La détection de la fraude n’est pas un motif acceptable pour recueillir des numéros de permis de conduire aux fins d’une adhésion à un magasin

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2009-014

[Principes 4.1.4c), 4.2, 4.4, 4.4.1, 4.9; paragraphe 8(3)]

Leçons apprises

  • Les organisations ne doivent recueillir auprès de leurs clients que le minimum de renseignements personnels dont elles ont besoin à des fins d’affaires légitimes. Les clients doivent être informés au moment de la collecte de la raison pour laquelle ces renseignements sont exigés.
  • La collecte et l’utilisation à des fins d’affaires du numéro de permis de conduire d’un client comme numéro d’identification unique n’est pas une pratique acceptable.
  • Les organisations doivent former adéquatement leur personnel à la façon de traiter convenablement les demandes d’accès aux renseignements personnels et leur apprendre les obligations de l’organisation à cet égard.

Lorsqu’elle a présenté une demande d’adhésion dans un magasin, une personne s’est vu demander de donner son numéro de permis de conduire et sa date de naissance. On ne lui a pas expliqué la raison de cette collecte de renseignements personnels et lorsqu’elle a demandé plus tard d’y avoir accès, sa demande d’accès et ses demandes de suivi ont été ignorées jusqu’à ce que le Commissariat avise l’organisation à leur sujet.

La commissaire adjointe a fait des recommandations à l’organisation au sujet de la nécessité d’informer les demandeurs des raisons de la collecte des renseignements personnels, des collectes acceptables de renseignements personnels pour ses demandes d’adhésion et de la nécessité de supprimer de son système en ligne les numéros d’identification uniques recueillis antérieurement.

Voici un résumé de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

Lorsque la personne a présenté une demande d’adhésion au magasin, son numéro de permis de conduire et sa date de naissance ont été relevés sur son permis de conduire et entrés dans la base de données électronique du magasin. On ne lui a pas expliqué la raison de cette collecte.

Accès

À trois reprises au cours d’une période de quatre mois, la plaignante a demandé par écrit l’accès à ses renseignements personnels. Elle n’a pas reçu de réponse. Ce n’est que lorsque l’organisation a été avisée officiellement du dépôt par la personne d’une plainte au Commissariat qu’elle lui a enfin fourni une copie de ses renseignements personnels. L’organisation a expliqué qu’il se peut que ses trois demandes n’aient pas été correctement acheminées par le personnel qui les a reçues. À la suite de la plainte, l’organisation a dû s’assurer que ses employés de première ligne reçoivent une formation pour reconnaître et gérer les demandes de renseignements personnels.

Collecte

En ce qui concerne la collecte des renseignements personnels pour les demandes d’adhésion, nous avons remarqué que le formulaire de demande d’adhésion comportait un champ pour le numéro associé à une pièce d’identité devant être fournie par le demandeur ainsi qu’un champ pour la date de naissance du demandeur. Dans un autre champ, il était indiqué que si le demandeur projetait de payer par chèque, il devait fournir à l’organisation des « renseignements appropriés » [traduction]. Le formulaire de demande n’indiquait pas qu’une vérification de crédit serait effectuée sur toute personne qui choisissait l’option du paiement par chèque.

L’organisation a donné deux raisons pour lesquelles elle avait besoin d’un numéro d’identification unique du client (par exemple, son numéro de permis de conduire ou sa date de naissance complète) : 1) pour détecter et surveiller la fraude; 2) pour effectuer une vérification de crédit sur les membres qui demandent le droit de payer par chèque.

(L’organisation a expliqué par ailleurs qu’elle recueillait aussi la date de naissance des demandeurs pour vérifier qu’ils ont au moins l’âge minimal requis. Cependant, au cours de notre enquête, l’organisation a convenu avec le Commissariat qu’il suffirait à cette fin de confirmer l’âge du demandeur à partir d’une carte d’identité.)

Lorsque nous avons interrogé la mise en cause au sujet de sa première raison de recueillir un numéro d’identification unique du client (pour détecter et surveiller la fraude), elle a déclaré qu’elle utilise ce numéro pour reconnaître les personnes qui se sont adonnées à des activités frauduleuses dans le passé et les empêcher de présenter une nouvelle demande d’adhésion. L’organisation a de plus expliqué que comme elle a un grand nombre de clients, le numéro d’identification unique lui est utile pour distinguer les personnes qui ont des noms communs ou des adresses temporaires.

En ce qui concerne la seconde raison donnée pour la collecte de numéros d’identification uniques (pour procéder à une vérification de crédit sur les clients auxquels on permet de payer par chèque), le Commissariat a consulté les agences d’évaluation du crédit. Elles ont confirmé que le nom et l’adresse d’une personne suffisent pour traiter une demande de rapport de solvabilité. Une adresse antérieure peut être nécessaire si la personne habite à son adresse actuelle depuis moins de trois ans. Par contre, un numéro de permis de conduire n’est pas nécessaire pour effectuer une vérification de crédit et peut même ne pas être utile à cette fin. Cependant, le Commissariat a conclu précédemment que les organisations peuvent recueillir une date de naissance dans le but d’obtenir des rapports de crédit des agences d’évaluation du crédit. Cette information est utile pour vérifier les noms communs.

Conclusions

Rendues le 29 mai 2009

Application : Selon le principe 4.1.4c), les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris la formation du personnel et la transmission au personnel de l'information relative aux politiques et aux pratiques de l'organisation. Le principe 4.9 énonce qu’une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter. Le paragraphe 8(3) stipule que l'organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Le principe 4.2 prévoit que les fins auxquelles les renseignements personnels sont recueillis doivent être mentionnées par l’organisation avant la collecte ou au moment de celle-ci. Le principe 4.4 prévoit que la collecte des renseignements personnels doit être limitée à ce qui est nécessaire aux fins indiquées par l’organisation. Enfin, le principe 4.4.1 énonce que les organisations ne doivent pas recueillir des renseignements personnels de façon arbitraire. On doit restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour arriver aux fins déterminées.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations ci‑dessous.

Accès

  • La mise en cause n’a pas permis à la plaignante d’avoir accès à ses renseignements personnels, ce qui est contraire au principe 4.9, jusqu’à ce qu’elle soit avisée de la plainte déposée au Commissariat. Dans tout le Canada, son personnel a fini par recevoir une formation sur la politique et les procédures de gestion des renseignements personnels de l’organisation, conformément au principe 4.1.4c). La mise en cause a convenu de faire en sorte que le processus de gestion des demandes d’accès demeure un élément important de toute formation future.

Collecte

  • En ce qui concerne la plainte relative à la prétendue collecte excessive de renseignements personnels, la mise en cause a soutenu qu’elle avait besoin d’un numéro d’identification unique aux fins de la détection de la fraude. La commissaire adjointe a souligné que bien que les organisations puissent estimer que certains éléments d’information sont plus commodes à de telles fins, la commodité pour l’organisation ne doit pas l’emporter sur le droit à la vie privée de la personne.
  • Bien qu’elle ait reconnu la commodité de l’utilisation du numéro de permis de conduire comme numéro d’identification unique, la commissaire adjointe a confirmé la position du Commissariat d’après laquelle on ne peut recueillir qu’une quantité limitée de renseignements personnels pour la détection de la fraude, qui n’est pas en soi un motif légitime de collecte d’un numéro de permis de conduire. Elle a rappelé à l’organisation les lignes directrices pertinentes du CPVP pour les détaillants.
  • En ce qui concerne la date de naissance, la mise en cause n’a pas fourni au Commissariat de preuves convaincantes pour étayer son allégation selon laquelle la fraude est un problème important pour elle et n’a pas non plus établi que la collecte de la date de naissance complète des demandeurs soit un moyen efficace de dissuader et de détecter les fraudeurs. Bien que la commissaire adjointe ait admis que la possibilité d’associer à un client un numéro d’identification unique et facilement vérifiable comme la date de naissance puisse être utile pour empêcher les personnes dont les privilèges de membre ont été suspendus d’ouvrir un nouveau compte, aucune preuve n’indique pourquoi il est nécessaire de recueillir à cette fin une date de naissance complète plutôt qu’une date tronquée.
  • La mise en cause a aussi déclaré qu’elle avait besoin du numéro de permis de conduire et de la date de naissance non seulement pour détecter la fraude mais aussi pour effectuer des vérifications de crédit sur les clients auxquels elle accorde le droit de payer par chèque. Les agences d’évaluation du crédit ont avisé le Commissariat que pour effectuer une vérification de crédit, il faut avoir au moins le nom et l’adresse de la personne. La date de naissance complète peut être utile dans certains cas pour confirmer l’identité d’une personne qui a un nom commun. Les numéros de permis de conduire ne sont pas utiles à cet égard et la commissaire adjointe a déterminé que leur collecte contrevient aux principes 4.4 et 4.4.1. Dès que le Commissariat est intervenu dans cette affaire, l’organisation a supprimé le numéro de permis de conduire de la plaignante de sa base de données.
  • De plus, toute raison légitime de recueillir de tels renseignements doit être exprimée au moment de la collecte, conformément au principe 4.2. Le formulaire de demande de la mise en cause indiquait qu’il était nécessaire de fournir une « pièce d’identité appropriée » [traduction] si le demandeur projetait de payer par chèque. Cependant, le formulaire n’expliquait pas qu’une vérification de crédit était nécessaire et ne précisait pas quels renseignements personnels étaient utilisés à cette fin. S’ils avaient cette information, les clients qui ne désirent pas avoir le droit de payer par chèque seraient en mesure de refuser de fournir les renseignements supplémentaires demandés (la date de naissance). Pour ce motif, il y a eu manquement au principe 4.2.
  • Au cours de notre enquête, il est devenu manifeste que la portée des problèmes de confidentialité associés à la collecte et à la conservation des renseignements personnels par la mise en cause n’était pas limitée à la collecte et à la conservation des numéros de permis de conduire. Il est apparu que la mise en cause avait recueilli et conservé les numéros associés à toutes les pièces d’identité que les demandeurs avaient présentées avec leurs demandes d’adhésion, y compris des numéros de passeport, des numéros de carte de citoyenneté et des numéros de carte d’âge de la majorité.

Par conséquent, la commissaire adjointe a recommandé à la mise en cause :

  • de vérifier l’âge et l’identité du demandeur en examinant une pièce d’identité avec photo sans consigner l’information à cette fin;
  • d’obtenir le consentement valable du demandeur à la vérification de crédit en l’avisant qu’une vérification de crédit peut devoir être effectuée avant que le droit de payer par chèque ne soit accordé et que le nom, l’adresse et la date de naissance complète du demandeur seront recueillis et utilisés à cette fin;
  • de recueillir soit le jour et le mois de naissance, soit l’année et le mois de naissance lorsque cette information n’est recueillie qu’aux fins de la prévention et de la détection de la fraude (par exemple, auprès des clients qui ne cherchent pas à obtenir le droit de payer par chèque) et d’indiquer cette fin aux demandeurs;
  • de s’assurer que le personnel de première ligne qui traite les demandes d’adhésion connaît bien la politique et les procédures de gestion des renseignements personnels de la mise en cause;
  • de supprimer de ses bases de données les numéros associés aux pièces d’identité qui ont été recueillis précédemment.

L’organisation a accepté les recommandations concernant les demandes d’adhésion. Elle s’est également engagée à mettre à jour sa déclaration relative à la gestion des renseignements personnels pour informer les personnes de la collecte de la date de naissance partielle aux fins de la prévention et de la détection de la fraude ou, pour celles qui demandent le droit de payer par chèque, de la collecte de la date de naissance complète afin de mener une vérification de crédit et de dissuader les fraudeurs.

Conclusion

La commissaire adjointe a donc conclu que la plainte était résolue.

Date de modification :