Extraits pertinents :

[1] La Commission d’accès à l’information (la Commission) est saisie d’une plainte à l’endroit de EB Games (l’entreprise) concernant la collecte de renseignements personnels au sujet de Mme … (la plaignante) lors de l’achat d’un produit à sa succursale située à Jonquière.

[2] La plaignante reproche à l’entreprise d’avoir recueilli des renseignements personnels qui n’étaient pas nécessaires à l’objet du dossier, soit son numéro de permis de conduire.

[5] L’enquête a permis de constater que lorsqu’il y a achat de plus de 500 $ par carte de crédit, l’entreprise vérifie l’identité du client en exigeant la présentation d’une pièce d’identité avec photo. Elle collecte la date de naissance de l’acheteur sur le coupon-caisse dont une copie est conservée. Lors d’un rachat d’un jeu usagé par l’entreprise, elle recueille et conserve le numéro de la pièce d’identité présentée par le client à des fins d’identification.

[9] L’entreprise ajoute que ses pratiques peuvent varier d’un magasin à l’autre puisque les municipalités ont des règlementations différentes. Elle précise que pour les achats de 500 $ et plus avec carte de crédit, elle utilise la pièce d’identité avec photo, uniquement pour comparer la signature du client.

[10] L’entreprise ne fournit aucune autre justification quant à la nécessité de recueillir ces renseignements personnels dans le cadre de ses activités.

Analyse 

[13] La Loi sur le privé s’applique à l’égard des renseignements personnels sur autrui qu’une entreprise de biens ou de services recueille, détient, utilise ou communique à des tiers.

[14] Constitue un renseignement personnel toute information qui concerne une personne physique et permet de l’identifier :

2.Est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier.

[15] En vertu de l’article 5 de la Loi sur le privé, une entreprise ne peut recueillir que les renseignements nécessaires à l’objet d’un dossier, soit en l’espèce la vente ou l’échange de produits. Cet article édicte que :

5.La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l’objet du dossier.Ces renseignements doivent être recueillis par des moyens licites.
[17] L’article 5 de la Loi sur le privé est une disposition impérative et une entreprise ne peut y déroger, même avec le consentement de la personne concernée3.
[18] Il appartient à l’entreprise de démontrer que les renseignements personnels qu’elle recueille au sujet de ses clients sont nécessaires aux fins poursuivies, soit l’achat par carte de crédit d’un bien de plus de 500 $ ou le rachat d’un jeu usagé.
[21] Dans l’affaire Société de transport de Laval c. X., la Cour du Québec a interprété la signification du terme « nécessaire ». En fonction des circonstances propres à chaque situation, l’entreprise doit démontrer ce qui est nécessaire à l’objet du dossier : l’accomplissement d’une activité, l’offre d’un service, etc. Le juge s’exprime comme suit :
[33] Ce principe d’interprétation, voulant que la
nécessité doit être évaluée relativement aux fins pour
lesquelles un renseignement est requis, est conforme à
la lettre et à l’esprit de la loi. Il ne s’agit pas de
déterminer ce qu’est la nécessité en soi, mais plutôt de
chercher, dans le contexte de la protection des
renseignements personnels, et pour chaque situation, ce
qui est nécessaire à l’accomplissement de chaque fin
particulière pour laquelle un organisme public plaide la
nécessité.
[…]
[44] […] Un renseignement sera donc nécessaire non
pas lorsqu’il pourra être jugé absolument indispensable,
ou au contraire simplement utile. Il sera nécessaire
lorsque chaque fin spécifique poursuivie par
l’organisme, pour la réalisation d’un objectif lié à ses
attributions, sera légitime, importante, urgente et réelle,
et lorsque l’atteinte au droit à la vie privée que pourra
constituer la cueillette, la communication ou la
conservation de chaque élément de renseignement
sera proportionnelle à cette fin.
[24] Selon la Commission, la confirmation de l’identité de la personne ne va pas jusqu’à permettre la collecte et la conservation des informations se trouvant sur la pièce d’identité. L’objectif peut être atteint en utilisant un mécanisme moins susceptible de porter atteinte à la vie privée, par exemple en notant quelle pièce d’identité a été présentée pour vérifier l’identité sans toutefois recueillir le numéro de cette pièce.
[26] Finalement, l’entreprise n’a pas démontré que, pour limiter la fraude, il était nécessaire de recueillir des renseignements personnels sur ses clients, en plus de s’assurer de leur identité et de la conformité de leur signature.
[27] Ainsi, la Commission conclut que l’entreprise n’a pas démontré la nécessité de recueillir le numéro d’une pièce d’identité lors de transaction de ses clients dans le cas du rachat d’un jeu.
[28] Elle n’a pas non plus démontré la nécessité de recueillir la date de naissance des clients lors d’achats de 500 $ et plus par carte de crédit.
POUR CES MOTIFS, LA COMMISSION :
[30] DÉCLARE la plainte fondée.
[31] ORDONNE à l’entreprise de cesser de recueillir la date de naissance de ses clients dans les cas d’achats par carte de crédit de plus de 500 $ et de conserver le numéro de la pièce d’identité présentée par ses clients à des fins d’identification lors de rachats de biens.


Dernière modification : le 13 décembre 2017 à 16 h 14 min.