Banque Nationale du Canada 2016 QCCAI 110676

Extraits pertinents :

Les faits

[2] Selon les informations obtenues lors de cette enquête, la plaignante affirme qu’on lui a demandé de se présenter à une succursale de l’entreprise avec deux pièces d’identité, telles que son passeport, son permis de conduire, son certificat de naissance ou sa carte d’assurance maladie, afin de pouvoir lui émettre la carte de crédit qu’elle avait demandée. Une fois sur place, elle a refusé que l’entreprise recueille une copie de ces pièces d’identité ou qu’elle note le numéro qui y est inscrit. Elle indique que l’entreprise a refusé d’émettre la carte de crédit compte tenu de son refus de lui fournir ses renseignements personnels.

[3] Pour sa part, l’entreprise soutient qu’il n’est pas dans ses pratiques de recueillir une photocopie des pièces d’identité requises pour vérifier l’identité d’un client. Par contre, elle confirme qu’elle consigne le type et le numéro des pièces d’identité présentées dans ses dossiers.

[4] L’entreprise justifie la collecte de ces renseignements en vertu des exigences de vérification de l’identité prévues par la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes2 , plus précisément les articles 54.1, 64 (1.1) et 67 du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes3 ainsi que la Ligne directrice 6G : Tenue de documents et identification des clients – Entités financières du Centre d’analyse des opérations et déclarations financières du Canada (CANAFE)4.

[10] Enfin, l’avis précise à l’entreprise qu’il lui appartient de démontrer le caractère nécessaire de la collecte des renseignements personnels pour l’objet du dossier.

[11] Référant aux passages pertinents des articles 54.1, 64 (1.1) et 67 du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes et aux articles 3.12 et 4.12 de la Ligne directrice 6G7 [...]

[14] De l’avis de l’entreprise, le BSIF considère que les meilleures pratiques dictent d’aller au-delà de la seule pièce d’identité requise par la loi. Elle ajoute que dans le cadre de ses évaluations, le BSIF a déjà indiqué que le fait pour l’entreprise de n’utiliser qu’une seule pièce aux fins de l’identification de ses clients constitue une lacune. Toutefois, l’entreprise ne précise pas dans quel contexte le BSIF a émis ce commentaire et s’il s’applique aux demandes de carte de crédit.

[15] L’entreprise soutient également que, dans le cadre d’une partie importante de ses activités, soit lors de l’ouverture d’un compte bancaire par un particulier, elle est tenue d’exiger deux pièces d’identité9. Elle cite l’article 4 du Règlement sur l’accès aux services bancaires de base, (DORS/2003-184).

Analyse

[40] L’objet de la plainte porte sur la collecte des numéros de deux pièces d’identité et d’une photocopie de ces pièces aux fins de l’obtention d’une carte de crédit.

[41] Selon la Loi sur le privé, une entreprise peut recueillir uniquement les renseignements personnels nécessaires à l’objet d’un dossier :

5. La personne qui recueille des renseignements personnels afin de constituer un dossier sur autrui ou d’y consigner de tels renseignements ne doit recueillir que les renseignements nécessaires à l'objet du dossier.

[42] Les règles prévues par la Loi sur le privé visent à établir un équilibre entre le droit au respect de la vie privée d’une personne et les besoins d’une entreprise en matière de collecte, d’utilisation et de communication de renseignements personnels dans le cadre de l’exercice de ses activités. C’est pourquoi la loi limite la collecte de renseignements personnels par une entreprise à ceux qui sont nécessaires pour réaliser l’objet du dossier qu’elle constitue au sujet d’une personne.

[43] Cette règle est impérative et une entreprise ne peut y déroger, même avec le consentement de la personne concernée21.

[44] Il s’ensuit également que l’entreprise ne peut refuser un bien ou un service à une personne qui s’objecte légitimement à fournir un renseignement personnel non nécessaire à l’objet du dossier constitué à son sujet par l’entreprise.

9. Nul ne peut refuser d’acquiescer à une demande de bien ou de service ni à une demande relative à un emploi à cause du refus de la personne qui formule la demande de lui fournir un renseignement personnel sauf dans l'une ou l'autre des circonstances suivantes: 1° la collecte est nécessaire à la conclusion ou à l’exécution du contrat; 2° la collecte est autorisée par la loi; 3° il y a des motifs raisonnables de croire qu’une telle demande n’est pas licite. En cas de doute, un renseignement personnel est réputé non nécessaire.

[46] Le critère de nécessité applicable aux renseignements recueillis s’interprète à la lumière de la finalité poursuivie par l’organisme ou l’entreprise qui les collecte22.

[48] Dans le présent dossier, l’entreprise convient que les règles en matière de recyclage des produits de la criminalité et de financement des activités terroristes n’exigent pas la collecte de renseignements contenus dans deux pièces d’identité aux fins de l’obtention d’une carte de crédit. Une seule suffit.

[52] D’entrée de jeu, la Commission souligne que le fait que la réglementation prévoit que l’entreprise doive colliger certains renseignements en des circonstances bien précises, par exemple lors de l’ouverture d’un compte, ne justifie pas la nécessité de la collecte des mêmes renseignements dans tous les contextes, que ce soit dans un souci d’harmonisation des pratiques ou pour éviter les erreurs. Une telle pratique ne respecte pas le critère de proportionnalité du test de nécessité en ce qu’il ne constitue pas une atteinte minimale au droit à la vie privée des individus.

[55] En conséquence, le critère de nécessité de la collecte des renseignements personnels que doit respecter l’entreprise ne lui permet pas d’imposer la règle la plus exigeante ou celle qui se présente de façon la plus fréquente en matière d’identification de ses clients à tous les contextes et à des opérations courantes, au seul motif que cette harmonisation des directives qu’elle donne à ses employés est plus pratique et permet d’éviter les erreurs.

[60] En l’espèce, l’entreprise n’a pas fait valoir ni démontré que l’identité de la plaignante, qui s’est présentée dans une de ses succursales pour obtenir une carte de crédit, n’a pu être établie par la présentation d’une seule pièce d’identité. Elle n’a pas justifié en quoi la collecte des seuls renseignements requis par la réglementation précitée était insuffisante. Elle n’a pas davantage expliqué en quoi l’émission d’une carte de crédit, en l’espèce, constitue « un risque inhérent qui justifie l’application de mesures supplémentaires », par exemple pour certaines catégories de clients24 .

[61] Ainsi, la Commission conclut que l’entreprise n’a pas démontré la nécessité de recueillir, dans le contexte du présent dossier, soit une situation bancaire courante, le type et le numéro contenus sur deux pièces d’identité. Elle a donc contrevenu à l’article 5 de la Loi sur le privé en recueillant des renseignements qui n’étaient pas nécessaires à l’objet du dossier, soit l’émission d’une carte de crédit.

[62] De plus, l’entreprise a contrevenu à l’article 9 de la Loi sur le privé en refusant d’émettre la carte de crédit à la plaignante, en raison de son refus de présenter deux pièces d’identité afin que les informations y apparaissant soient recueillies. En effet, ces renseignements n’étaient pas nécessaires à la conclusion ou à l’exécution d’un contrat, leur collecte n’était pas autorisée par la loi et l’entreprise n’a pas démontré qu’elle avait des motifs de croire que cette demande de carte de crédit n’était pas licite.

[63] En ce qui concerne l’exigence d’une copie de ces pièces, les versions des faits de la plaignante et de l’entreprise sont contradictoires. L’entreprise affirme qu’en vertu de ses politiques et de ses pratiques, elle n’exige pas une copie des pièces d’identité; elle recueille uniquement le type de document d’identité et le numéro qu’il contient, tel que le prévoit la réglementation applicable. [...]

[64] La Commission invite tout de même l’entreprise à sensibiliser régulièrement ses employés aux règles relatives à la collecte des seuls renseignements d’identité nécessaires pour l’octroi d’une carte de crédit, dans le contexte d’opérations courantes.

POUR CES MOTIFS, LA COMMISSION :

[68] DÉCLARE la plainte partiellement fondée;

[69] ORDONNE à l’entreprise de cesser de recueillir, de façon systématique, les renseignements non nécessaires à l’ouverture d’un compte de carte de crédit au nom d’une personne, soit ceux apparaissant sur plus d’une pièce d’identité parmi celles mentionnées à l’article 64 (1) du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes;

[70] RECOMMANDE à l’entreprise de rappeler au personnel de ses succursales au Québec qu’une pièce d’identité présentée aux fins de l’émission d’une carte de crédit par une personne ne peut être photocopiée.

Dernière modification : le 14 décembre 2017 à 16 h 25 min.

Lois sur la protection des renseignements personnels

Un site utilisant la Plateforme OpenUM.ca

LPRPSP (QC)

Règlement général sur la protection des données UE 2016/679

LADOPPRP (QC)

LPRPDE (Can)

FIPPA (ON)

Charte des droits et libertés de la personne (QC)

Charte canadienne des droits et libertés

C.c.Q.

LCCJTI

Banque Nationale du Canada 2016 QCCAI 110676

Extraits pertinents :