Une représentante utilise de façon frauduleuse les renseignements personnels d’une personne pour émettre une nouvelle carte de crédit à son nom

Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-008

Le 7 juillet 2015


Un couple qui magasinait a été abordé par une représentante d’un fournisseur de services financiers offrant de mettre à niveau la carte de crédit de la femme. Cette dernière a signé une demande et fourni le nom et la date de naissance de son mari après que la représentante eut affirmé en avoir besoin « à des fins de vérification ».

Quelques jours plus tard, le couple a reçu par la poste, sans l’avoir sollicitée, une carte de crédit au nom du mari. Ce dernier a également appris que sa solvabilité avait récemment été vérifiée auprès d’une agence d’évaluation du crédit.

L’homme s’inquiétait du fait que le fournisseur de services financiers avait vérifié sa solvabilité sans son consentement et autorisé l’émission d’une carte de crédit à son nom. Il alléguait que le fournisseur n’avait pas en place de procédures et de politiques adéquates pour protéger ses renseignements personnels.

Lorsque l’homme lui a fait part de ses préoccupations, le fournisseur de services n’a pas été en mesure de produire le formulaire de demande sur papier qu’avait signé sa femme. Il a expliqué avoir pour pratique de détruire les formulaires papier et de les remplacer par une version électronique.

Insatisfait de la réponse du fournisseur, l’homme a déposé une plainte auprès du Commissariat.

Le fournisseur de services a indiqué que les démarcheurs qui offrent des cartes de crédit aux clients dans les magasins sont des représentants indépendants qui ont suivi une formation complète. Il a ajouté avoir mis en place des procédures de vérification pour s’assurer que les représentants respectent ses politiques et procédures, c’est-à-dire qu’ils :

  1. suivent les procédures en se conformant aux normes établies par le fournisseur de services;
  2. remettent aux clients le matériel adéquat et la documentation sur la communication de l’information. Les procédures de vérification visent également à s’assurer que les représentants ne font pas de déclarations trompeuses ou frauduleuses.

Après avoir examiné l’incident à l’interne, le fournisseur de services a conclu que la représentante avait présenté de façon frauduleuse une demande de carte de crédit au nom du plaignant, contrevenant ainsi au protocole en place.

Le fournisseur de services nous a informés qu’il avait pris les mesures suivantes à la suite de cet incident :

  1. mesures disciplinaires contre la représentante en cause;
  2. cessation de la présentation des demandes sur papier, si bien que les représentants doivent utiliser une tablette électronique pour remplir les demandes de carte de crédit;
  3. obligation pour les représentants de soumettre les demandes par voie électronique, de sorte qu’il soit impossible de les modifier lorsqu’elles ont été soumises.

Nous avons conclu que la représentante avait utilisé les renseignements personnels du plaignant, sans son consentement, pour vérifier sa solvabilité, violant ainsi le principe 4.3 (information et consentement).

En outre, il y a eu violation des principes 4.7 et 4.7.1 (mesures de sécurité visant à protéger les renseignements personnels), puisque la représentante a pu falsifier la demande de carte de crédit en utilisant les renseignements personnels du mari.

Toutefois, comme le fournisseur de services avait vérifié les circonstances entourant l’incident et pris des mesures supplémentaires pour éviter qu’il se reproduise, nous avons conclu que la plainte était fondée et résolue.

Leçons apprises

  • Toute personne doit être informée de la collecte, de l’utilisation ou de la communication de renseignements personnels qui la concernent et y consentir.
  • Les organisations doivent s’assurer que leurs employés respectent leurs politiques et leurs procédures relatives à la protection de la vie privée dans le cadre de leurs interactions avec les clients.
  • Les mesures de protection de la vie privée doivent être assez vigoureuses pour protéger les renseignements personnels confiés à l’organisation. Elles doivent en outre faire l’objet d’examens et de mises à jour périodiques.

Rapport de conclusions d’enquête

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE » ou la « Loi »)

Aperçu

Le plaignant alléguait qu’un fournisseur de services financiers (le « fournisseur de services » ou l’« intimé ») avait vérifié sa solvabilité et ouvert à son insu et sans son consentement un compte de carte de crédit à son nom.

Notre enquête a révélé que le fournisseur de services avait mis en place des politiques et des procédures relatives à la vérification des représentants indépendants et des employés et qu’il avait donné à ces derniers une formation sur la protection des renseignements personnels.

Quoi qu’il en soit, l’incident semble attribuable aux actions d’une représentante du fournisseur de services qui a dérogé aux procédures en place et rempli de façon frauduleuse une demande sur papier au nom du plaignant. La représentante ne semble avoir eu aucune difficulté à falsifier la demande sur papier.

Le fournisseur de services a fait enquête sur l’incident et pris des mesures supplémentaires pour éviter qu’il se reproduise; il a entre autres pris des mesures disciplinaires contre la représentante et mis en œuvre une procédure de demande par voie électronique. Il a aussi annulé la demande de carte de crédit du plaignant et supprimé la vérification dans son rapport de solvabilité.

En conséquence, le Commissariat a conclu que la plainte était fondée et résolue.

Résumé de l'enquête

  1. Le plaignant a expliqué au Commissariat qu’en 2013, alors qu’il se trouvait dans un magasin de vente au détail en compagnie de sa femme, une représentante du fournisseur de services a abordé cette dernière en lui offrant de mettre à niveau sa carte de crédit. Elle lui aurait alors demandé le nom et la date de naissance de son mari (le « plaignant ») « à des fins de vérification ».
  2. Environ une semaine plus tard, le plaignant a reçu une nouvelle carte de crédit à son nom, émise par le fournisseur de services. L’enveloppe contenant la carte était toutefois adressée à sa femme. Lorsque celle-ci a voulu faire annuler la carte, on lui a répondu que c’était impossible, car le compte avait été ouvert au nom de son mari. Le plaignant a aussi confirmé auprès d’une agence d’évaluation du crédit que le fournisseur de services avait vérifié sa solvabilité quelques jours auparavant.
  3. Le plaignant et sa femme ont parlé directement avec le fournisseur de services pour lui faire part du problème. En examinant l’information que leur avait remise le fournisseur de services, ils auraient constaté que la copie de la demande produite par le fournisseur n’était pas celle que la femme du plaignant avait signée. En outre, la demande contenait des renseignements figurant sur la carte d’assurance maladie du plaignant, que ni le plaignant ni sa femme n’avaient donnée au fournisseur.
  4. Le plaignant s’inquiétait toujours du fait que le fournisseur de services i) avait vérifié sa solvabilité sans son consentement; ii) avait autorisé l’émission d’une carte de crédit à son nom en utilisant des renseignements erronés; iii) avait utilisé des renseignements figurant sur sa carte d’assurance maladie; et iv) n’avait pas mis en place de procédures et de politiques adéquates pour protéger ses renseignements.
  5. Le fournisseur de services a indiqué au plaignant que la version électronique du formulaire de demande qui lui avait été fournie était le seul formulaire au dossier, car il élimine de façon sécuritaire les documents papier après les avoir numérisés et entrés dans le système.
  6. Le fournisseur de services a également indiqué que la représentante en question avait dérogé aux procédures en place et rempli de façon frauduleuse une demande de carte de crédit au nom du plaignant. Il a pris des mesures disciplinaires en conséquence contre la représentante. Le fournisseur de services a ajouté avoir annulé la carte de crédit et supprimé la mention de la vérification de solvabilité dans le rapport de solvabilité.
  7. Le fournisseur de services a également offert au plaignant et à sa femme une surveillance de leur crédit gratuitement pendant un an ainsi qu’une compensation pécuniaire. Le plaignant a refusé ces deux offres.
  8. Le fournisseur de services a expliqué au Commissariat que la procédure utilisée pour solliciter des demandes de carte de crédit fait appel à un démarcheur indépendant engagé par le fournisseur de services pour offrir des cartes de crédit et d’autres produits aux clients dans les magasins après avoir suivi une formation complète à cette fin.
  9. Le fournisseur de services a fait savoir au Commissariat qu’il avait mis en place des procédures de vérification pour s’assurer que les représentants respectent ses politiques et procédures relatives à la sollicitation des demandes de carte de crédit. Il effectue notamment des vérifications régulières pour s’assurer que ses représentants se conforment aux normes qu’il a établies, remettent aux clients le matériel adéquat et la documentation sur la communication de l’information et ne font pas de déclarations trompeuses ou frauduleuses. Son programme prévoit également un processus de mesures correctives en cas de problème.
  10. Le fournisseur de services a expliqué que si le représentant remplissait tous les champs requis dans une demande, celle-ci était traitée dans le système d’attribution pour être approuvée ou refusée, selon les critères d’octroi de crédit en place. Une fois la demande envoyée, le système ne peut déceler les divergences entre le nom figurant sur la demande et la signature. C’est pourquoi la demande, qui a été déposée de façon frauduleuse au nom du plaignant, a été acceptée même si le plaignant ne l’avait pas signée.
  11. Le fournisseur de services nous a indiqué que les représentants ne sont actuellement pas autorisés à remplacer une carte de crédit par un produit de niveau supérieur et qu’ils n’en ont pas la capacité. Après avoir fait enquête sur l’incident, il a conclu que la représentante avait présenté de façon frauduleuse une demande de carte de crédit au nom de plaignant, contrevenant ainsi à son protocole.
  12. Le fournisseur de services ne sait pas comment la représentante a pu obtenir l’information figurant sur la carte d’assurance maladie du plaignant si sa femme ne la lui a pas fournie. Il a confirmé ne pas avoir eu cette information au dossier avant de recevoir la demande en question.
  13. Le fournisseur de services nous a informés qu’il avait pris les mesures suivantes à la suite de cet incident :
    1. mesures disciplinaires contre la représentante en cause;
    2. cessation de la présentation des demandes sur papier, si bien que les représentants doivent utiliser une tablette électronique pour remplir les demandes de carte de crédit;
    3. obligation pour les représentants de soumettre les demandes par voie électronique, de sorte qu’il soit impossible de les modifier lorsqu’elles ont été soumises.
  14. Le fournisseur de services a fait valoir que l’utilisation de la tablette électronique avait entraîné une diminution des cas de fraude ou d’erreur des représentants, car elle permet au client éventuel d’examiner l’information avant de signer la demande. La tablette a aussi amélioré le suivi et la récupération des demandes.

Application de la loi

  1. Pour rendre notre décision, nous avons appliqué les principes 4.3, 4.7 et 4.7.1 de l’annexe 1 de la Loi.
  2. En vertu du principe 4.3, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
  3. En vertu du principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 précise que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées et que les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Analyse

  1. Il s’agissait en l’occurrence de déterminer si le fournisseur de services avait obtenu le consentement du plaignant avant de recueillir des renseignements personnels le concernant auprès d’une agence d’évaluation du crédit, de les utiliser et de les communiquer pour émettre une carte de crédit à son nom. Selon le principe 4.3, une personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
  2. Selon les faits, le fournisseur de services a eu accès à l’historique de crédit du plaignant qu’avait en sa possession l’agence d’évaluation du crédit. Il s’agissait d’une « interrogation inscrite à la suite d’une demande de créditNote de bas de page 1 » qui supposait l’obtention des renseignements personnels du plaignant. Une carte de crédit a par la suite été émise à son nom sans qu’il en ait fait la demande.
  3. Après réception de la plainte, le fournisseur de services a mené une enquête interne et admis que sa représentante avait porté atteinte à la vie privée du plaignant. Il a expliqué que malgré les procédures de vérification en place pour s’assurer que ses représentants respectent les politiques et les procédures, la représentante en cause avait enfreint les procédures et les protocoles, notamment en ce qui concerne l’obtention du consentement d’une personne dont la solvabilité était vérifiée avant de traiter une demande de crédit.  
  4. En obtenant un rapport de l’agence d’évaluation du crédit concernant le plaignant sans son consentement, l’intimé a violé le principe 4.3.
  5. Conformément aux principes 4.7 et 4.7.1, notre enquête nous a permis de constater que le fournisseur de services avait mis en place des politiques et des procédures pour s’assurer que les représentants indépendants recevaient une formation sur la protection de la vie privée, plus particulièrement sur i) la signification du terme « renseignements personnels »; ii) les lois applicables sur la protection des renseignements personnels; iii) les responsabilités qui incombent au représentant au moment de la collecte des renseignements personnels; iv) les mesures à prendre pour protéger les renseignements personnels.
  6. En dépit des politiques et des procédures en place, la représentante a été en mesure de remplir une demande de carte de crédit au nom du plaignant à l’insu de celui-ci. Cette pratique a été facilitée par l’utilisation d’un formulaire de demande sur papier, qu’elle a pu falsifier sans difficulté. La représentante a ainsi utilisé de façon illicite les renseignements personnels du plaignant pour émettre une carte de crédit non sollicitée, contrevenant non seulement aux principes 4.7 et 4.7.1, mais aussi aux politiques du fournisseur de services et aux ententes conclues avec lui.
  7. Avant l’intervention du Commissariat, le fournisseur de services avait répondu au plaignant, annulé la carte de crédit et supprimé l’interrogation inscrite par l’agence d’évaluation du crédit. Il avait aussi offert au plaignant et à sa femme une surveillance de leur crédit gratuitement pendant un an ainsi qu’une compensation pécuniaire.
  8. Le fournisseur de services avait également mis en place un système de présentation des demandes par voie électronique qui aurait selon lui entraîné une diminution des cas de fraude ou d’erreur des représentants, en plus d’améliorer le suivi et la récupération des demandes.
  9. Le fournisseur de services a étudié la façon dont l’incident s’était produit et pris des mesures supplémentaires afin de prévenir tout autre cas similaire. Il a notamment pris des mesures disciplinaires contre la représentante et mis en œuvre une procédure de demande par voie électronique. Nous considérons donc que l’affaire est résolue.

Conclusion

  1. En conséquence, nous concluons que la plainte est fondée et résolue.

Notes

 

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :