COMMISSION D’ACCÈS À L’INFORMATION DU QUÉBEC
Dossier :
110676
Nom de l’entreprise :
Banque Nationale du Canada
Date :
19 octobre 2016
Membre :
M
e
Diane Poitras
DÉCISION
OBJET
ENQUÊTE en vertu de la Loi sur la protection des renseignements personnels
dans le secteur privé
1
.
[1] À la suite d’une plainte, la Commission d’accès à l’information (la
Commission) a procédé à une enquête, conformément à l’article 81 de la Loi sur
le privé, concernant la collecte de renseignements personnels par la Banque
Nationale du Canada (l’entreprise). La plaignante reproche à l’entreprise d’avoir
voulu recueillir les numéros de deux pièces d’identité pour l’émission d’une carte
de crédit.
LES FAITS
[2] Selon les informations obtenues lors de cette enquête, la plaignante
affirme qu’on lui a demandé de se présenter à une succursale de l’entreprise
avec deux pièces d’identité, telles que son passeport, son permis de conduire,
son certificat de naissance ou sa carte d’assurance maladie, afin de pouvoir lui
émettre la carte de crédit qu’elle avait demandée. Une fois sur place, elle a
refusé que l’entreprise recueille une copie de ces pièces d’identité ou qu’elle
note le numéro qui y est inscrit. Elle indique que l’entreprise a refusé d’émettre
la carte de crédit compte tenu de son refus de lui fournir ses renseignements
personnels.
1
RLRQ, c. P-39.1, la Loi sur le privé.
110676
Page : 2
[3] Pour sa part, l’entreprise soutient qu’il n’est pas dans ses pratiques de
recueillir une photocopie des pièces d’identité requises pour vérifier l’identité
d’un client. Par contre, elle confirme qu’elle consigne le type et le numéro des
pièces d’identité présentées dans ses dossiers. Informée de cette version des
faits de l’entreprise, la plaignante réitère que la succursale à laquelle elle s’est
présentée a exigé qu’elle présente deux pièces d’identité afin d’en faire une
photocopie.
[4] L’entreprise justifie la collecte de ces renseignements en vertu des
exigences de vérification de l’identité prévues par la Loi sur le recyclage des
produits de la criminalité et le financement des activités terroristes
2
, plus
précisément les articles 54.1, 64 (1.1) et 67 du Règlement sur le recyclage des
produits de la criminalité et le financement des activités terroristes
3
ainsi que la
Ligne directrice 6G : Tenue de documents et identification des clients – Entités
financières du Centre d’analyse des opérations et déclarations financières du
Canada (CANAFE)
4
.
[5] L’entreprise soutient également que la Commission n’a pas compétence
pour se prononcer sur la présente plainte, pour des raisons constitutionnelles.
Elle a toutefois collaboré à l’enquête et transmis sa version des faits à
l’enquêteur de la Commission.
OBSERVATIONS AU TERME DE L’ENQUÊTE
[6] Après analyse du dossier, la Commission transmet à l’entreprise, le
29 septembre 2014, un avis d’intention l’informant des éléments suivants.
[7] D’abord, l’article 1 de la Loi sur le privé prévoit qu’elle s’applique à toute
personne qui recueille, détient, utilise ou communique à des tiers des
renseignements personnels, à l’occasion de l’exploitation d’une entreprise au
sens de l’article 1525 du Code civil du Québec
5
.
[8] L’avis précise que, selon les informations au dossier, la banque exerce
une activité économique au Québec au sens du C.c.Q. qui implique la collecte,
la conservation, l’utilisation et la communication de renseignements personnels.
En effet, l’article 1525 du C.c.Q. prévoit que l’exploitation d’une entreprise
consiste en l’exercice, par une ou plusieurs personnes, d’une activité
2
L.C. 2000, c.17.
3
DORS/2002-184, le RRPCFAT (articles en vigueur à l’époque de l’avis d’intention).
4
Février 2014, en ligne : http://www.canafe.gc.ca/publications/guide/Guide6/6G-fra.asp#s3-12,
consultée le 7 octobre 2016, la Ligne directrice 6G.
5
RLRQ, c. CCQ-1991, le C.c.Q.
110676
Page : 3
économique organisée, consistant dans la production ou la réalisation de biens,
leur administration ou leur aliénation, ou dans la prestation de services.
[9] L’avis indique également que la Loi sur le privé prévoit qu’une entreprise
ne doit recueillir que les renseignements nécessaires à l’objet d’un dossier
constitué au nom d’un client. De plus, sauf dans les circonstances prévues par
la loi, nul ne peut refuser d’acquiescer à une demande de bien ou de service à
cause du refus de la personne qui formule la demande de lui fournir un
renseignement personnel
6
.
[10] Enfin, l’avis précise à l’entreprise qu’il lui appartient de démontrer le
caractère nécessaire de la collecte des renseignements personnels pour l’objet
du dossier.
[11] Référant aux passages pertinents des articles 54.1, 64 (1.1) et 67 du
Règlement sur le recyclage des produits de la criminalité et le financement des
activités terroristes et aux articles 3.12 et 4.12 de la Ligne directrice 6G
7
, cités
par l’entreprise pour justifier la collecte des identifiants dans le présent dossier,
l’avis d’intention indique que la Commission pourrait ordonner à l’entreprise de :
Cesser de recueillir les renseignements non nécessaires à l’ouverture
d’un compte de carte de crédit au nom d’une personne, soit plus
d’une pièce d’identité parmi celles mentionnées à l’article 54.1a) du
Règlement sur le recyclage des produits de la criminalité et le
financement des activités terroristes;
Prendre les mesures nécessaires afin de rappeler au personnel de
ses succursales au Québec que les pièces d’identité présentées ne
peuvent être photocopiées;
Cesser de refuser l’ouverture d’un compte de carte de crédit pour le
seul motif qu’une personne refuse de fournir un renseignement
personnel non nécessaire à cette fin.
[12] L’entreprise transmet ses observations à la Commission en novembre
2014. Elle soutient qu’à titre d’entreprise de compétence fédérale, elle n’est pas
assujettie à la Loi sur le privé, mais uniquement à la Loi sur la protection des
renseignements personnels et les documents électroniques
8
. Puisqu’elle
considère que la Loi sur le privé ne s’applique pas à elle, l’entreprise soumet
6
Les articles 5 et 9 de la Loi sur le privé sont cités dans l’avis.
7
Il s’agit des articles en vigueur au moment de l’envoi de l’avis d’intention.
8
L.C. 2000, ch. 5, LPRPDE.
110676
Page : 4
que la Commission ne peut se saisir d’une plainte déposée contre elle ni
émettre d’ordonnance exécutoire la visant.
[13] Sous réserve de cette prétention sur la question de compétence,
l’entreprise soumet les observations suivantes relatives aux ordonnances
annoncées dans l’avis d’intention :
Sur la question des photocopies de pièces d’identité, l’entreprise
réitère qu’il ne fait pas partie de ses pratiques d’en exiger une copie;
Sur la question de la collecte de renseignements d’identité afin
d’obtenir une carte de crédit, l’entreprise convient que les règles en
matière de recyclage des produits de la criminalité et le financement
des activités terroristes n’exigent pas stricto sensu que deux pièces
d’identité soient présentées par un client. L’entreprise soutient
toutefois qu’il faut considérer les autres exigences dont elle doit tenir
compte :
Comme vous le savez sans doute, le Bureau du
surintendant des institutions financières (le «BSIF») surveille
et réglemente les banques. Le BSIF a émis diverses lignes
directrices auxquelles les banques doivent se conformer.
L’une d’elles, la Ligne directrice B-8, intitulée Mécanismes
de dissuasion et de détection du recyclage des produits de
la criminalité et du financement des activités terroristes,
prescrit, sur le sujet qui nous intéresse, la chose suivante :
« Même si les normes et politiques d’identification
et de vérification doivent satisfaire aux exigences
minimales prévues par règlement, les IFF
peuvent considérer que l’évaluation des risques
inhérents
justifie
l’application
de
mesures
d’identification
supplémentaires
à
certaines
catégories de clients.
Par
exemple :
le
RRPCFAT
prévoit
les
documents valides émis par l’État qu’il faut utiliser
pour établir avec certitude l’identité du client.
Parmi ces documents figurent, notamment, les
certificats de naissance. Le RRPCFAT permet
l’utilisation de la carte d’assurance sociale (NAS)
pour établir avec certitude l’identité d’un client.
Quand le seul document disponible pour établir
avec certitude l’identité d’un client est le certificat
de naissance ou la carte NAS, et que le risque
évalué de RPC ou de FAT du client est tout sauf
110676
Page : 5
minime, l’IFF doit envisager de prendre des
mesures
d’identification
supplémentaires.
Il
pourrait
s’agir
de
voir
l’original
d’autres
documents d’identification acceptables émis par
l’État, y compris une pièce d’identité avec photo,
émise par l’État, ou, si ces documents ne sont
pas disponibles, d’autres preuves crédibles de
vérification de l’identité du client comme un relevé
d’impôt foncier ou une facture de services
publics. »
(voir : http://www.osfi-bsif.gc.ca/Fra/Docs/b8.pdf,
p. 24)
[14] De l’avis de l’entreprise, le BSIF considère que les meilleures pratiques
dictent d’aller au-delà de la seule pièce d’identité requise par la loi. Elle ajoute
que dans le cadre de ses évaluations, le BSIF a déjà indiqué que le fait pour
l’entreprise de n’utiliser qu’une seule pièce aux fins de l’identification de ses
clients constitue une lacune. Toutefois, l’entreprise ne précise pas dans quel
contexte le BSIF a émis ce commentaire et s’il s’applique aux demandes de
carte de crédit.
[15] L’entreprise soutient également que, dans le cadre d’une partie
importante de ses activités, soit lors de l’ouverture d’un compte bancaire par un
particulier, elle est tenue d’exiger deux pièces d’identité
9
.
[16] L’entreprise ajoute que ces mesures trouvent leur justification dans les
lourdes obligations qui lui incombent, visant à bien connaître ses clients et à les
identifier avec certitude. Elle affirme que ces mesures servent aussi les intérêts
des clients, car elles permettent une protection accrue contre l’usurpation de
leur identité.
[17] L’entreprise conclut en ces termes :
En somme, la pratique qui consiste à demander deux pièces
d’identité permet de concilier les différentes exigences qui
s’imposent à la Banque dans divers contextes, de respecter
de saines pratiques de gestion et d’assurer une cohésion et
harmonisation nécessaires sur le plan opérationnel dans la
méthode d’identification et les pratiques de la Banque ne
serait-ce que pour éviter les erreurs. Elle permet de maintenir
un juste équilibre entre les besoins légitimes de la Banque,
9
Elle cite l’article 4 du Règlement sur l’accès aux services bancaires de base,
(DORS/2003-184).
110676
Page : 6
d’une part, et les intérêts ainsi que la protection de la vie
privée de ses clients, d’autre part. À notre humble avis, il s’agit
d’une pratique et d’une collecte conformes au droit.
ANALYSE
[18] La Commission doit déterminer si l’entreprise respecte les dispositions de
la Loi sur le privé relatives à la collecte de renseignements personnels, à la
lumière des faits révélés par l’enquête dans le présent dossier.
[19] Elle doit également disposer des arguments de l’entreprise concernant sa
compétence à l’égard de la présente plainte.
La compétence de la Commission
[20] L’entreprise estime qu’elle est assujettie uniquement aux dispositions de
la LPRPDE et non à la Loi sur le privé parce qu’elle est une entreprise fédérale.
Elle soutient donc que la Commission n’a pas compétence pour faire enquête et
rendre une décision à son égard.
[21] L’analyse de cette question, effectuée dans une décision récente
10
portant sur une autre plainte portée contre les pratiques de l’entreprise,
s’applique également en l’espèce. La Commission reprend donc l’essentiel de
cette analyse dans le présent dossier.
[22] En matière de surveillance, la Commission a compétence notamment
pour faire enquête sur l’application de la Loi sur le privé :
81. La Commission peut, de sa propre initiative ou sur la
plainte d’une personne intéressée, faire enquête ou charger
une personne de faire enquête sur toute matière relative à la
protection des renseignements personnels ainsi que sur les
pratiques d’une personne qui exploite une entreprise et
recueille, détient, utilise ou communique à des tiers de tels
renseignements.
[23] Selon son article 1, la Loi sur le privé s’applique à toute personne qui
recueille, détient, utilise ou communique à des tiers des renseignements
personnels, à l’occasion de l’exploitation d’une entreprise au sens de l’article
1525 du C.c.Q. :
10
Banque nationale du Canada, CAI 061063, 28 septembre 2016.
110676
Page : 7
1. La présente loi a pour objet d’établir, pour l’exercice des
droits conférés par les articles 35 à 40 du Code civil en
matière de protection des renseignements personnels, des
règles particulières à l’égard des renseignements personnels
sur autrui qu’une personne recueille, détient, utilise ou
communique à des tiers à l’occasion de l’exploitation d'une
entreprise au sens de l’article 1525 du Code civil.
Elle s’applique à ces renseignements quelle que soit la nature
de leur support et quelle que soit la forme sous laquelle ils
sont
accessibles:
écrite,
graphique,
sonore,
visuelle,
informatisée ou autre. [...]
[24] Selon l’article 1525 du C.c.Q., l’exploitation d’une entreprise constitue
l’exercice, par une ou plusieurs personnes, d’une activité économique
organisée, consistant dans la production ou la réalisation de biens, leur
administration ou leur aliénation, ou dans la prestation de services.
[25] À la lumière des informations au dossier de la Commission, l’entreprise
offre notamment, au Québec, des services bancaires et de cartes de crédit.
[26] Elle exerce donc, au Québec, une activité économique organisée de
nature commerciale qui consiste à offrir divers services financiers, incluant l’offre
de cartes de crédit. Il s’agit donc d’une entreprise au sens de l’article 1525 du
C.c.Q. L’exercice de cette activité économique implique la collecte, la
conservation, l’utilisation et la communication de renseignements personnels,
comme en témoigne le formulaire de demande de crédit transmis par la
plaignante.
[27] Pour ces motifs, l’entreprise rencontre les critères d’assujettissement de
la Loi sur le privé.
[28] Toutefois, elle prétend qu’à titre de banque, elle est soumise uniquement
aux règles fédérales en matière de protection des renseignements personnels.
[29] La Commission n’est pas de cet avis.
[30] Pour conclure à l’inapplicabilité de la Loi sur le privé comme le soutient
l’entreprise, la Commission devrait être convaincue que cette loi affecte un de
ses éléments vital ou essentiel, au point d’entraver le plein exercice de la
compétence fédérale en matière de banques
11
. Cette conclusion doit reposer
11
Banque de Montréal c. Marcotte, 2014 CSC 55; Banque canadienne de l’Ouest c. Alberta,
2007 CSC 22.
110676
Page : 8
sur des éléments concrets et probants et non sur la seule allégation de
l’entreprise. Comme l’a souligné récemment la Cour suprême
12
:
[63] Quoique l’exclusivité des compétences demeure une
doctrine constitutionnelle valide, la Cour a dénoncé le recours
exagéré à celle‐ci. Une application élargie de cette doctrine
est à contre‐courant de la conception moderne du fédéralisme
coopératif qui préconise l’application, dans la mesure du
possible, des lois adoptées par les deux ordres de
gouvernement. [...]
[64] Dans les rares circonstances dans lesquelles la doctrine
de l’exclusivité des compétences s’applique, la loi provinciale
sera inapplicable dans la mesure où son application
« entraverait » le contenu essentiel d’une compétence
fédérale. Il y a entrave lorsqu’il y a « atteinte grave ou
importante » à la compétence fédérale, particulièrement à
notre « époque de fédéralisme coopératif souple » [...].
[31] Dans l’affaire Banque de Montréal c. Marcotte
13
, la Cour conclut à
l’application de dispositions de la Loi sur la protection du consommateur
14
aux
banques en ces termes :
[68] [...] Les dispositions de la L.P.C. n’empêchent pas les
banques de prêter de l’argent ou de convertir des devises;
elles exigent seulement que ces frais de conversion soient
mentionnés au consommateur.
[69] [...] Les dispositions qui prévoient la mention des frais et
les recours possibles ont effectivement une incidence sur la
façon dont les banques exercent un certain aspect de leurs
activités, mais, comme nous l’avons vu précédemment, cette
incidence ne saurait être assimilée à une entrave. Il est difficile
d’imaginer comment ces dispositions pourraient forcer le
Parlement à légiférer de manière à les écarter, à défaut de
quoi, sa capacité de réaliser l’objectif pour lequel la
compétence exclusive sur les banques lui a été attribuée
serait entravée. [...]
[32] Dans le présent dossier, l’entreprise n’a fourni aucun élément concret
permettant à la Commission de conclure que les règles relatives à la collecte
12
Banque de Montréal c. Marcotte, préc., note 11.
13
Id.
14
RLRQ, c. P-40.1, la LPC.
110676
Page : 9
des renseignements faisant l’objet de la plainte constituent une entrave au
contenu essentiel de la compétence fédérale sur les banques
15
. Elle s’est
limitée à invoquer le fait qu’elle était une entreprise de compétence fédérale.
[33] Or, plusieurs entreprises ont, dans le cadre de leurs activités, à bien
connaître leurs clients et à valider leur identité afin de bien gérer les risques. Il
ne s’agit pas d’enjeux propres au domaine bancaire. Plusieurs des dispositions
réglementaires et des directives invoquées par l’entreprise afin de justifier la
collecte des renseignements ne sont pas propres aux banques et s’appliquent à
des caisses ou à d’autres entreprises.
[34] Au surplus, comme l’indique la Cour suprême, « le simple fait que le
Parlement ait légiféré sur une matière n’empêche pas les provinces de légiférer
sur la même matière [...] »
16
, d’autant plus lorsque cette matière se situe dans le
cadre de leur compétence constitutionnelle.
[35] Quant à la doctrine de la prépondérance fédérale, elle ne s’applique
qu’en cas de conflit entre la loi fédérale et la loi provinciale. La Cour suprême
indique que s’il est possible pour une entreprise de se conformer aux lois
fédérale et provinciale en satisfaisant aux critères de la loi la plus stricte, il n’y a
pas de conflit
17
. De plus, c’est à la partie qui invoque la prépondérance fédérale
qu’incombe le fardeau de la preuve : elle « doit d’abord établir l’objet de la loi
fédérale pertinente et ensuite prouver que la loi provinciale est incompatible
avec cet objet »
18
.
[36] La Commission comprend des décisions récentes de la Cour suprême
qu’il faut favoriser une interprétation visant la conciliation des lois provinciales et
fédérales applicables à une situation donnée, surtout lorsque les deux lois
poursuivent, par des moyens semblables, le même objet et la même finalité.
[37] En l’espèce, la Loi sur le privé et la LPRPDE visent le même objectif, soit
la protection des renseignements personnels et, par conséquent, la protection
du public. Elles limitent toutes deux la collecte de renseignements personnels et
prévoient que seuls les renseignements nécessaires peuvent être recueillis par
une entreprise
19
. L’entreprise n’a pas démontré l’existence d’un conflit entre ces
lois dans le présent dossier.
15
Voir notamment : Banque canadienne de l’Ouest c. Alberta, préc., note 11.
16
Banque de Montréal c. Marcotte, préc., note 11.
17
Procureur général de la Colombie-Britannique c. Lafarge Canada Inc., 2007 CSC 23,
paragr. 113.
18
Banque de Montréal c. Marcotte, préc., note 11, paragr. 73.
19
Article 5 de la Loi sur le privé et article 5 et principe 4.4 de l’annexe de la LPRPDE.
110676
Page : 10
[38] Par ailleurs, la Commission est d’avis que les dispositions des lois
fédérales invoquées par l’entreprise pour justifier la nécessité de la collecte de
deux identifiants en l’espèce ne sont pas en contradiction avec les dispositions
de la Loi sur le privé. En effet, dans la mesure où ces lois ou la réglementation
pertinente obligent une entreprise à recueillir certains renseignements
personnels au sujet d’individus, la nécessité de la collecte de ces
renseignements sera démontrée
20
. Là encore, l’entreprise n’a pas démontré de
conflit entre ces lois et la Loi sur le privé.
[39] La Commission conclut donc que la collecte de renseignements
personnels faisant l’objet de la présente plainte est soumise aux règles
applicables de la Loi sur le privé et qu’elle a compétence pour statuer sur celle-
ci.
Collecte de renseignements personnels par l’entreprise
[40] L’objet de la plainte porte sur la collecte des numéros de deux pièces
d’identité et d’une photocopie de ces pièces aux fins de l’obtention d’une carte
de crédit.
[41] Selon la Loi sur le privé, une entreprise peut recueillir uniquement les
renseignements personnels nécessaires à l’objet d’un dossier :
5. La personne qui recueille des renseignements personnels
afin de constituer un dossier sur autrui ou d’y consigner de tels
renseignements ne doit recueillir que les renseignements
nécessaires à l'objet du dossier.
[42] Les règles prévues par la Loi sur le privé visent à établir un équilibre
entre le droit au respect de la vie privée d’une personne et les besoins d’une
entreprise en matière de collecte, d’utilisation et de communication de
renseignements personnels dans le cadre de l’exercice de ses activités. C’est
pourquoi la loi limite la collecte de renseignements personnels par une
entreprise à ceux qui sont nécessaires pour réaliser l’objet du dossier qu’elle
constitue au sujet d’une personne.
[43] Cette règle est impérative et une entreprise ne peut y déroger, même
avec le consentement de la personne concernée
21
.
20
Voir par exemple : Visa Desjardins, C.A.I. 1006032, 9 février 2015; Valeurs Mobilières
Desjardins (Disnat), C.A.I. 081125, 8 octobre 2014.
21
Voir notamment : Laval (Société de transport de la Ville de) c. X., [2003] C.A.I. 667 (C.Q.),
l’affaire Laval; Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 93, 97;
110676
Page : 11
[44] Il s’ensuit également que l’entreprise ne peut refuser un bien ou un
service à une personne qui s’objecte légitimement à fournir un renseignement
personnel non nécessaire à l’objet du dossier constitué à son sujet par
l’entreprise.
9. Nul ne peut refuser d’acquiescer à une demande de bien
ou de service ni à une demande relative à un emploi à cause
du refus de la personne qui formule la demande de lui fournir
un renseignement personnel sauf dans l'une ou l'autre des
circonstances suivantes:
1° la collecte est nécessaire à la conclusion ou à l’exécution
du contrat;
2° la collecte est autorisée par la loi;
3° il y a des motifs raisonnables de croire qu’une telle
demande n’est pas licite.
En cas de doute, un renseignement personnel est réputé non
nécessaire.
[45] Le fardeau de démontrer le caractère nécessaire de la collecte de
renseignements personnels pour l’objet d’un dossier repose sur l’entreprise, tel
qu’indiqué dans l’avis transmis par la Commission à cette dernière en 2014.
L’article 9 de la loi prévoit qu’en cas de doute, un renseignement personnel est
jugé non nécessaire.
[46] Le critère de nécessité applicable aux renseignements recueillis
s’interprète à la lumière de la finalité poursuivie par l’organisme ou l’entreprise
qui les collecte
22
.
[47] Selon le test proposé par la Cour du Québec
23
, la nécessité de la collecte
des renseignements sera démontrée si cette dernière vise la réalisation d’un
objectif lié à l’objet du dossier qui est légitime, important, urgent et réel, et si
X. et Skyventure Montréal, C.A.I. 101888, 16 septembre 2013, c. Desbiens; X. et Lépine
Cloutier Ltée, C.A.I. 080943, 14 mars 2014, c. Poitras.
22
Laval (Société de transport de la Ville de) c. X., préc., note 21; Grenier c. Centre hospitalier
universitaire de Sherbrooke, préc., note 21; X. et Skyventure Montréal, préc., note 21;
Garderie Cœur d’enfant inc., C.A.I. 080272, 31 mars 2014, c. Poitras; X. et 9038-5055
Québec inc. (Le Palace), C.A.I. 07 05 51, 23 mars 2012, c. Constant.
23
Laval (Société de transport de la Ville de) c. X., préc., note 21; Grenier c. Centre hospitalier
universitaire de Sherbrooke, préc., note 21; Ces décisions portent sur l’interprétation de
l’article 64 de la Loi sur l’accès aux documents des organismes publics et sur la protection
des renseignements personnels (RLRQ, c. A-2.1) qui réfère également au critère de
nécessité.
110676
Page : 12
l’atteinte au droit à la vie privée des individus concernés que constitue cette
collecte est proportionnelle à cette fin. Pour ce faire, l’entreprise doit démontrer
un lien rationnel entre l’objectif poursuivi et la collecte des renseignements, que
l’atteinte au droit à la vie privée est minimale et que la collecte des
renseignements est nettement plus utile à l’organisme que préjudiciable à
l’individu.
[48] Dans le présent dossier, l’entreprise convient que les règles en matière
de recyclage des produits de la criminalité et de financement des activités
terroristes n’exigent pas la collecte de renseignements contenus dans deux
pièces d’identité aux fins de l’obtention d’une carte de crédit. Une seule suffit.
[49] En effet, les extraits pertinents des articles 54.1 et 64 (1) du Règlement
sur le recyclage des produits de la criminalité et le financement des activités
terroristes prévoient :
54.1 Sous réserve des paragraphes 62(1) et (2) et de l’article
63, toute entité financière doit prendre les mesures suivantes :
a) lorsqu’elle ouvre un compte de carte de crédit au nom
d’une personne, vérifier l’identité de celle-ci conformément
au paragraphe 64(1);
b) [...]
64 (1) Dans les cas prévus aux articles 53, 53.1 et 54, à
l’alinéa 54.1a) et aux articles 55, 56, 57, 59, 59.1, 59.2, 59.3,
59.4, 59.5, 60 et 61, l’identité de la personne est vérifiée :
a) en se rapportant à un document d’identité délivré par le
gouvernement fédéral ou un gouvernement provincial ou
un gouvernement étranger autre que municipal, contenant
le nom et la photographie de la personne et en confirmant
que ce nom et cette photographie sont ceux de la
personne;
b) en se rapportant à des renseignements sur la personne
que la personne ou l’entité qui effectue la vérification
reçoit, sur demande, d’un organisme gouvernemental
fédéral ou provincial — ou d’un mandataire d’un tel
organisme — autorisé au Canada à vérifier l’identité des
personnes et en confirmant que les nom et adresse ou les
nom
et
date
de
naissance
compris
dans
ces
renseignements sont ceux de la personne;
c) en se rapportant à des renseignements figurant au
dossier de crédit de la personne — si ce dossier est situé
110676
Page : 13
au Canada, ce dossier devant exister depuis au moins
trois ans — et en confirmant que les nom, adresse et date
de naissance compris dans le dossier de crédit sont ceux
de la personne;
d) [...]
(2) Les vérifications sont effectuées :
[...] b.2) dans le cas prévu à l’alinéa 54.1a), avant
l’activation de toute carte de crédit; [...]
[50] Pour sa part, la Ligne directrice 6G citée par l’entreprise prévoit :
3.12 Documents concernant la vérification de l’identité
Si vous devez vérifier l’identité d’une personne, comme
l’explique la partie 4, en plus des documents précisés à la
partie 3, vous devez consigner le nom de cette personne dans
le dossier. Vous devez également y consigner les
renseignements suivants :
Documents d’identification
Si vous utilisez un document d’identification pour vérifier
l’identité de la personne, le dossier doit préciser le type de
document que vous avez utilisé à cette fin, son numéro de
référence et son lieu de délivrance. [...]
4.12 Comment vérifier l’identité d’une personne
Voir le paragraphe 3.12 pour obtenir de l’information
supplémentaire sur ce que doit contenir un document lorsque
vous devez vérifier l’identité d’une personne.
Aux fins décrites dans la présente ligne directrice, on peut
vérifier l’identité d’une personne au moyen de l’un des
documents suivants : du certificat de naissance, du permis de
conduire, du passeport, de la fiche d’établissement, de la carte
de résident permanent ou d’un autre document semblable.
Vous pouvez utiliser la carte d’assurance-maladie provinciale
de l’individu, à moins qu’une loi provinciale ou territoriale ne
vous en empêche. [...] [Nos soulignements]
[51] Toutefois, l’entreprise souligne qu’elle doit, dans d’autres contextes,
notamment lors de l’ouverture d’un compte, exiger deux pièces d’identité et
consigner les renseignements qu’elles contiennent. Elle considère qu’elle doit
110676
Page : 14
concilier les différentes exigences qui s’imposent à elle dans divers contextes,
respecter de saines pratiques de gestion et assurer une cohésion et une
harmonisation nécessaires sur le plan opérationnel dans sa méthode
d’identification et ses pratiques ne serait-ce que pour éviter les erreurs. Elle
considère que cette façon de faire maintient un juste équilibre entre ses besoins
légitimes et la protection de la vie privée et les intérêts de ses clients.
[52] D’entrée de jeu, la Commission souligne que le fait que la réglementation
prévoit que l’entreprise doive colliger certains renseignements en des
circonstances bien précises, par exemple lors de l’ouverture d’un compte, ne
justifie pas la nécessité de la collecte des mêmes renseignements dans tous les
contextes, que ce soit dans un souci d’harmonisation des pratiques ou pour
éviter les erreurs. Une telle pratique ne respecte pas le critère de
proportionnalité du test de nécessité en ce qu’il ne constitue pas une atteinte
minimale au droit à la vie privée des individus.
[53] La lecture de cette réglementation permet de constater que les exigences
en matière d’identification des clients varient selon différents facteurs de risque
liés soit à la nature de l’opération (ex. : ouverture de compte, obtention d’une
carte de crédit, opération importante en espèce ou douteuse, etc.), au fait
qu’elle s’effectue à distance ou en présence du client, que ce dernier soit déjà
connu de l’entreprise ou non, etc.
[54] Si la loi et la réglementation précitées relatives à la lutte contre le
recyclage des produits de la criminalité et le financement des activités
terroristes, de même que les lignes directrices adoptées par les organismes
spécialisés dans leur application et la surveillance des activités qu’ils visent à
contrer (ex : le CANAFE ou le BSIF) prévoient des différences entre les
obligations d’identification des clients, selon le contexte dans lequel elles
s’effectuent, c’est que les autorités ont jugé que les risques différaient et que les
mesures à prendre pour les atténuer n’ont pas à être imposées de manière
uniforme.
[55] En conséquence, le critère de nécessité de la collecte des
renseignements personnels que doit respecter l’entreprise ne lui permet pas
d’imposer la règle la plus exigeante ou celle qui se présente de façon la plus
fréquente en matière d’identification de ses clients à tous les contextes et à des
opérations courantes, au seul motif que cette harmonisation des directives
qu’elle donne à ses employés est plus pratique et permet d’éviter les erreurs.
[56] Certes, les obligations en matière de collecte de renseignements à des
fins d’identification imposées par cette réglementation prévoient qu’une
110676
Page : 15
entreprise peut exiger des renseignements supplémentaires, mais dans
certaines situations particulières qui sont identifiées ou lorsque le niveau de
risque le requiert.
[57] D’ailleurs, c’est aussi ce qui ressort des documents du BSIF auxquels
réfère l’entreprise :
Identification des clients et établissement de leur identité avec
certitude
Le RRPCFAT précise les versions originales des documents
valides (ou types de documents valides) qui peuvent être
inspectés pour établir avec certitude l’identité des personnes
ou l’existence d’entités dans des scénarios en personne et en
l’absence de la personne ainsi que l’échéancier pour le faire.
La politique de DRC [diligence raisonnable à l’égard des
clients] instaurée par l’IFF [institution financière fédérale] doit
donner des consignes claires qui sont conformes au
RRPCFAT (s’il y a lieu), à propos de ce qui suit :
à quel moment il faut établir avec certitude l’identité d’un
client;
comment on peut identifier le client et établir son identité
avec certitude, en présence ou en l’absence du client; et
quels documents d’identification originaux et valides
doivent être utilisés pour établir avec certitude l’identité
du client et quelle information y figurant il faut consigner.
Même si les normes et politiques d’identification et de
vérification doivent satisfaire aux exigences minimales
prévues par règlement, les IFF peuvent considérer que
l’évaluation des risques inhérents justifie l’application de
mesures
d’identification
supplémentaires
à
certaines
catégories de clients.
Par exemple : le RRPCFAT prévoit les documents valides
émis par l’État qu’il faut utiliser pour établir avec certitude
l’identité du client. Parmi ces documents figurent, notamment,
les certificats de naissance. Le RRPCFAT permet l’utilisation
de la carte d’assurance sociale (NAS) pour établir avec
certitude l’identité d’un client. Quand le seul document
disponible pour établir avec certitude l’identité d’un client est le
certificat de naissance ou la carte NAS, et que le risque évalué
de RPC ou de FAT du client est tout sauf minime, l’IFF doit
envisager
de
prendre
des
mesures
d’identification
supplémentaires. Il pourrait s’agir de voir l’original d’autres
110676
Page : 16
documents d’identification acceptables émis par l’État, y
compris une pièce d’identité avec photo, émise par l’État, ou,
si ces documents ne sont pas disponibles, d’autres preuves
crédibles de vérification de l’identité du client comme un relevé
d’impôt foncier ou une facture de services publics.
[58] Cette ligne directrice du BSIF, citée par l’entreprise dans ses
observations, précise spécifiquement que les mécanismes mis en œuvre par les
entreprises afin de respecter la réglementation relative à la lutte contre le
recyclage des produits de la criminalité et le financement des actes terroristes
doivent être proportionnels au niveau de risque évalué et que cette directive
n’impose aucune nouvelle obligation :
Le CANAFE veille à l’observation de la Partie 1 de la
LRPCFAT et de son règlement d’application. Ces documents
prévoient la mise en œuvre d’un programme de conformité
doté d’une composante axée sur le risque, conçu pour assurer
le contrôle efficace des risques d’exposition à des activités de
RPC et de FAT.
La présente ligne directrice ne crée aucune nouvelle obligation
réglementaire. Elle vise à aider les institutions financières
fédérales à connaître et à respecter les exigences et les
mesures applicables en matière de LRPC-FAT, stipulées par
la LRPCFAT et par le RRPCFAT. Elle a également pour but
d’aider les institutions à satisfaire aux attentes du BSIF en
matière de gouvernance et de contrôle.
[59] Dans la section relative à la diligence raisonnable à l’égard des clients,
cette directive prévoit ce qui suit :
La DRC s’entend notamment de l’identification des clients, de
la collecte de renseignements, de l’établissement avec
certitude de l’identité des clients et de la surveillance
permanente. Ces composantes doivent être conformes aux
exigences réglementaires pertinentes et doivent être accrues
dans les situations présentant un risque plus élevé. La portée
de la DRC exercée doit correspondre au niveau relatif des
risques d’exposition à des activités de RPC et de FAT
déterminés dans les circonstances. Voir « Risques élevés
spécifiques », ci-après.
[...]
La nature et la portée des mesures de DRC doivent être
appropriées à la nature des risques d’exposition à des
110676
Page : 17
activités de RPC et de FAT que représente le client dans les
circonstances et proportionnelles au niveau de ces risques.
Voir « Évaluation des risques inhérents », ci-dessus. Les
mesures de DRC doivent, à tout le moins, être conformes aux
exigences de la LRPCFAT et du RRPCFAT. Les normes de
DRC doivent prévoir qu’en cas de doute au sujet de la véracité
ou de l’exactitude des données déjà obtenues pour
l’identification et la vérification d’identité du client, des mesures
de DRC accrues doivent être appliquées.
Les IFF doivent renforcer les mesures de DRC, lorsque des
mesures normales donnent des résultats incohérents, voire
incertains ou douteux. Le degré de renforcement des mesures
de DRC doit être suffisant pour atténuer les incohérences et
les résultats incertains ou douteux. (Nos soulignements)
[60] En l’espèce, l’entreprise n’a pas fait valoir ni démontré que l’identité de la
plaignante, qui s’est présentée dans une de ses succursales pour obtenir une
carte de crédit, n’a pu être établie par la présentation d’une seule pièce
d’identité. Elle n’a pas justifié en quoi la collecte des seuls renseignements
requis par la réglementation précitée était insuffisante. Elle n’a pas davantage
expliqué en quoi l’émission d’une carte de crédit, en l’espèce, constitue « un
risque inhérent qui justifie l’application de mesures supplémentaires », par
exemple pour certaines catégories de clients
24
.
[61] Ainsi, la Commission conclut que l’entreprise n’a pas démontré la
nécessité de recueillir, dans le contexte du présent dossier, soit une situation
bancaire courante, le type et le numéro contenus sur deux pièces d’identité. Elle
a donc contrevenu à l’article 5 de la Loi sur le privé en recueillant des
renseignements qui n’étaient pas nécessaires à l’objet du dossier, soit
l’émission d’une carte de crédit.
[62] De plus, l’entreprise a contrevenu à l’article 9 de la Loi sur le privé en
refusant d’émettre la carte de crédit à la plaignante, en raison de son refus de
présenter deux pièces d’identité afin que les informations y apparaissant soient
recueillies. En effet, ces renseignements n’étaient pas nécessaires à la
conclusion ou à l’exécution d’un contrat, leur collecte n’était pas autorisée par la
loi et l’entreprise n’a pas démontré qu’elle avait des motifs de croire que cette
demande de carte de crédit n’était pas licite.
[63] En ce qui concerne l’exigence d’une copie de ces pièces, les versions
des faits de la plaignante et de l’entreprise sont contradictoires. L’entreprise
24
Extrait des observations de l’entreprise citant la directive du BSIF.
110676
Page : 18
affirme qu’en vertu de ses politiques et de ses pratiques, elle n’exige pas une
copie des pièces d’identité; elle recueille uniquement le type de document
d’identité et le numéro qu’il contient, tel que le prévoit la réglementation
applicable. La Commission ne dispose donc pas d’éléments suffisants lui
permettant de conclure que l’entreprise a pour pratique de recueillir une copie
des pièces d’identité présentées par ses clients lors de l’émission d’une carte de
crédit.
[64] La Commission invite tout de même l’entreprise à sensibiliser
régulièrement ses employés aux règles relatives à la collecte des seuls
renseignements d’identité nécessaires pour l’octroi d’une carte de crédit, dans le
contexte d’opérations courantes.
CONCLUSION
[65] En résumé, la Commission conclut que l’entreprise est assujettie aux
dispositions de la Loi sur le privé puisqu’elle exerce une activité économique
organisée au Québec et qu’elle n’a pas démontré que les règles relatives à la
collecte de renseignements personnels entravent le plein exercice de la
compétence fédérale en matière de banques. Elle n’a pas davantage démontré
qu’il existe un conflit entre la loi fédérale et la loi provinciale visant la protection
des renseignements personnels applicables en matière de collecte de
renseignements personnels, dans le cadre du présent dossier.
[66] La Commission conclut également que la nécessité de la collecte des
renseignements apparaissant sur deux pièces d’identité (type de document
d’identité et le numéro qu’il contient) de la plaignante plutôt qu’une seule n’a pas
été démontrée dans le présent dossier et que l’entreprise a contrevenu à l’article
5 de la Loi sur le privé en exigeant des renseignements personnels non
nécessaires à l’objet du dossier.
[67] Enfin, la Commission conclut que l’entreprise a contrevenu à l’article 9 de
la Loi sur le privé en refusant d’émettre une carte de crédit à la plaignante pour
le seul motif qu’elle s’objectait à ce que l’entreprise recueille des
renseignements personnels qui n’étaient pas nécessaires à l’objet du dossier.
POUR CES MOTIFS, LA COMMISSION :
[68] DÉCLARE la plainte partiellement fondée;
110676
Page : 19
[69] ORDONNE à l’entreprise de cesser de recueillir, de façon systématique,
les renseignements non nécessaires à l’ouverture d’un compte de carte de
crédit au nom d’une personne, soit ceux apparaissant sur plus d’une pièce
d’identité parmi celles mentionnées à l’article 64 (1) du Règlement sur le
recyclage des produits de la criminalité et le financement des activités
terroristes;
[70] RECOMMANDE à l’entreprise de rappeler au personnel de ses
succursales au Québec qu’une pièce d’identité présentée aux fins de l’émission
d’une carte de crédit par une personne ne peut être photocopiée.
Diane Poitras
Juge administratif
Vous allez être redirigé vers la version la plus récente de la loi, qui peut ne pas être la version considérée au moment où le jugement a été rendu.