La banque a retranché à juste titre les renseignements concernant l’enquête sur la fraude par carte de crédit

Rapport des conclusions en vertu de la LPRPDE no 2011-010


La plaignante a demandé l’accès à ses renseignements personnels concernant l’enquête de la banque mise en cause sur l’utilisation frauduleuse présumée de sa carte de crédit. La banque mise en cause lui a communiqué des renseignements expurgés et la plaignante s’est plainte au Commissariat parce qu’elle s’est vu refuser l’accès à des renseignements.

Le Commissariat a conclu que la banque mise en cause avait retranché à juste titre les renseignements personnels concernant d’autres personnes, les commandes du système informatique utilisées au cours de l’enquête ainsi que les renseignements générés à la suite de l’enquête sur la fraude présumée.

Nous avons également conclu que les renseignements retranchés pourraient être qualifiés de « renseignements commerciaux confidentiels ». Nous convenons que la communication des renseignements retranchés causerait un préjudice irréparable aux intérêts commerciaux de la mise en cause. La communication de ces renseignements constituerait un manquement aux obligations contractuelles de la mise en cause en matière de confidentialité et présenterait un risque pour les commerçants envers lesquels la banque avait de telles obligations contractuelles.

Le Commissariat a conclu que la plainte était non fondée.

Leçons apprises

  • Les renseignements générés à la suite de l’enquête de la banque sur la fraude présumée par carte de crédit peuvent être considérés comme des renseignements commerciaux confidentiels et, par conséquent, ils font l’objet de l’exemption prévue à l’alinéa 9(3)b) de la LPRPDE. De plus, les renseignements visés peuvent contenir des renseignements sur des tiers qui ne devraient pas être communiqués au demandeur, suivant le paragraphe 9(1). Dans ce cas, le retranchement peut être justifié.

Rapport de conclusions

Plainte déposée aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi)

1. La plaignante soutient que la banque mise en cause (la « mise en cause ») lui a refusé l’accès aux renseignements personnels la concernant de l’enquête sur l’utilisation frauduleuse présumée de sa carte de crédit.

Résumé de l’enquête

2. La plaignante est titulaire d’une carte de crédit émise par la mise en cause. Le 6 novembre 2008, le centre antifraude de la mise en cause a appelé la plaignante au sujet d’une possible utilisation frauduleuse de sa carte de crédit survenue une année plus tôt et l’a informée que sa carte serait par conséquent annulée. La mise en cause a ensuite ouvert une enquête sur la fraude présumée.

3. La plaignante a soumis l’affaire au centre de service à la clientèle de la mise en cause et ensuite au bureau de l’ombudsman. Elle a été avisée que la mise en cause ne communiquait pas aux titulaires de cartes de crédit des renseignements sur des atteintes possibles à l’intégrité de leurs comptes et que l’enquête de la banque était en cours.

4. En réponse à l’insatisfaction de la plaignante et à titre de courtoisie, la mise en cause a crédité de 100 $ le compte de la plaignante.

5. La plaignante était toujours insatisfaite de l’issue de ses plaintes auprès de la mise en cause. Le 18 juillet 2009, la plaignante a présenté une demande d’accès au responsable de la protection de la vie privée de la mise en cause en vue d’obtenir tous les documents relatifs à l’utilisation frauduleuse de sa carte de crédit et à l’annulation subséquente de celle‑ci. Elle a expressément demandé le nom du commerçant chez qui était survenue la fraude présumée.

6. Le 13 août 2009, la mise en cause a communiqué à la plaignante :

  • une copie d’une saisie d’écran du système informatique interne de la mise en cause, en date du 11 août 2009, montrant des détails du compte de carte de crédit de la plaignante (1 page);
  • une copie du contenu du registre des plaintes de la mise en cause, en date du 31 juillet 2009, portant sur le compte de carte de crédit de la plaignante pour la période allant du 21 novembre au 12 décembre 2008 (4 pages).

7. La mise en cause a retranché certains renseignements dans les documents fournis à la plaignante pour protéger les renseignements personnels d’autres personnes ou de ses employés que la plaignante ne connaissait probablement pas. La mise en cause a également retranché plusieurs commandes de son système de technologie de l’information.

8. Insatisfaite des renseignements reçus, la plaignante a déposé auprès du Commissariat une plainte contre la mise en cause concernant l’accès aux renseignements personnels, que nous avons reçue le 27 octobre 2009.

9. Dans ses observations adressées au Commissariat, la mise en cause a défendu le retranchement des noms de diverses personnes ou d’employés, en affirmant que cette mesure était conforme à l’exemption prévue au paragraphe 9(1) de la Loi.

10. La mise en cause a également indiqué que son propre rapport d’enquête interne ne comprenait pas le nom du commerçant en question (c.‑à‑d. le « point de compromission potentiel ») chez qui l’incident serait survenu. Elle a ajouté que, même si le renseignement avait figuré dans le rapport, elle n’aurait pas pu le communiquer puisqu’il faisait partie, à son avis, des renseignements commerciaux confidentiels visés par l’exemption prévue à l’alinéa 9(3)b) de la Loi. Selon la mise en cause, ce type d’information est recueilli pour gérer le risque de fraude au sein de la banque et dans l’ensemble de l’industrie des cartes de crédit.

11. Le Commissariat a examiné les versions non expurgées des documents communiqués à la plaignante. Nous avons également examiné une copie du rapport interne établi par l’équipe d’enquête interne de la mise en cause à la suite de la fraude présumée par carte de crédit.

Application

12. Pour parvenir à nos conclusions, nous nous sommes appuyés sur les principes 4.9 et 4.9.1 de l’annexe 1, les paragraphes 2(1) et 9(1) ainsi que sur l’alinéa 9(3)b) de la Loi.

13. Le principe 4.9 prévoit qu’une organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et du fait qu'ils ont été communiqués à des tiers, et lui permettre de les consulter.

14. Selon le principe 4.9.1, les organisations sont invitées à indiquer la source des renseignements.

15. Aux termes du paragraphe 2(1) de la Loi, un « renseignement personnel » s’entend de tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresses et numéro de téléphone de son lieu de travail.

16. Le paragraphe 9(1) prévoit que l’organisation ne peut communiquer de renseignement à l'intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si un tel renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.

17. L’alinéa 9(3)b) dispose que l’organisation n'est pas tenue de communiquer à l'intéressé des renseignements personnels dans le cas où la communication révélerait des renseignements commerciaux confidentiels.

Constatations

Le 21 février 2011

18. Il s’agit de décider si la mise en cause a refusé l’accès de la plaignante à ses renseignements personnels auxquels elle avait droit selon la Loi.

19. Notre enquête a révélé que la mise en cause avait communiqué à la plaignante des renseignements sur son compte de carte de crédit ainsi que des renseignements tirés du registre des plaintes portant sur son compte de carte de crédit. Nous avons constaté que certains renseignements avaient été retranchés, en partie en application du paragraphe 9(1), pour protéger des renseignements relatifs à des tiers. Après examen d’une version non expurgée des renseignements, nous avons établi que certains renseignements retranchés concernaient le nom de tiers et des numéros d’identification d’employés.

20. Nous estimons, à la suite de notre analyse minutieuse, que le retranchement des renseignements sur des tiers est justifié aux termes du paragraphe 9(1). Par conséquent, la plaignante n’a pas droit aux renseignements retranchés.

21. En ce qui concerne d’autres renseignements retranchés, nous estimons que les commandes du système de technologie de l’information ne relèvent pas de la demande d’accès de la plaignante à ses renseignements personnels. Par conséquent, le retranchement est justifié parce que ces commandes ne peuvent pas être considérées comme des renseignements personnels. Elles pourraient plutôt être qualifiées de « renseignements commerciaux confidentiels » visés par l’exemption prévue à l’alinéa 9(3)b).

22. Certains autres renseignements n’ont effectivement pas été communiqués : ils concernent la plaignante, son compte de carte de crédit et l’enquête de la mise en cause sur l’utilisation frauduleuse présumée de ce compte.

23. Dans de tels cas, la mise en cause manquerait à son devoir si elle ne menait pas d’enquête et ne réduisait pas le risque d’atteinte à l’intégrité des comptes de cartes de crédit de ses clients. La mise en cause aurait donc des motifs légitimes de ne pas communiquer les détails d’une telle enquête, notamment lorsque celle‑ci est en cours.

24. Nous estimons que les renseignements en question peuvent également être qualifiés de « renseignements commerciaux confidentiels » et sont visés par l’exemption prévue à l’alinéa 9(3)b). Les intérêts commerciaux qui sont en jeu en l’espèce visent à préserver les obligations contractuelles de confidentialité. La communication de ces renseignements causerait un préjudice irréparable aux intérêts commerciaux de la mise en cause. De plus, la communication de ces renseignements présenterait un risque pour les commerçants envers lesquels la mise en cause a des obligations contractuelles de confidentialité (dont le point de compromission potentiel dans la présente). La conservation des renseignements confidentiels constitue un intérêt commercial suffisamment important.

Conclusion

25. Par conséquent, la plainte est non fondée.

 

Date de modification :