat de sa sœur, ainsi que la lettre lui demandant de justifier certaines transactions. La documentation comprenait un relevé sur papier de la banque couvrant une période plus longue que les relevés mensuels normaux. La seule façon d’obtenir un tel relevé était probablement d’en faire la demande expresse à la banque.

Conclusions

Rendues le 29 mars 2007

Application : Selon le principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Quant au principe 4.7.1, il énonce que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • La première question à résoudre était de savoir s’il y avait réellement eu communication de renseignements personnels. Bien que la banque n’ait pas pu confirmer effectivement la communication, car elle n’avait consigné nulle part que l’administratrice de la succession était venue prendre les documents, la commissaire adjointe a conclu que tel était le cas, en se basant sur la lettre de l’avocat de la sœur du plaignant et des renseignements qui y étaient joints. Ces renseignements comprenaient un relevé papier de la banque couvrant une période plus longue que les relevés mensuels habituels.
  • La commissaire adjointe a donc conclu que la banque avait communiqué à la sœur du plaignant des renseignements sur son compte bancaire.
  • La question suivante vise à établir si la communication contrevenait ou non aux dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques. En tant qu’administratrice de la succession de sa mère, la sœur du plaignant avait les mêmes droits que la mère. Si le compte était détenu conjointement par le plaignant et sa mère, l’administratrice pouvait consulter les dossiers relatifs au compte sans obtenir au préalable le consentement du plaignant.
  • Le compte était-il conjoint? La preuve (le peu qu’on en avait) était contradictoire. Le plaignant soutenait qu’il était le seul détenteur du compte, mais la banque affirmait le contraire.
  • Toutefois, la banque n’a pu produire la demande d’ouverture ou la carte de signature à l’appui de sa position. Au lieu de cela, elle a affirmé que les relevés bancaires adressés au plaignant et à sa mère prouvaient qu’il s’agissait d’un compte conjoint. Le plaignant a lui aussi produit un relevé antérieur à celui fourni par la banque où seul son nom figurait. Bien que la banque estime qu’il incombe au détenteur du compte de vérifier les renseignements inscrits sur les relevés émis par la banque (la commissaire adjointe a reconnu la justesse de cet argument), le fait de ne pas signaler les erreurs ne signifie pas que les renseignements sont exacts.
  • Plus tard, la banque a fourni des renseignements supplémentaires, à savoir si le compte était conjoint ou non. Elle a exempté de frais le compte ouvert à la succursale locale, conformément à la procédure normale pour les clients de plus de 60 ans. Toutefois, elle n’a fourni au plaignant aucun document pour l’informer qu’elle lui avait accordé cette exemption et pour quelle raison.
  • La commissaire adjointe a noté que personne n’avait jamais contesté que l’argent du compte provenait des chèques de pension faits au nom de la mère et que certains montants qui en avaient été retirés avaient servi à payer des factures pour la mère du plaignant.
  • La banque a aussi noté qu’à un moment donné, les noms des détenteurs avaient été changés. Elle a affirmé que cela pouvait indiquer que le compte, auparavant un compte conjoint exigeant la signature des deux détenteurs, était devenu un compte conjoint exigeant la signature de l’un ou l’autre des détenteurs.
  • Toutefois, la question est de savoir si oui ou non le compte était conjoint. La banque n’avait pas de renseignements sur le compte pour appuyer son point de vue. Le plaignant a toujours été la seule personne à signer des chèques. Si le compte avait été un compte conjoint, la banque n’aurait pas dû honorer de chèques portant une seule signature antérieurement au moment où les deux noms ont commencé à apparaître sur les relevés.
  • À la lumière de tous ces faits, la commissaire adjointe a estimé que ce compte était détenu exclusivement par le plaignant et que la banque avait donc communiqué des renseignements personnels à son insu et sans son consentement. Elle a observé qu’il ne suffisait pas à la banque d’affirmer que c’était un compte conjoint parce que les deux noms étaient inscrits sur les relevés. Il lui fallait apporter des preuves et elle ne l’a pas fait.
  • Ce dernier point a amené la commissaire adjointe à faire observer que la banque avait été négligente dans la tenue des dossiers du compte au point de ne pas assurer une protection adéquate des renseignements personnels du plaignant, car elle ne pouvait fournir de preuves pour étayer ses affirmations sur les détenteurs du compte. Elle ne pouvait non plus confirmer que des documents avaient été effectivement remis à la sœur du plaignant. La commissaire adjointe a fait remarquer que s’il existe une politique sur les périodes de conservation de certains documents, elle n’était pas appliquée avec rigueur, comme le prouvait le fait que la banque avait pu produire des cartes de signature pour un compte bien plus ancien que celui qui faisait l’objet du litige.
  • Étonnée de la négligence apparente de la banque à l’égard de la protection des renseignements personnels du plaignant (et peut-être d’autres clients), la commissaire adjointe a recommandé que la banque améliore ses méthodes de documentation :
  • pour faire en sorte de conserver les preuves des changements apportés à un compte;
  • pour documenter clairement toute communication de renseignements personnels et établir hors de tout doute que les demandeurs ont le droit de les obtenir;
  • pour établir des périodes de conservation ou s’assurer que s’il existe déjà une politique à cet égard, elle est rigoureusement appliquée dans toutes ses succursales.
  • La banque a répondu qu’elle se conformait déjà à ces recommandations ou qu’elle mettait des mesures en place pour ce faire. Par conséquent, la commissaire adjointe a conclu que la banque avait pleinement tenu compte de toutes ses recommandations.

La commissaire adjointe a conclu que la plainte était fondée et résolue.

Voir aussi

#252 La commissaire adjointe examine un cas ayant trait à la conservation d’un document

Date de modification :