Commission d’accès à l’information du Québec Dossier : 1011672-S Nom de l’entreprise : Services financiers Globex 2000 inc. Date : 5 avril 2022 Membre : M e Lina Desbiens
DÉCISION
ENQUÊTE en vertu de la Loi sur la protection des renseignements personnels dans le secteur privé 1 .
APERÇU [1] La Commission d’accès à l’information (la Commission) a procédé à une enquête à l’égard de Services financiers Globex 2000 inc. 2 (l’Entreprise) à la suite d’une plainte portant sur la collecte de renseignements personnels lors d’une opération de change visant à obtenir des devises étrangères. Plus précisément, en plus d’ouvrir un compte client au nom de la plaignante, pour pouvoir obtenir 325 euros, l’Entreprise a exigé qu’elle présente une pièce d’identité avec photo et en a fait une copie.
[2] La plainte porte également sur la pratique de l’Entreprise de conserver la copie d’une pièce d’identité avec photo lors de la vérification de l’identité des clients qui règlent le montant dû lors d’opérations de change de moins de 3 000 $ par carte de débit.
[3] Au terme de cette enquête et à la lumière des informations dont elle disposait à la suite d’un préavis, la Commission a rendu une décision le 3 juillet 2019.
[4] L’Entreprise a porté cette décision en appel à la Cour du Québec. Considérant que l’insuffisance de motivation soutenant l’ordonnance constituait un vice d’équité procédurale, la Cour du Québec, dans son jugement du 18 février
1 RLRQ, c. P-39.1, Loi sur le privé. 2 L’entreprise est enregistrée au Registre des entreprises du Québec sous le numéro 1149109432.
1011672-S
Page 2
2020 3 , donne acte aux parties de l’acquiescement de la Commission à ce que l’ordonnance du 3 juillet 2019 soit annulée avec la réserve du droit de réémettre un nouveau préavis d’ordonnance, le cas échéant.
[5] La Commission a évalué à nouveau le dossier et complété son analyse du test de nécessité à la lumière de l’ensemble des informations obtenues dans le cadre de son enquête et des observations de l’Entreprise et conclu que l’Entreprise ne respecte pas la Loi sur le privé.
PRÉAVIS D’ORDONNANCE ET OBSERVATIONS DE L’ENTREPRISE [6] Le 24 janvier 2022, la Commission a transmis un nouveau préavis d’ordonnance à l’Entreprise l’informant qu’après une nouvelle analyse, la vérification de l’identité des personnes payant par carte de débit était justifiée, mais qu’elle pourrait conclure que l’Entreprise ne respecte pas l’article 5 de la Loi sur le privé en copiant systématiquement une pièce d’identité avec photo lors d’opérations de change inférieures à 3 000 $ alors que cela n’est pas nécessaire pour atteindre ses objectifs poursuivis.
[7] En conséquence, la Commission a avisé l’Entreprise qu’elle pourrait lui ORDONNER de :
• cesser de collecter la copie d’une pièce d’identité avec photo qui lui est présentée lors de l’ouverture d’un compte au nom d’une personne payant par carte de débit alors que le montant de l’opération de change est inférieur à 3 000 $;
• détruire les copies des pièces d’identité conservées et obtenues lors d’opérations de change inférieures à 3 000 $.
[8]
La Commission pourrait également RECOMMANDER à l’Entreprise : • d’adopter une politique de conservation et de destruction des renseignements personnels; et
• de diffuser régulièrement cette politique auprès de l’ensemble de son personnel afin de rappeler les rôles et responsabilités de chacun en matière de protection des renseignements personnels.
[9] La Commission a invité l’Entreprise à présenter ses observations écrites et à produire tous documents venant les appuyer.
3 C.Q. 500-80-039394-193, 18 février 2020.
1011672-S
Page 3
[10] Le 28 février 2022, l’Entreprise transmet ses observations. Elle réitère chacun de ses arguments et réponses contenus dans sa lettre du 8 juillet 2018 ainsi que les motifs contenus à son avis d’appel du 5 août 2019 qui se résument comme suit :
i)
ii)
iii)
iv)
v)
vi)
En vertu de sa politique interne, l’Entreprise exige une pièce d’identité lors d’une transaction en dessous du seuil minimal de 3 000 $ requis par la législation applicable aux entreprises de services monétaires lorsque le client paie avec une carte de débit bancaire. Cette exigence a pour but de réduire et d’éliminer le risque de fraude en utilisant des cartes de débit.
L’Entreprise craint que si elle est victime de multiples actes frauduleux par l’utilisation de cartes de débit, elle se voie retirer ce privilège de paiement par son institution financière.
Il fait partie de la mission de l’Entreprise de lutter contre la criminalité et d’épauler les forces de l’ordre en exigeant, pour toute transaction conclue avec une carte de débit bancaire, une pièce d’identité avec photo. Un client qui ne veut pas fournir une pièce d’identité a le choix de payer comptant.
Dans sa déclaration d’appel 4 , pour justifier la collecte de la pièce d’identité, l’Entreprise réitère que la collecte est faite dans le but de prévenir la fraude qui affecte le domaine d’exploitation de son entreprise et qu’il s’agit d’un motif sérieux et légitime en s’appuyant sur l’article 4 de la Loi sur le privé.
Elle ajoute que le choix de la méthode de paiement relève de la discrétion de l’entreprise.
L’Entreprise soutient qu’elle a une obligation légale, en vertu de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes 5 , de rapporter toute transaction où il y a des motifs raisonnables de croire à la commission ou à une tentative de commettre une infraction, ce qui justifie la collecte d’une pièce d’identité.
[11] À ces arguments, l’Entreprise ajoute ce qui suit : i) Étant une entreprise de services monétaires régie par la Loi sur le recyclage des produits de la criminalité et le financement des
4 Motifs présentés dès 2015 et réitérés en 2018. 5 LC 2000, ch. 17. Cette loi a été modifiée postérieurement à la plainte, mais les dispositions à jour ont été prises en compte par la Commission dans la présente décision.
1011672-S
Page 4
activités terroristes, elle est requise, en vertu de l’article 2 de cette loi et de l’article 157 du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes 6 , de développer et de maintenir des mesures accrues pour atténuer les risques et pour éliminer le recyclage des produits de la criminalité et du financement des activités terroristes qui incluent les possibilités et tentatives de fraudes.
Après des années d’études et d’analyses relativement à l’utilisation des cartes bancaires pour l’achat de devises étrangères, l’Entreprise a conclu que ce véhicule de paiement constitue un haut risque de fraudes et de tentatives de blanchiment et de financement d’activités terroristes. C’est pourquoi elle a adopté des mesures élargies et complètes pour identifier tout client qui utilise une carte bancaire pour effectuer l’acquisition de devises étrangères, indépendamment du montant de la transaction.
Selon l’Entreprise, en vertu de l’article 108 du Règlement 7 , si elle est requise de vérifier l’identité d’une personne pour les fins mentionnées, elle doit également enregistrer la façon dont elle a procédé à cette identification et en garder copie.
ii)
Finalement, étant une entreprise régie par la loi fédérale, l’Entreprise soutient que la Commission n’a aucune juridiction sur la façon dont elle procède à identifier et enregistrer les renseignements personnels de ses clients.
ANALYSE 1. L’Entreprise est assujettie à la Loi sur le privé et la Commission a compétence pour intervenir
[12] L’Entreprise soutient que la Commission n’a pas compétence pour intervenir, puisque c’est la loi fédérale sur le recyclage des produits de la criminalité et le financement des activités terroristes qui s’applique pour encadrer l’identification et l’enregistrement de ses clients 8 .
[13] La Commission estime avoir compétence pour intervenir, puisque l’Entreprise est assujettie à la Loi sur le privé et qu’elle ne peut soulever la doctrine
6 DORS/2002-05-09, anciennement article 71.1, modifié en juin 2021; le Règlement. 7 Nouvel article qui n’existait pas au moment de la plainte. 8 Observations supplémentaires, 28 février 2022.
1011672-S
Page 5
de la prépondérance fédérale sans faire intervenir le procureur général du Québec.
1.1 Assujettissement à la Loi sur le privé [14] La Loi sur le privé s’applique à toute personne qui recueille, détient, utilise ou communique à des tiers des renseignements personnels à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil (CcQ)9. Selon cet article, l’exploitation d’une entreprise au Québec se fait par l’exercice d’une activité économique organisée, à caractère commercial ou non, seul ou avec d’autres personnes.
[15] La Commission est d’avis que l’Entreprise est assujettie à la Loi sur le privé.
[16] En effet, l’Entreprise exerce une activité économique organisée de nature commerciale qui consiste à offrir des services de change de devise étrangère. L’Entreprise offre des services monétaires depuis plus de 13 ans. Elle compte six succursales dans la région de Montréal et ses environs, dont une succursale à Laval et une à ville Saint-Laurent, et le siège social est situé à Westmount. Il s’agit donc d’une entreprise au sens de l’article 1525 du CcQ.
[17] De plus, l’Entreprise exerce son activité économique au Québec. L’Entreprise est enregistrée au Registre des entreprises du Québec 10 et détient un permis d’exploitation émis par l’Autorité des marchés financiers 11 conformément à la Loi sur les entreprises de services monétaires 12 .
1.2 Doctrine de la prépondérance de la loi fédérale [18] L’Entreprise soutient qu’étant une entreprise régie par une loi fédérale, soit la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, la Commission n’aurait aucune juridiction sur la façon dont elle procède à identifier et enregistrer les renseignements personnels de ses clients, mais ce serait uniquement la loi fédérale qui s’appliquerait.
[19] D’abord, le fait d’être une entreprise régie par une loi fédérale ne l’empêche pas d’être également assujettie à la Loi sur le privé. Si l’Entreprise veut soulever l’inopérabilité des dispositions de la Loi sur le privé en invoquant la
9 Article 1 de la Loi sur le privé. 10 Numéro 1149109432. 11 Le permis d’exploitation émis par l’AMF porte le numéro 900078. 12 RLRQ, c. E-12.000001.
1011672-S
Page 6
doctrine de la prépondérance fédérale 13 , elle devait déposer un avis au procureur général du Québec 14 , ce qui n’a pas été fait. Dans ces circonstances la Commission ne peut se prononcer sur cet argument.
[20] Toutefois, la Commission a compétence pour interpréter la Loi sur le privé et, dans l’évaluation des manquements à la loi, la Commission tient compte des obligations de l’Entreprise découlant de la Loi sur les entreprises de services monétaires et de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et ses règlements.
[21] Le respect d’exigences légales, même fédérales, doit être pris en compte par la Commission dans l’évaluation des règles relatives à la collecte, l’utilisation ou la communication des renseignements personnels à l’occasion de l’exploitation d’une entreprise. Ces obligations seront évaluées dans le cadre de l’application du test de nécessité en matière de collecte de renseignements personnels.
2. Les renseignements collectés pour vérifier l’identité des clients sont des renseignements personnels
[22] La Loi sur le privé prévoit que les renseignements qui concernent une personne physique et qui permettent de l’identifier constituent des renseignements personnels, et ce, quelles que soient la nature de leur support et la forme sous laquelle ils sont accessibles.
[23] Il ressort de l’enquête que l’Entreprise collecte des renseignements au sujet de l’identité d’un client en exigeant la présentation d’une pièce d’identité avec photo lorsque les clients choisissent de payer par carte de débit le montant dû pour obtenir leurs devises. De plus, l’Entreprise conserve les renseignements personnels de ses clients en photocopiant cette pièce d’identité.
[24] Les pièces d’identité acceptées pour vérifier l’identité du client sont le permis de conduire, le passeport, la carte d’assurance maladie ou un document similaire émis par le gouvernement 15 . La Commission est d’avis que ces pièces d’identité contiennent des renseignements personnels, puisqu’ils font connaitre quelque chose sur quelqu’un et permettent également de distinguer cette
13 Transport Desgagnés inc. c. Wärtsilä Canada inc., 2019 CSC 58. La doctrine de la prépondérance fédérale est présentée par la Cour suprême comme suit : « Selon cette doctrine, lorsque des lois provinciales et fédérales valides sont incompatibles, la loi fédérale l’emporte et la loi provinciale est déclarée inopérante dans la mesure du conflit. ». 14 Article 76 du Code de procédure civile du Québec, RLRQ, c. C-25.01. 15 Annexe 6, Formulaire demande personnelle.
1011672-S
personne par rapport à quelqu’un d’autre Commission l’ont reconnu.
Page 7
16 . Bon nombre de décisions de la
[25] Par conséquent, la Commission est d’avis que l’Entreprise collecte des renseignements personnels concernant les clients qui transigent avec elle.
3. Les obligations de l’Entreprise relatives à la collecte de renseignements personnels
[26] Bien que la collecte de renseignements personnels de l’Entreprise diffère selon que le paiement est fait ou non par carte de débit, la Commission précise qu’elle ne se prononcera pas sur les modes de paiement offerts par l’Entreprise. En effet, la mission de la Commission est d’assurer le respect et la promotion de la protection des renseignements personnels auprès des entreprises, et ce, peu importe le mode de paiement utilisé.
[27] La Loi sur le privé prévoit qu’une entreprise doit avoir un intérêt sérieux et légitime pour constituer un dossier sur autrui et que seuls les renseignements personnels nécessaires pour atteindre l’objectif poursuivi par l’entreprise doivent être recueillis 17 .
[28] La Commission doit d’abord évaluer le cadre législatif s’appliquant à la vérification d’identité pour l’Entreprise pour déterminer si elle a un intérêt sérieux et légitime à constituer un dossier et y recueillir les renseignements nécessaires pour atteindre l’objectif poursuivi. En effet, en plus des obligations prévues à la Loi sur le privé, l’Entreprise doit respecter différentes obligations contenues dans des lois fédérales et provinciales.
[29] Ainsi, si une loi oblige l’Entreprise à collecter et à conserver une photocopie ou une copie d’un document d’identité, l’Entreprise est tenue de s’y conformer et cette collecte est alors nécessaire au sens de la Loi sur le privé. Si ce n’est pas le cas, la Commission doit déterminer si la collecte ou la conservation d’une copie d’une pièce d’identité est nécessaire à l’objet du dossier à la lumière des objectifs poursuivis par l’entreprise et de la proportionnalité de cette mesure.
3.1 Obligation de vérifier l’identité en vertu du cadre législatif applicable
16 Segal c. Centre de services sociaux de Québec, [1988] C.A.I. 315. 17 Loi sur le privé, articles 4 et 5.
1011672-S
Page 8
[30] Tant la législation provinciale que fédérale encadrant les activités des entreprises de services monétaires exigent la collecte de renseignements personnels lors de certaines transactions monétaires.
[31] De plus, en vertu des règlements pris en application de la Loi sur les entreprises de services monétaires et de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, l’Entreprise a l’obligation de vérifier l’identité de ses clients dans certains cas et selon les conditions et modalités prévus par règlement 18 .
3.1.1 Loi sur les entreprises de services monétaires et son règlement d’application
[32] La Loi sur les entreprises de services monétaires prévoit l’obligation de vérifier l’identité des clients dans les cas et selon les modalités prévues aux articles 7 à 9 du Règlement d’application de la Loi sur les entreprises de services monétaires 19 .
[33] Selon l’article 7 du règlement d’application, dans tous les cas, au moment d’une transaction, l’Entreprise doit recueillir le nom du client ainsi que l’adresse et le numéro de téléphone de son domicile.
[34] De plus, l’Entreprise doit vérifier l’identité de son client dans les cas suivants :
1° lorsque le client demande d’effectuer une transaction de 3 000 $ ou plus pour l’émission ou le rachat de chèques de voyage, de mandats ou de traites;
2° lorsque le client demande d’effectuer une transaction de change de devises de 3 000 $ ou plus;
3° lorsque le client demande d’effectuer une transaction de transfert de fonds de 1 000 $ ou plus;
4° lorsque le client demande d’effectuer l’encaissement d’un chèque, quel que soit le montant.
[35] Lorsqu’elle doit vérifier l’identité d’un client, en plus des informations recueillies en vertu de l’article 7 du règlement d’application, l’Entreprise doit recueillir la date de naissance du client, son occupation principale ou la nature de ses activités professionnelles en exigeant des personnes physiques la présentation de l’original d’une pièce d’identité avec photo du client, délivrée par
18 Article 28 de la Loi sur les entreprises de services monétaires 19 RLRQ, ch. E-12.000001, r. 1, le règlement d’application.
1011672-S
Page 9
un gouvernement ou l’un de ses ministères ou organismes, sur laquelle sont également inscrits son nom et sa date de naissance. S’il s’agit d’une entreprise, en obtenant une confirmation de son existence légale.
[36] Pour les transactions de moins de 3 000 $ aucune autre obligation légale que celle de collecter les noms, adresses et numéro de téléphone du client n’est prévue dans cette législation.
[37] Finalement, la loi et le règlement ne prévoient pas d’obligation de collecter une copie de la pièce d’identité ayant servi à vérifier l’identité d’une personne.
3.1.2 Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et son règlement d’application
[38] La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes s’applique également à l’Entreprise 20 . Elle prévoit 21 que l’Entreprise doit tenir des documents et vérifier l’identité d’une personne conformément au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes 22 .
[39] Le règlement d’application prescrit les exigences de vérification de l’identité des clients, les exigences de tenue de documents, les opérations devant être déclarées (tels que les opérations importantes en espèce, les télévirements et les déboursements de casinos) et les exigences de mise en œuvre d’un programme de conformité.
[40] Ce règlement d’application fait l’objet d’une ligne directrice du Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) concernant les exigences relatives au besoin de bien connaitre son client 23 , qui explique notamment à quel moment les entreprises de services monétaires doivent vérifier l’identité des personnes et les méthodes pour le faire.
20 Article 5 h) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. 21 Articles 6 et 6.1 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. 22 Articles 59 (1) et 64 (1) DORS/2002-184, tel qu’en vigueur au moment de la plainte, aujourd’hui les articles 95 (1) et 105. La Commission tient compte du règlement à jour, bien qu’il ait été modifié depuis la plainte. Ce règlement a fait l’objet de refonte depuis l’enquête. 23 https://www.fintrac-canafe.gc.ca/guidance-directives/client-clientele/Guide11/11-fra#s8, la Directive.
1011672-S
Page 10
[41] Ainsi, lorsque l’identité d’une personne doit être vérifiée en se référant à une pièce d’identité avec photo délivrée par un gouvernement, il est précisé que les renseignements qui doivent être consignés sont le nom, la date de vérification, le type de document, le numéro du document, la province ou le pays de délivrance et la date d’expiration, s’il y a lieu. La Directive ne prévoit pas de copier la pièce d’identité présentée.
3.1.3 Transaction de moins de 3 000 $ [42] Pour toute transaction, il est prévu que l’Entreprise doit collecter le nom du client ainsi que l’adresse et le numéro de téléphone de son domicile. La législation fédérale et provinciale prévoit spécifiquement les cas où d’autres renseignements doivent être consignés. Toutefois, outre la collecte de renseignements s’appliquant à toutes les transactions, il n’y a aucune règle particulière quant à la collecte de renseignements personnels à l’occasion d’une transaction de moins de 3 000 $, de transaction payée par carte de débit ou les cas où la pièce d’identité doit être copiée et conservée.
3.2 Autres obligations soulevées par l’Entreprise 3.2.1 Obligation de déclarer certaines transactions [43] En vertu de l’article 7 de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, il incombe à l’Entreprise de rapporter toute transaction où il y a des motifs raisonnables de croire à la commission ou la tentative de commettre une infraction.
[44] L’Entreprise n’a pas démontré en quoi l’information qui doit être consignée dans les registres en vertu de la législation applicable et qui peut être transmise aux autorités compétentes ne permet pas d’atteindre cet objectif et de respecter cette législation. Cette obligation ne justifie par la collecte d’une pièce d’identité en l’espèce.
3.2.2 Obligation de développer et de maintenir des mesures accrues d’atténuation du risque
[45] En vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et du Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes, l’Entreprise doit développer et maintenir des mesures accrues, compte tenu de l’évaluation
1011672-S
Page 11
des risques qu’elle fait de certaines situations, notamment lors de la vérification d’identité d’une personne 24 .
[46] L’Entreprise a identifié l’utilisation des cartes bancaires pour l’achat de devises étrangères comme étant un haut risque de fraudes de tentatives de blanchiment et de financement d’activités terroristes. C’est dans ce contexte qu’elle a adopté des mesures élargies d’identification des clients qui utilisent des cartes bancaires pour effectuer l’acquisition de devises étrangères, indépendamment du montant de la transaction, en exigeant la pièce d’identité et en copiant la pièce présentée 25 .
[47] L’article 108 du règlement prévoit les renseignements d’identité supplémentaires qui doivent être colligés lorsqu’une vérification d’identité est exigée en application du règlement, notamment pour les transactions de plus de 3 000 $. En aucun cas, il n'est prévu de prendre une copie de la pièce d’identité.
[48] Après analyse des articles de lois et des règlements ci-haut, la Commission conclut qu’il ne s’y retrouve pas d’obligation pour l’Entreprise de collecter et de conserver une photocopie ou une copie d’un document d’identité afin de respecter les obligations qui y sont prévues.
[49] La Commission est d’avis que le respect de ces dispositions législatives n’a pas pour effet de relever l’Entreprise de son obligation de se conformer aux exigences de la Loi sur le privé. D’ailleurs, la Directive de CANAFE sur la vérification de l’identité déjà citée prévoit que « L'utilisation de renseignements personnels dans le cadre d'activités commerciales effectuées au Canada est protégée par la Loi sur la protection de renseignements personnels et les documents électroniques (LPRPDE), ou les lois provinciales de même nature. »
[50] La Commission doit donc évaluer si la collecte et la conservation de la pièce d’identité pour les transactions de moins de 3 000 $ payées par carte de débit sont autrement nécessaires au sens de la Loi sur le privé.
24 Article 157 du règlement. 25 Observations de l’Entreprise du 28 février 2022. Outre l’affirmation selon laquelle cette conclusion fait suite à « des années d’études et d’analyses relativement à l’utilisation des cartes bancaires pour l’achat de devis étrangers », aucune preuve spécifique n’a été présentée à l’appui de cette prétention.
1011672-S
4.
Page 12
L’Entreprise n’a pas démontré la nécessité de recueillir copie de la pièce d’identité au sens de la Loi sur le privé
[51] Considérant ce qui précède, l’Entreprise qui collecte des renseignements personnels supplémentaires à ceux prévus à la loi, plus particulièrement une copie de la pièce d’identité ayant servi à vérifier l’identité d’une personne payant sa transaction par carte de débit, doit autrement justifier la nécessité de cette collecte au sens de la Loi sur le privé.
[52] Pour ce faire, elle doit démontrer le caractère légitime, important et réel de cette collecte et la proportionnalité de l’atteinte à la vie privée qu’elle constitue en lien avec les objectifs qu’elle poursuit.
4.1 Caractère légitime, important et réel de la collecte [53] La vérification de l’identité pour une transaction inférieure à 3 000 $ payée par carte de débit vise à prévenir la fraude qui affecte le domaine d’exploitation de services monétaires, plus particulièrement les fraudes par carte de débit et le risque pour l’Entreprise de se voir retirer le privilège de ce mode de paiement par son institution financière.
[54] L’objectif poursuivi par l’Entreprise est légitime. En effet, même si la loi ne prévoit pas une vérification de l’identité dans ce cas précis, il est vraisemblable de considérer que le secteur d’activités de l’Entreprise est plus susceptible de rencontrer des cas de fraude ou de tentative de blanchiment d’argent particulièrement par l’utilisation des cartes de débit pour des transactions impliquant des devises étrangères. Elle affirme d’ailleurs que le fait d’avoir exigé la présentation d’une pièce d’identité a réduit les cas de fraude.
[55] L’Entreprise n’a toutefois pas soumis de documentation permettant de confirmer le caractère réel ou important de cet objectif, par exemple l’ampleur des cas de fraude dont elle été victime lors de transactions de moins de 3 000 $ payées par carte de crédit.
[56] Quoiqu’il en soit, même si ce premier critère était rencontré, la Commission considère que la proportionnalité de cette mesure n’a pas davantage été démontrée.
1011672-S
Page 13
4.2. L’atteinte à la vie privée que constitue cette collecte n’est pas proportionnelle aux objectifs poursuivis.
[57] La collecte de renseignements personnels constitue généralement une atteinte à la vie privée. Cette atteinte doit être proportionnelle à l’objectif qui est visé. L’évaluation de la proportionnalité tient compte de la nature sensible des renseignements personnels en cause, des autres moyens à la disposition de l’Entreprise pour atteindre les objectifs poursuivis et de la balance entre l’atteinte à la vie privée et le bénéfice de cette collecte pour l’entreprise 26 .
[58] Pour démontrer la proportionnalité de cette collecte, l’Entreprise doit donc expliquer en quoi :
i)
ii) iii)
la collecte de ces renseignements est un moyen efficace d’atteindre chaque objectif poursuivi;
l’atteinte à la vie privée est minimisée; les avantages de mettre en place ce système surpassent l’atteinte aux droits et les conséquences préjudiciables susceptibles de résulter de cette collecte pour les personnes concernées.
[59] Il ressort de l’enquête que l’objectif de l’Entreprise vise deux objectifs par cette collecte. D’une part, l’Entreprise veut se protéger, ainsi que le réseau financier canadien, contre le fléau des fraudes liées à l’utilisation des cartes de débit dans les transactions impliquant des devises étrangères. D’autre part, l’Entreprise craint de se voir retirer le privilège d’utiliser le paiement par carte de débit par son institution financière si elle est victime de multiples actes frauduleux par l’utilisation de cartes de débit. Elle affirme que depuis l’application de cette politique, l’utilisation frauduleuse de cartes de débit aurait presque été éliminée.
[60] Or, l’Entreprise n’a pas démontré en quoi la copie de la pièce d’identité, pour les transactions de moins de 3 000 $ payées par carte débit, est un moyen efficace d’atteindre ces objectifs.
[61] En effet, le fait d’exiger la présentation d’une pièce d’identité, lorsque la personne veut payer par carte débit, permet de contrôler l’identité et ainsi d’atteindre l’objectif de réduire la fraude par carte débit. L’Entreprise n’a pas démontré en quoi le fait de prendre une copie de la pièce est requis en plus de cette vérification visuelle. Par ailleurs, la Commission constate que lorsque la
26 Laval (Société de transport de la Ville de) c. X., 2003 CanLII 44085 (C.Q.); Grenier c. Centre hospitalier universitaire de Sherbrooke, [2010] QCCQ 9397; Synergie Hunt International inc. c. Trinque Tessier, 2017 QCCQ 13747; Les 3 Piliers inc., CAI 1018507-S, 14 février 2020.
1011672-S
Page 14
législation encadrant les pratiques dans ce secteur d’activité prévoit qu’une pièce d’identité doit être exigée, elle décrit aussi les renseignements à consigner. Aucune copie de la pièce n’est requise même dans les situations visées par la loi.
[62] Pour ces mêmes motifs, la Commission ne retient pas l’argument de l’Entreprise voulant que le fait de vérifier l’identité au moyen d’une pièce d’identité implique nécessairement l’obligation d’en prendre une copie et de la conserver afin de consigner la façon dont elle a procédé à cette vérification.
[63] Quant au second objectif, il s’agit d’une crainte qui n’est appuyée sur aucun élément factuel soumis par l’Entreprise.
[64] Par ailleurs, l’Entreprise doit minimiser l’atteinte à la vie privée de ses clients et adopter des solutions les moins intrusives permettant d’atteindre les objectifs poursuivis. En ajoutant la copie de la pièce d’identité, elle collige plus de renseignements personnels que nécessaire, car il y a d’autres renseignements sur ces pièces qui ont un caractère intime, par exemple la photo, la signature, etc.
[65] Les avantages de cette collecte supplémentaire n’ont pas été démontrés par l’Entreprise. De plus, consigner ces renseignements accroît les risques de leur compromission et de conséquences préjudiciables pour les individus (vols ou fraudes d'identité) que le contexte ne justifie pas.
[66] Bref, la Commission conclut que l’Entreprise a justifié la nécessité de demander la présentation d’une pièce d’identité lors d’une transaction payée par carte de débit. Toutefois, la collecte d’une copie de la pièce d’identité présentée porte atteinte à la vie privée de la clientèle et n’est pas proportionnelle aux objectifs poursuivis. Elle n’est donc pas nécessaire au sens de la Loi sur le privé.
5. Conservation et destruction des renseignements personnels [67] La Loi sur le privé 27 prévoit qu’une entreprise doit prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
[68] En l’espèce, bien que l’Entreprise soit soumise à un cadre législatif qui prévoit des règles en matière de la gestion de la documentation, l’enquête révèle que l’Entreprise n’a pas de politique écrite de conservation et de destruction des renseignements personnels collectés et conservés dans le cadre de son
27 Articles 10 et 12 de la Loi sur le privé.
1011672-S
Page 15
exploitation. La Commission recommande donc d’adopter une telle politique et de la diffuser auprès de ses employés.
CONCLUSION [69] À la lumière de l’ensemble des informations dont elle dispose au terme de l’enquête, la Commission conclut que l’entreprise ne respecte pas l’article 5 de la Loi sur le privé en copiant systématiquement une pièce d’identité avec photo lors d’opérations de change inférieures à 3 000 $ alors que cela n’est pas nécessaire pour atteindre les objectifs poursuivis.
POUR CES MOTIFS, LA COMMISSION : [70] DÉCLARE la plainte fondée; [71] ORDONNE à l’Entreprise de : i) cesser la collecte de la copie d’une pièce d’identité avec photo qui lui est présentée par la personne payant par carte de débit alors que le montant de l’opération de change est inférieur à 3 000 $, dans les 30 jours de la réception de la présente décision;
ii)
détruire les copies des pièces d’identité conservées lors d’opérations de change inférieures à 3 000 $, dans les 90 jours de la réception de la présente décision et en informer la Commission.
[72] RECOMMANDE à l’Entreprise : i) d’adopter une politique de conservation et de destruction des renseignements personnels; et
ii)
de diffuser régulièrement cette politique auprès de l’ensemble de son personnel afin de rappeler les rôles et responsabilités de chacun en matière de protection des renseignements personnels.