Une banque améliore ses pratiques de vérification des comptes de carte de crédit en réponse à la plainte d’une cliente
Résumé des conclusions de plainte réglée rapidement no 10
Leçons apprises
- Les organisations devraient limiter aux fins autorisées par la loi la collecte, l’utilisation et la communication des numéros d’assurance sociale (NAS). Certaines organisations du secteur privé sont tenues par la loi de demander le numéro d’assurance sociale de leurs clients ou employés, mais cette information ne devrait pas servir d’identificateur général. Pour obtenir de plus amples renseignements, consultez le document d’orientation du Commissariat intitulé Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé.
Résumé de la plainte
La plaignante, qui voulait obtenir un « compte de crédit vérifié » associé à sa carte de crédit, allègue que la banque émettrice lui a demandé les derniers chiffres de son numéro d’assurance sociale pour créer le compte. La femme voulait utiliser ce compte pour effectuer des paiements par carte de crédit dans certains sites Web commerciaux qu’elle avait visités; lorsqu’elle a tenté de créer le compte par l’intermédiaire du site Web de la banque, le système lui a demandé d’inscrire les six derniers chiffres de son numéro d’assurance sociale avant de l’autoriser à ouvrir une session.
La femme s’est opposée à la pratique de la banque consistant à recueillir les derniers chiffres de son numéro d’assurance sociale pour vérifier son identité. Selon elle, la communication de cette information devrait être facultative ou l’organisation devrait mettre en évidence aux détenteurs d’une carte de crédit demandant un compte de crédit vérifié autre méthode qui ne requiert pas d’information sur le numéro d’assurance sociale.
Insatisfaite de la réponse de la banque à ses préoccupations, la plaignante s’est adressée au Commissariat pour obtenir de l’aide.
La banque a informé le Commissariat qu’il était possible d’ouvrir une session sur son site Web sans communiquer d’information sur le numéro d’assurance sociale pour créer un compte. Selon elle, la cliente pouvait également activer la fonction de vérification de compte directement à partir du site Web commercial qui la demandait, car ces sites peuvent effectuer la vérification par l’intermédiaire d’un portail Web sécurisé, qui est également exploité par la banque (et non par le marchand en ligne), sans toutefois utiliser d’information sur le numéro d’assurance sociale au cours du processus.
La plaignante a fait observer que cette possibilité n’était pas mentionnée ni expliquée sur le site Web de la banque. Les clients n’en sauraient donc rien à moins d’avoir téléphoné à la banque. Néanmoins, la banque a affirmé avec force qu’elle ne contrevenait pas à la LPRPDE en maintenant les pratiques en place.
Résultat
Au moment où il examinait la plainte, le Commissariat a publié les résultats d’une autre enquête dans un dossier présentant plusieurs similitudes avec la plainte sur laquelle porte le présent résuméNote de bas de page 1. Dans l’enquête en question, nous avons conclu qu’une organisation n’avait pas fait preuve de la transparence requise en ne rendant pas facilement accessible l’information sur les autres options permettant de confirmer l’identité d’une personne sans qu’elle ait à fournir les renseignements concernant sa carte de crédit. Lorsque nous avons fait part de cette conclusion à la banque, celle-ci a réexaminé sa position et informé le Commissariat et la plaignante qu’elle mettait fin à ce type de vérification d’identité dans son ensemble et qu’elle avait l’intention de modifier son site Web en conséquence. La plaignante s’est dite satisfaite de la réponse à sa plainte et le Commissariat considère que la question est résolue. Le Commissariat a par la suite confirmé que la banque avait bien modifié son site Web.
Février 2014
- Date de modification :