Une banque recueille trop de renseignements personnels sur un client qui souhaite voir sa marge de crédit augmentée

Rapport des conclusions en vertu de la LPRPDE no 2013-009

Le 28 mai 2013


Un client a présenté à sa banque une demande d’augmentation de sa marge de crédit et a précisé que son revenu comprenait un salaire et une prime. Devant la mention d’un type de revenu variable (en sus de son salaire), l’employée de la succursale a demandé au client de lui fournir sa plus récente Déclaration de revenus et de prestations (Déclaration T1 générale) et son avis de cotisation afin de pouvoir vérifier son revenu. Le client ne s’est pas opposé d’emblée à cette demande, mais lorsqu’il est revenu à la banque avec les documents, il a fait part de ses objections en mentionnant qu’il s’agissait d’une atteinte à sa vie privée et en soulignant que les documents renfermaient beaucoup plus de renseignements personnels que nécessaire pour vérifier son revenu. L’employée de la banque a maintenu que les documents étaient essentiels et les a obtenus du client.

Le client a par la suite fait part de ses préoccupations à un employé d’un échelon supérieur. En bout de ligne, l’ombudsman de la banque l’a informé que l’employée avait recueilli les deux documents inutilement puisque la demande aurait pu être approuvée sur la seule base de son salaire, lequel aurait pu être confirmé à l’aide de ses talons de paie. La commissaire adjointe a donc déterminé que la banque avait enfreint les principes 4.3.3, 4.4 et 4.4.1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), car en refusant que la demande du plaignant soit traitée sans la Déclaration T1 générale ou l’avis de cotisation, elle avait fait de la collecte de renseignements non nécessaires une condition de prestation du service.

La banque a expliqué que l’employée n’avait pas suivi la procédure en place. Lorsqu’un client fait part de préoccupations relativement à la collecte de renseignements personnels le concernant qu’il juge superflus aux fins de la vérification de son revenu, l’employé de la banque doit effectuer un suivi, réexaminer la situation du client et déterminer s’il serait possible de recueillir moins de renseignements personnels.

Cependant, selon la commissaire adjointe, la procédure de confirmation du revenu en vigueur à la banque contrevient aux principes 4.4, 4.4.1 et 4.8.1 de la LPRPDE puisqu’elle a mené à la collecte, auprès de certaines personnes, de renseignements personnels qui n’étaient pas nécessaires pour confirmer leur revenu. En outre, en présentant l’option portant moins atteinte à la vie privée uniquement aux personnes qui se plaignaient de ce qu’elles estimaient être une collecte excessive de renseignements personnels, la banque n’a pas respecté son obligation de faire preuve de transparence au sujet de ses politiques et de ses pratiques concernant la gestion des renseignements personnels. Parallèlement, elle n’a pas permis au client d’obtenir sans efforts déraisonnables de l’information au sujet de ses politiques et programmes.

Même si elle soutenait que sa procédure de vérification du revenu n’allait pas à l’encontre des dispositions de la LPRPDE, la banque a tenu compte des suggestions du Commissariat et accepté de réviser sa procédure afin que toutes les personnes qui présentent une demande de crédit soient dorénavant informées de la quantité minimale de renseignements personnels qui pourrait suffire à justifier l’approbation de leur demande. Les demandeurs pourront par la suite choisir quels renseignements personnels ils fourniront dans le cadre du processus de vérification.

La plainte a été jugée fondée et résolue.

Leçons apprises

  • Les organisations doivent s’assurer que les renseignements personnels qu’elles recueillent se limitent aux renseignements nécessaires pour la réalisation des fins indiquées.
  • Les organisations ne doivent pas faire de la collecte de renseignements superflus pour la réalisation des fins indiquées une condition pour fournir au client un produit ou un service.
  • Les organisations doivent faire preuve de transparence au sujet de leurs politiques et de leurs pratiques concernant la gestion des renseignements personnels. Les particuliers doivent pouvoir obtenir sans efforts déraisonnables de l’information au sujet des politiques et des pratiques d’une organisation.

Rapport de conclusions

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi ou la LPRPDE)

Résumé de la plainte

  1. Le plaignant allègue qu’une banque canadienne a fait une collecte excessive de renseignements personnels le concernant après qu’il a présenté une demande d’augmentation de sa marge de crédit et, par conséquent, qu’elle a fait de la collecte de ces renseignements une condition pour la prestation du service.

Résumé de l’enquête

I.  Collecte excessive alléguée de renseignements personnels concernant le plaignant
  1. Le plaignant, qui est un employé salarié, a téléphoné à la banque pour demander, de toute urgence, une augmentation de sa marge de crédit garantie par sa résidence. Il a informé l’employée que son revenu total comprenait un salaire et une prime.
  2. Comme le plaignant avait indiqué que son revenu total comprenait un salaire et une prime, conformément aux procédures établies par la banque, la conseillère financière lui a demandé de fournir son avis de cotisation et sa Déclaration de revenus et de prestations (Déclaration T1 générale) Note de bas de page 1. Sur le coup, le client ne s’est pas opposé à cette demande et aucune discussion n’a donc eu lieu quant à savoir si cette information était nécessaire dans le cadre de sa demande d’augmentation ou s’il existait d’autres options.
  3. La Déclaration T1 générale est un formulaire détaillé rempli par le contribuable et renfermant à la fois des renseignements financiers et non financiers (dont une ventilation des diverses sources de revenu) pour une année d’imposition donnée. Elle peut renfermer des renseignements personnels sur des tiers. L’avis de cotisation, en revanche, est un document résumant les crédits ou les impôts sur le revenu net qui est produit par l’Agence du revenu du Canada (ARC) à la suite de l’examen de la déclaration d’impôts du contribuable.  
  4. Quelques jours plus tard, le plaignant s’est rendu à une succursale de la banque avec les documents susmentionnés en main. Il a signalé à la conseillère financière que la collecte de certains renseignements personnels figurant dans sa Déclaration T1 générale par la banque constituait une atteinte à sa vie privée, mais celle-ci a quand même recueilli son avis de cotisation et les quatre premières pages de sa Déclaration T1 générale. Le plaignant allègue que la conseillère financière lui aurait indiqué que sans ces documents, la banque ne pourrait traiter sa demande de crédit.
  5. La procédure que la conseillère financière aurait dû suivre dans le cadre de la demande d’augmentation de la marge de crédit du plaignant comporte un mécanisme permettant d’envisager la possibilité d’utiliser d’autres documents renfermant moins de renseignements personnels pour confirmer le revenu (pour que le client soit informé de cette possibilité, il faut toutefois qu’il ait fait part de préoccupations relatives à la protection de la vie privée ou à la quantité d’information demandée par la banque).
  6. Après avoir examiné la procédure mise en place par la banque, nous avons conclu que la conseillère financière ne l’avait pas suivie à deux occasions : i) lorsqu’elle a omis d’examiner si d’autres documents contenant moins de renseignements personnels auraient pu suffire après que le plaignant lui a mentionné que la collecte de certains renseignements personnels figurant dans sa Déclaration T1 générale constituait une atteinte à sa vie privée; ii) lorsque, par la suite, elle a omis de demander au plaignant s’il voulait que la question soit transférée à un autre palier d’intervention pour être traitée comme un incident relatif à la protection de la vie privée.
Transfert de la plainte à un autre palier d’intervention
  1. Par la suite, le plaignant a eu plusieurs échanges par courriel avec divers employés de la banque au sujet de ses préoccupations relatives à la protection de la vie privée. Il a fait part de ses préoccupations à des employés d’un autre palier d’intervention de la banque, conformément aux procédures publiées sur le sujet. Au cours du processus, le Service à la clientèle de la banque lui a fourni de l’information sur les procédures de confirmation du revenu de la banque; on lui a expliqué dans un courriel que, puisque son revenu comprenait une prime, la Déclaration T1 générale, l’avis de cotisation, une preuve des paiements des impôts fonciers annuels, une demande d’évaluation de sa résidence actuelle et un formulaire de consentement de l’agence d’évaluation du crédit signé constituaient le strict minimum. Le Service à la clientèle a également informé le plaignant que la banque devait respecter les lignes directrices internes qu’elle avait établies et lui a fait part de la possibilité de transmettre la plainte à un autre palier d’intervention, soit l’ombudsman de la banque.
  2. Le plaignant a alors poursuivi sa démarche, qui a donné lieu à l’examen de sa plainte par l’ombudsman de la banque. Dans une lettre à l’intention du plaignant, l’ombudsman a expliqué la politique de la banque concernant les travailleurs autonomes ou les personnes ayant un revenu variable, ainsi que la nécessité de confirmer leur revenu dans le cadre du processus d’approbation de la banque.
  3. Cependant, l’ombudsman a ensuite présenté ses excuses par écrit au plaignant. Selon lui, le plaignant aurait été mal informé dans cette affaire compte tenu du salaire qu’il touchait. L’ombudsman a répété cette conclusion par la suite, dans un courriel à l’intention du plaignant indiquant que le niveau de confirmation du revenu demandé par sa succursale dépassait ce qui est généralement requis par la banque dans sa situation particulière, et que sa conseillère financière aurait pu simplement lui demander ses deux derniers talons de paie ou examiner les deux derniers paiements par virement automatique de son employeur. L’ombudsman a également indiqué qu’il avait pris des mesures pour informer la succursale du plaignant qu’il s’agissait d’une erreur afin d’éviter que la situation se reproduise.
  4. L’ombudsman a communiqué un message similaire au plaignant dans un autre courriel, où il affirmait qu’une erreur avait été commise dans la mise en œuvre des procédures puisqu’il y avait une autre source qui aurait permis de vérifier son revenu. Ce courriel indiquait également que la banque s’excusait de toute pression que le plaignant aurait pu avoir ressentie en ce qui a trait à la présentation de l’information requise, mais maintenait que la banque n’avait pas enfreint la loi dans sa demande de renseignements initiale. La banque s’est également excusée auprès du plaignant pour toute la frustration que la situation pouvait lui avoir causée.
  5. Le plaignant a, en outre, porté plainte auprès de l’Ombudsman des services bancaires et d’investissement (OSBI), qui lui a répondu qu’en vertu de son mandat, il n’était pas habilité à faire enquête sur une décision d’affaires prise par une banque.
Plainte acceptée par le Commissariat
  1. Comme il était insatisfait que la banque n’ait pas donné suite à toutes ses préoccupations, le plaignant a déposé la présente plainte au Commissariat, qui l’a acceptée le 25 août 2011.
  2. Dans sa plainte, le plaignant alléguait que la banque avait refusé d’examiner sa demande de crédit s’il ne fournissait pas certains renseignements personnels que lui-même jugeait non nécessaires à cette fin. Il a affirmé que la banque exigeait qu’il fournisse ces renseignements s’il voulait obtenir le service.
  3. Il précisait également que la Déclaration T1 générale, qu’il avait fournie à la banque, renfermait 12 types de renseignements qui n’avaient pas du tout trait à son revenu (p. ex. renseignements à l’intention d’Élections Canada pour le Registre national des électeurs, cotisations à une association professionnelle, possession de biens à l’étranger et dons à un organisme caritatif).
  4. Lors des conversations qui ont eu lieu entre le plaignant et le personnel du Commissariat, il a été convenu que, dans le cadre de son enquête, le Commissariat se concentrerait sur l’allégation de collecte excessive de renseignements personnels concernant le plaignant contenus dans la Déclaration T1 générale et l’avis de cotisation, aux fins d’examen de sa demande d’augmentation de sa marge de crédit par la banque.
  5. Par conséquent, nous avons amorcé notre enquête en tenant compte du fait que la Déclaration T1 générale et l’avis de cotisation étaient des documents qui contenaient plus de renseignements sur un particulier que d’autres documents couramment utilisés par la banque et par d’autres institutions financières pour vérifier le revenu d’un particulier (p. ex. talons de chèque ou paiements par virement automatique).
  6. Par ailleurs, nous avons expliqué au plaignant que la LPRPDE ne renferme pas de dispositions permettant de se pencher sur les questions relatives à la qualité du service à la clientèle en général ou de faire enquête sur celles-ci.
Explication de la banque
  1. Dans une lettre adressée au Commissariat, la banque a affirmé que le plaignant avait mentionné que son revenu était composé d’un salaire et d’une prime. Elle jugeait donc raisonnable que la conseillère financière demande au plaignant sa Déclaration T1 générale et son avis de cotisation puisque c’est sur le revenu que doit se fonder l’évaluation d’une demande de crédit.
  2. Cependant, dans ses observations au Commissariat, la banque a également mentionné qu’une fois que le plaignant avait fait part de ses préoccupations, la conseillère financière aurait dû suivre les procédures en place, en vertu desquelles l’employé de la banque doit déterminer si d’autres documents contenant moins de renseignements personnels suffiraient pour donner suite à la demande.
  3. Dans la même lettre, la banque a aussi affirmé que la demande de la conseillère financière concernant la présentation de la Déclaration T1 générale et de l’avis de cotisation était conforme aux obligations de la banque en vertu de la LPRPDE, compte tenu du fait que le plaignant appartenait à la catégorie des personnes ayant un revenu variable.
  4. En outre, nous avons remarqué que lorsqu’il s’est présenté à la succursale bancaire (pour faire part de ses préoccupations relatives à protection de la vie privée), le plaignant n’avait pas signé le formulaire de demande de marge de crédit personnelle de la banque et que celle-ci n’avait pas traité sa demande officielle d’augmentation de sa marge de crédit personnelle. En ce qui a trait aux deux documents fournis par le plaignant, la banque nous a informés qu’ils étaient conservés sous clé dans un tiroir du bureau de la conseillère financière et qu’ils n’avaient pas été communiqués à qui que ce soit, photocopiés ou consultés par d’autres personnes. Par la suite, la banque les a retournés au plaignant sans en faire de copie.
II.  Procédures de la banque
  1. Dans le cadre de notre enquête, nous avons également étudié la procédure adoptée par la banque pour confirmer le revenu du plaignant. Cette procédure s’applique à certains demandeurs de prêt personnel et de crédit que la banque classe dans la catégorie des personnes ayant un revenu variable compte tenu du fait qu’ils ont au moins une source de revenu autre qu’un salaire à temps plein.
  2. Dans les observations qu’elle a formulées à l’intention du Commissariat, la banque a défendu sa procédure puisque, selon elle, elle doit documenter comme il se doit la capacité de rembourser d’un demandeur ayant plusieurs types de revenu ou des types de revenu variables.
  3. La banque a ajouté que la Déclaration T1 générale était requise parce qu’elle fournit une ventilation des différents types de revenu (p. ex. emploi, investissements, location, Régime enregistré d’épargne-retraite) et que l’avis de cotisation ne donne pas ces détails. La banque a soutenu que l’avis de cotisation était lui aussi nécessaire car il peut confirmer de façon précise si le client a des impôts en souffrance à payer. En outre, la banque insiste sur la nécessité des deux documents puisque le revenu total déclaré sur la Déclaration T1 générale d’un particulier, qui est un document produit par le particulier, peut être vérifié par rapport aux chiffres correspondants sur l’avis de cotisation produit par le gouvernement.
  4. La banque a affirmé que sa procédure était raisonnable. Pour appuyer ses propos, elle a cité la décision rendue par la Cour d’appel de l’Alberta dans Leon’s Furniture Limited v. Alberta (Information and Privacy Commissioner),2011 ABCA 94 (Leon’s) pour montrer qu’une entreprise est uniquement tenue de prouver que ses politiques sont « raisonnables ». Elle a repris les propos de la Cour d’appel selon lesquels ce critère n’exige pas que l’organisation donne la priorité, dans tous les cas, à la protection des renseignements personnels d’une personne. Dans sa décision, la Cour d’appel indiquait qu’une entreprise n’avait donc pas à démontrer que l’approche retenue était la meilleure ou la moins envahissante à l’égard de la protection de la vie privée.
  5. La banque a indiqué que le critère visant à déterminer ce qui est raisonnable est un critère objectif, c’est à-dire qu’il correspond au critère de la « personne raisonnable ». Elle a fait valoir qu’elle traitait un grand nombre de demandes de crédit chaque année et que son bureau de la protection de la vie privée n’avait pas reçu d’autres demandes de renseignements concernant ses exigences en matière de communication de renseignements financiers dans le cadre de la présentation d’une demande de crédit.

Cas antérieurs, lignes directrices du Bureau du surintendant des institutions financières et pratiques de l’industrie

  1. Dans ses observations, la banque a fait référence au résumé de conclusions d’enquête du Commissariat no 2003-169Note de bas de page 2, Un particulier conteste la demande de la banque de lui fournir un avis de cotisation à des fins de vérification du revenu, à l’appui de ses propres pratiques – et prétendument de celles d’autres banques – de collecte de renseignements fiscaux d’un client pour évaluer la solvabilité de ce dernier. Dans ce cas antérieur ayant fait l’objet d’une enquête par le Commissariat, une banque a demandé à un travailleur autonome sans revenu de salarié de lui fournir son avis de cotisation dans le cadre de sa demande de crédit. Dans ses conclusions, le commissaire de l’époque avait convenu que l’avis de cotisation – puisqu’il avait été produit par une source officielle indépendante – répondait à l’objectif de la banque visant à vérifier le revenu et à déterminer la capacité financière de personnes non salariées, mais il avait ajouté que la banque recueillait à même l’avis de cotisation plus d’information qu’elle n’en avait besoin pour atteindre ses objectifs et qu’elle exigeait également la présentation de l’avis de cotisation comme condition pour l’obtention de crédit.
  2. Dans ses observations, la banque a également fait référence à la version provisoire de la ligne directrice B-20, Pratiques et procédures de souscription de prêts hypothécaires résidentiels (la ligne directrice), publiée par le Bureau du surintendant des institutions financières (BSIF). La banque soutient que la ligne directrice encourage les banques à obtenir auprès d’emprunteurs éventuels les renseignements pertinents relatifs à l’impôt sur le revenu à partir de formulaires comme le feuillet T4 ou la Déclaration T1 générale ainsi que l’avis de cotisation. Le Commissariat a examiné la ligne directrice, qui a depuis été approuvée et publiée par le BSIF en juin 2012.
  3. Nous avons constaté que la ligne directrice faisait état des attentes du BSIF relativement à la diligence raisonnable dont devraient faire preuve les banques pour évaluer adéquatement la capacité d’un emprunteur à amortir ou à rembourser la dette garantie par une propriété résidentielle. Le principe 2 de la ligne directrice stipule de façon générale que les institutions financières doivent vérifier dans une mesure raisonnable les antécédents, le dossier de crédit et le comportement d’un éventuel emprunteur hypothécaire résidentiel pour bien évaluer la probabilité qu’il remboursera le prêt hypothécaire qu’il souhaite obtenir. Le principe 2 conseille également aux banques de conserver des documents exhaustifs sur les renseignements qui ont motivé l’approbation d’une demande de prêt, y compris la situation relative à l’emploi et la vérification du revenu.
  4. Sous le titre « Vérification du revenu » du principe 3 de la ligne directrice, il est indiqué que, dans le cas des travailleurs autonomes, les institutions financières devraient prendre des mesures raisonnables pour vérifier le revenu (p. ex. avis de cotisation) et obtenir des documents d’entreprise pertinents. (Soulignons par ailleurs que l’exemple de l’avis de cotisation ci-dessus est tiré directement de la ligne directrice.)
  5. Enfin, nous avons constaté que le principe 2 indique expressément que les institutions financières devraient également s’assurer d’obtenir un consentement approprié de la part de l’emprunteur avant d’évaluer sa situation et se conformer aux lois fédérales et provinciales pertinentes sur l’utilisation et la protection des renseignements personnels. À cet égard, le principe 2 cite la LPRPDE en exemple.
  6. Au cours de notre enquête, nous avons interrogé d’autres banques canadiennes au sujet de leurs politiques de vérification du revenu des demandeurs de crédit qui sont des employés salariés recevant des primes et dont la situation est similaire à celle du plaignant. Plusieurs institutions interrogées ont confirmé qu’elles avaient pour politique de vérifier avant tout le revenu à partir de plusieurs sources, par exemple une lettre d’emploi, un talon de paie, des reçus de virement automatique ou un feuillet T4. Elles ont expliqué que c’est seulement après un examen minutieux des premiers documents demandés qu’elles auraient recours à une autre méthode, qui consisterait à demander la Déclaration T1 générale et l’avis de cotisation du demandeur. Une institution financière a expliqué que, dans le cas d’un revenu variable, elle demanderait des documents remontant à trois ans (feuillet T4 ou Déclaration T1 générale, et avis de cotisation).
  7. De façon générale, nous n’avons pas observé une grande uniformité dans les pratiques des banques que nous avons consultées. Enfin, les banques consultées nous ont informés que les circonstances particulières d’une demande de marge de crédit garantie par un immeuble résidentiel n’avaient pas d’incidence sur la procédure de vérification du revenu.

Application 

  1. Pour parvenir à nos conclusions, nous avons appliqué les principes 4.3.3, 4.4, 4.4.1 et 4.8.1 de l’annexe 1 de la Loi.
  2. En vertu du principe 4.3.3, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
  3. En vertu du principe 4.4, une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
  4. Le principe 4.4.1 indique notamment que les organisations ne doivent pas recueillir des renseignements personnels de façon arbitraire. Elles doivent restreindre tant la quantité que la nature des renseignements recueillis à ce qui est nécessaire pour réaliser les fins déterminées.
  5. En vertu du principe 4.8.1, les organisations doivent faire preuve de transparence au sujet de leurs politiques et pratiques concernant la gestion des renseignements personnels. Une personne doit pouvoir obtenir sans efforts déraisonnables de l’information au sujet des politiques et des pratiques d’une organisation. Ces renseignements doivent être fournis sous une forme généralement compréhensible.

Analyse

I.  Collecte excessive alléguée de renseignements personnels concernant le plaignant
  1. Il faut avant tout déterminer si la banque a oui ou non recueilli plus de renseignements personnels sur le plaignant qu’il ne lui en fallait pour approuver sa demande d’augmentation de marge de crédit et si l’obtention de ces renseignements constituait une condition pour la prestation du service. Les principes 4.4 et 4.4.1 stipulent respectivement qu’une organisation ne peut recueillir que les renseignements personnels nécessaires aux fins qu’elle a déterminées et qu’elle doit restreindre tant la quantité que la nature des renseignements personnels recueillis à ce qui est nécessaire pour réaliser les fins déterminées.
  2. En outre, en vertu du principe 4.3.3, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires pour réaliser les fins légitimes et explicitement indiquées.
  3. La banque a admis que sa conseillère financière avait commis une erreur en indiquant au plaignant qu’il devait lui fournir sa Déclaration T1 générale et son avis de cotisation pour que sa demande soit traitée et en n’envisageant pas la possibilité d’accepter d’autres documents après que le plaignant eut fait part de ses préoccupations en matière de protection de la vie privée.
  4. La banque a admis cette erreur au plaignant – beaucoup plus tard et après que la plainte a été transférée à l’ombudsman de la banque – en confirmant que l’information relative à sa prime indiquée sur sa Déclaration T1 générale et sur son avis de cotisation n’était pas nécessaire pour l’approbation de sa demande de crédit et dépassait même les exigences de la banque dans le cas particulier du plaignant. L’ombudsman a affirmé que, dans le cas du plaignant, la demande d’augmentation de la marge de crédit aurait été approuvée en se fondant uniquement sur son salaire, qui pouvait être calculé à partir de documents contenant moins de renseignements personnels, comme un talon de paie ou une preuve de paiement par virement automatique de son employeur.
  5. Il est clair que la Déclaration T1 générale et l’avis de cotisation renferment beaucoup plus de renseignements personnels sur une personne qu’un talon de paie, une preuve de paiement par virement automatique ou une lettre de confirmation de salaire provenant de l’employeur.
  6. Comme il a été montré que les renseignements personnels supplémentaires provenant de la Déclaration T1 générale et de l’avis de cotisation n’étaient pas nécessaires pour approuver la demande du plaignant, la banque a contrevenu aux principes 4.4 et 4.4.1.
  7. En outre, compte tenu de l’insistance de la banque pour obtenir les renseignements supplémentaires non nécessaires à partir de la Déclaration T1 générale et de l’avis de cotisation en vue de donner suite à la demande du plaignant, d’une part, et du refus de la banque de traiter la demande sans ces documents, d’autre part, la banque a également contrevenu au principe 4.3.3.  
II.  Procédures de la banque
  1. La présente section porte sur la procédure de confirmation du revenu adoptée par la banque pour les demandes de prêt personnel ou de marge de crédit émanant de clients que la banque classe dans la catégorie des personnes ayant un « revenu variable ».
Cas antérieurs et lignes directrices du BSIF
  1. Nous avons remarqué que certains arguments avancés par la banque pour défendre sa procédure et sa pratique consistant à demander la Déclaration T1 générale et l’avis de cotisation aux clients ayant un revenu variable ont trait aux situations où aucun revenu ne provient du salaire. Ces situations ne sont pas comparables à celle du plaignant, qui reçoit indéniablement un salaire auquel s’ajoute un revenu supplémentaire (sous la forme d’une prime au rendement).
  2. Par exemple, le résumé de conclusions d’enquête du Commissariat no 2003-169 vise un particulier qui est travailleur autonome. En outre, même si ce résumé de conclusions indique que le commissaire de l’époque a convenu que l’avis de cotisation répondait aux fins de vérification du revenu de la banque et permettait de déterminer la capacité de rembourser dans la situation du travailleur non salarié, il indique aussi que ce même commissaire a souligné que l’avis de cotisation, comme l’a admis la banque à l’époque, contenait aussi des renseignements non nécessaires pour les fins auxquelles ils étaient destinés.
  3. La banque mentionne également la ligne directrice B-20 du BSIF, à laquelle elle affirme devoir se conformer. Toutefois, dans le principe directeur 3 de cette ligne directrice, où l’avis de cotisation figure explicitement parmi les exemples de documents permettant de vérifier le revenu, le contexte vise clairement des emprunteurs qui sont des travailleurs autonomes (c’est-à-dire des emprunteurs n’ayant aucune source de revenu à titre de salariés).
  4. En outre, toujours en ce qui a trait à la ligne directrice B-20 sur les saines pratiques commerciales et financières, nous ne sommes pas d’accord avec l’interprétation de la banque selon laquelle la ligne directrice encourage les banques à obtenir les renseignements fiscaux pertinents, comme la Déclaration T1 générale ou le feuillet T4 ainsi que l’avis de cotisation, auprès de toutes les personnes présentant une demande de prêt. Nous reconnaissons certes la nécessité pour le bailleur de fonds d’évaluer avec justesse le risque, mais notre examen attentif de la ligne directrice ne nous amène pas à croire qu’elle va jusqu’à suggérer de recueillir des renseignements figurant sur les déclarations de revenus auprès de tous les emprunteurs.
  5. Il convient de souligner la recommandation formulée au principe 2, qui conseille aux institutions financières de se conformer aux lois provinciales et fédérales pertinentes en matière de protection de la vie privée (p. ex. la LPRPDE).
Pratiques du secteur
  1. En ce qui a trait aux pratiques courantes adoptées par le secteur financier à l’égard des clients ayant une ou plusieurs sources de revenu variable, l’enquête effectuée par le Commissariat auprès de plusieurs banques canadiennes n’a pas permis de confirmer les affirmations de la banque selon lesquelles ses pratiques suivent de près les pratiques courantes du secteur à cet égard.
  2. La majorité des institutions avec lesquelles nous avons communiqué ont mentionné que leur méthode de vérification du revenu dans des dossiers comme celui du plaignant étaient plus prudentes et progressives en ce qui a trait à la quantité de renseignements personnels qu’elles demandent aux personnes présentant une demande de crédit. En gros, elles vérifient d’abord le salaire des demandeurs ayant un revenu variable (au moyen d’un feuillet T4, d’un talon de paie ou de reçus de paiement par virement automatique) pour déterminer s’ils sont admissibles en tenant compte uniquement de cette source, avant d’envisager de leur demander une Déclaration T1 générale ou un avis de cotisation.
  3. Enfin, soulignons que l’argument de la « pratique courante du secteur » n’est pas valable lorsqu’il s’agit de déterminer s’il y a eu ou non infraction à la LPRPDE dans une situation donnée. Les pratiques et les procédures doivent être évaluées en fonction du contexte et des faits qui leur sont propres pour déterminer si la Loi est respectée.
« Caractère raisonnable »
  1. La banque a mentionné la décision rendue dans l’affaire Leon’s et soutenu que ses politiques constituent un équilibre raisonnable entre le droit à la vie privée et la capacité de la banque à utiliser les renseignements personnels à des fins commerciales raisonnables.
  2. Il convient d’abord de souligner que la décision dans l’affaire Leon’s a été rendue en vertu de la loi albertaine sur la protection des renseignements personnels dans le secteur privé. Or, le cas présent relève de la LPRPDE et le Commissariat doit effectuer son analyse dans le contexte de cette loi. La Cour d’appel fédérale a souligné que l’annexe 1 de la LPRPDE devait être interprétée avec « flexibilité, bon sens et pragmatisme »Note de bas de page 3.
  3. Dans le cas présent, il convient avant tout de déterminer si la mise en cause a respecté ses obligations en vertu des principes 4.3.3, 4.4 et 4.4.1 de la LPRPDE. Les principes 4.4 et 4.4.1 portent sur la « limite » de la collecte de renseignements personnels aux renseignements « nécessaires » aux fins déterminées. Le principe 4.3.3 utilise la même terminologie lorsqu’il est question des renseignements personnels qui sont « nécessaires pour réaliser les fins légitimes et explicitement indiquées » par une organisation.
  4. Selon nous, l’utilisation du terme « nécessaire » dans ces principes renvoie à une norme qui dépasse le simple caractère raisonnable, même si la loi est interprétée avec flexibilité, bon sens et pragmatisme. Une norme fondée sur le caractère raisonnable permettrait à la banque de recueillir des renseignements personnels même s’ils ne sont pas strictement nécessaires pour réaliser les fins indiquées, contrairement à la formulation claire et à l’intention sous-jacentes aux principes 4.3.3, 4.4 et 4.4.1. C’est pourquoi nous n’acceptons pas l’argument avancé par la banque sur ce point.
  5. Après avoir pris connaissance des faits dans le dossier, le Commissariat est convaincu que les renseignements personnels contenus dans les documents demandés au plaignant par la banque n’étaient pas « nécessaires » pour évaluer sa demande. Nous croyons donc fermement, pour les raisons mentionnées ci‑dessus, que la banque ne s’est pas acquittée de ses obligations en vertu de la Loi.
Examen de la procédure de la banque par le Commissariat
  1. L’examen de la procédure de confirmation du revenu adoptée par la banque nous a permis de constater qu’elle contrevenait aux principes 4.4, 4.4.1 et 4.8.1 de la LPRPDE.
  2. À la lumière des éléments de preuve présentés, il semble que la Déclaration T1 générale et l’avis de cotisation soient demandés d’emblée à tous les demandeurs ayant une forme quelconque de revenu variable, même si pour certains salariés ayant également une source de revenu variable, un document tel un talon de paie, qui indique uniquement le salaire, pourrait suffire pour répondre à l’exigence de la banque relative au revenu et faire approuver leur demande.
  3. Nous sommes d’avis que, lorsque la banque demande aux clients dans cette situation de fournir d’emblée des documents justificatifs, par exemple leur Déclaration T1 générale et l’avis de cotisation (qui renferment beaucoup plus de renseignements personnels que nécessaire pour permettre à la banque de confirmer leur revenu et d’évaluer leur demande de crédit), elle ne fait pas preuve d’une transparence suffisante et proactive à propos de sa procédure de confirmation du revenu et de la quantité minimale et du type de renseignements sur le demandeur qui pourraient suffire pour réaliser les fins indiquées.
  4. Bien que la procédure de la banque prévoie un mécanisme susceptible de réduire la quantité de renseignements personnels demandée, cette étape particulière n’est mentionnée qu’après qu’un demandeur s’est opposé à la quantité de renseignements qui lui a été demandée ou a tenté de transférer son dossier à un palier supérieur pour qu’il soit traité comme un incident relatif à la protection de la vie privée. Le Commissariat s’oppose à une telle pratique.
  5. Les raisons de cette opposition sont doubles : d’une part, la banque ne s’acquitte pas, dans le cas de certains demandeurs, de ses obligations en vertu des principes 4.4 et 4.4.1, lesquelles obligations consistent à limiter la collecte de renseignements personnels à ce qui est nécessaire aux fins déterminées et, d’autre part, la banque ne fait pas clairement preuve d’un niveau de transparence acceptable à l’égard de tous les demandeurs, comme l’exige le principe 4.8.1, lorsqu’elle ne leur explique pas d’entrée de jeu comment il serait possible de confirmer leur revenu en utilisant uniquement leur information salariale.
  6. Rappelons qu’en vertu du principe 4.8.1, une personne doit avoir accès « sans efforts déraisonnables » à l’information sur les politiques et les pratiques d’une organisation. Nous sommes d’avis qu’il n’est pas « raisonnable » que la banque attende systématiquement que ses clients s’opposent à une éventuelle collecte excessive de renseignements personnels les concernant pour leur parler des options qui leur permettraient de communiquer un plus petit nombre de renseignements de nature moins sensible tout en répondant de façon satisfaisante à ses exigences. Pour simplifier, disons que la banque ne fait pas preuve d’une totale transparence envers ses clients en ce qui concerne les exigences de sa politique en matière de renseignements personnels.
Demande de modification de la procédure par le Commissariat
  1. Par conséquent, nous avons demandé à la banque de modifier sa procédure.
  2. Nous avons demandé à la banque de faire preuve d’une plus grande transparence en ce qui a trait à ses politiques et à ses pratiques. Nous lui avons demandé d’indiquer à toutes les personnes qui présentent une demande de prêt personnel et de marge de crédit – et ce, dès le début du processus de confirmation du revenu – la quantité minimale de renseignements personnels qui pourrait sans doute suffire pour l’approbation de leur demande. À ce stade du processus d’approbation, nous avons demandé que la banque permette clairement aux demandeurs de choisir les documents faisant état de leurs renseignements personnels qu’ils pourraient présenter.
  3. Ces modifications permettent aux demandeurs ayant un revenu variable de gérer et de choisir librement les renseignements personnels qu’ils communiquent à la banque. Elles diminuent également le risque que la banque recueille ou tente de recueillir auprès de ces demandeurs des renseignements personnels qui ne sont pas nécessaires pour réaliser les fins indiquées. Tout aussi important, elles diminuent le risque que la situation vécue par le plaignant se reproduise.
  4. La banque a fait parvenir au Commissariat une lettre renfermant une version préliminaire de sa procédure révisée, que nous avons jugée claire et acceptable. À nos yeux, la clarté est un critère essentiel pour une telle procédure, compte tenu du fait que notre enquête a révélé que la procédure en place avait été mal interprétée ou mal appliquée par plusieurs employés de la banque lorsqu’ils ont donné suite aux préoccupations formulées par le plaignant.
  5. La banque a par la suite présenté au Commissariat (sans que celui-ci en fasse la demande) une nouvelle version révisée de sa procédure, que nous n’avons pas jugée acceptable. Des discussions entre la banque et le Commissariat ont eu lieu, et en bout de ligne, la banque a accepté de mettre en œuvre la procédure qu’elle avait présentée au départ au Commissariat et que celui-ci avait approuvée.
  6. Selon nous, en vertu de la procédure révisée, la banque doit faire preuve de transparence envers les demandeurs en ce qui a trait à ses politiques et à ses pratiques de confirmation du revenu, y compris la quantité minimale de renseignements personnels sur les demandeurs et le type de documents renfermant l’information qui pourraient suffire pour que leur demande soit approuvée. Soulignons que la banque doit faire preuve de cette transparence d’entrée de jeu, avant de demander quelque document que ce soit au demandeur. Ainsi, une fois mise en œuvre et suivie comme il se doit, cette procédure respectera le principe 4.8.1 et améliorera la conformité aux principes 4.4 et 4.4.1. 
  7. La banque nous a informés que la nouvelle procédure devait être publiée sur son site intranet. En même temps, les employés des succursales seront informés par voie électronique que des modifications ont été apportées à la procédure existante ainsi que de la marche à suivre pour confirmer le revenu d’un demandeur. Le Commissariat a pris connaissance de ce message électronique. Les employés consultent ces messages et ces mises à jour toutes les semaines pour s’assurer qu’ils comprennent, mettent en œuvre et appliquent toute modification.

Conclusion

  1. Par conséquent, la plainte est fondée et résolue.

Autre

  1. Au cours de l’enquête, il est devenu évident pour le Commissariat que les allégations du plaignant concernant les 12 types de renseignements personnels contenus dans la Déclaration T1 générale qu’il juge non pertinents pour évaluer une demande d’augmentation de sa marge de crédit (et le rôle des feuillets T4 aux mêmes fins) sont des questions complexes qui non seulement ont une incidence sur les activités bancaires de l’établissement, mais touchent les pratiques bancaires actuelles de l’ensemble du secteur. Par conséquent, le Commissariat a l’intention de tenir des discussions sur ces questions avec des intervenants à l’échelle du secteur.

 

Date de modification :