Numéro d'assurance sociale - Code de bonnes pratiques Section 4 - Responsabilités du secteur privé

Les organismes privés sont tenus de collecter le numéro d'assurance sociale (NAS) uniquement lorsqu'ils doivent respecter les exigences de programmes gouvernementaux, généralement pour les besoins de l'emploi et de l'impôt sur le revenu et le versement de prestations gouvernementales.

Bien que l'exigence légale d'utiliser le NAS soit limitée dans le secteur privé, de nombreuses entreprises le demandent pour une variété d'autres raisons, y compris à titre de numéro d'identification du client, pour obtenir avec plus de précision une cote de crédit et à titre de document d'identité. L'utilisation du NAS à ces fins est fortement déconseillée. D'après le rapport du vérificateur général de 2002 sur la situation du numéro d'assurance sociale au Canada, des pratiques de ce type compromettent grandement l'intégrité du NAS et augmentent les risques de fraudes et d'abus. Le Commissariat à la protection de la vie privée du Canada a formulé des préoccupations similaires. Il recommande que le secteur privé ne demande pas de NAS à un client, et que ce dernier ne donne pas de NAS aux organismes privés à moins que la loi ne l'y oblige. Pour de plus amples renseignements sur la façon dont la LPRPDE s'applique à l'utilisation du NAS, veuillez consulter le site Web du Commissariat à la protection de la vie privée du Canada.

4.1  Principales responsabilités des organismes du secteur privé

Le NAS est considéré comme une information d'ordre personnel en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Par conséquent, sa collecte, son utilisation, sa divulgation et sa protection sont régies par cette loi. La LPRPDE met en balance le droit d'une personne à la protection de sa vie privée avec le besoin des organismes de collecter, utiliser et divulguer des renseignements personnels pour des raisons commerciales valables.

Afin de respecter les principes de la loi, les organismes privés doivent assumer quatre responsabilités.

1. Un organisme privé ne doit jamais utiliser le NAS comme une pièce d'identité ou comme un numéro d'identification client

  • Le NAS n'est pas une pièce d'identité et ne devrait pas être utilisé à cette fin. Si vous avez besoin de vérifier l'identité d'un client, demandez un autre document d'identité.
  • Les organismes privés ne doivent jamais demander le NAS d'un client à moins que la loi ne les oblige à le recueillir (par exemple pour les besoins de la déclaration de revenus). Si un organisme du secteur privé recueille le NAS d'un client, il doit se conformer entièrement à la LPRPDE en exposant l'utilisation qui sera faite du NAS et en obtenant le consentement du client. Ils doivent alors l'utiliser uniquement à cette fin.
  • Si un organisme doit attribuer un numéro d'identification à ses clients, le numéro doit être créé et utilisé uniquement par cet organisme. L'utilisation du NAS, qui a été créé à d'autres fins, compromet la protection des renseignements personnels des clients et l'intégrité du NAS. Cette pratique augmente aussi les risques que des usurpateurs d'identité ciblent l'organisme en raison de la valeur des renseignements liés à ce numéro.

2. Un organisme privé doit informer ses clients des raisons qui le conduisent à demander le NAS et doit l'utiliser uniquement à ces fins

  • Il n'existe qu'une seule raison pour laquelle le secteur privé doit collecter le NAS de ses clients : la déclaration de revenus (par exemple, les institutions financières doivent déclarer les revenus d'intérêts de leurs clients). Si le NAS est demandé dans ce but, l'organisme devrait clairement indiquer que la loi l'y oblige.
  • Si un organisme privé décide de demander le NAS pour d'autres raisons, comme l'identification, l'organisme doit clairement mentionner ces raisons au moment de la demande, et préciser comment le NAS sera utilisé. L'organisme doit également informer la personne qu'elle n'est pas obligée de fournir son NAS si elle ne le souhaite pas.
  • Un organisme ne doit pas utiliser le NAS pour tout autre raison non spécifiée sans le consentement du client.

3. Un organisme privé ne peut pas demander à ses clients de donner leur NAS comme condition préalable à l'obtention d'un produit ou d'un service, à moins que la loi ne l'exige :

  • Un organisme doit s'assurer que ses clients disposent de suffisamment d'information et qu'ils consentent à la collecte et à l'utilisation de leur NAS.
  • Si un organisme demande le NAS d'un client pour des raisons autres que les exigences légales, il ne doit en aucun cas suggérer au client que le NAS est exigé comme condition préalable à l'obtention d'un produit ou d'un service et doit proposer d'autres méthodes d'identification.
  • Si le NAS n'est pas exigé par la loi, un organisme doit fournir un mécanisme qui permette au client de se rétracter à tout moment après avoir donné son NAS, si un usage régulier du NAS est prévu. Le mécanisme doit être clair, économique, facile à mettre en place, sûr et efficace.

4. Les organismes privés doivent protéger les renseignements personnels de leurs clients, y compris les NAS, du vol et d'une utilisation ou divulgation frauduleuse.

  • Si les organismes privés se voient confier des renseignements personnels, y compris le NAS de leurs clients, ils doivent s'assurer que ces renseignements sont en sécurité et protégés contre le vol ou une utilisation ou divulgation frauduleuse.
  • Les renseignements personnels des clients doivent être conservés et supprimés de manière sûre. Seules les personnes autorisées doivent y avoir accès.
  • Les organismes privés sont encouragés à suivre la Liste des choses à faire et à ne pas faire à l'intention du secteur privé : demande, collecte, utilisation et archivage du NAS  en annexe 7.
  • Si le NAS des clients est volé ou utilisé ou divulgué de manière frauduleuse, l'organisme doit prendre des mesures immédiates pour minimiser les préjudices éventuels. Veuillez consulter l'annexe 4 : NAS en situation à risque – Plan d'action à l'intention des organismes.  

4.2  Questions et réponses concernant l'utilisation du NAS dans le secteur privé

1. Pourquoi certains organismes privés demandent-ils le NAS?

Certains organismes privés, comme les banques, les caisses populaires et les sociétés de fiducie, sont tenus par la loi de demander le NAS du client pour tout compte et placement qui génère des intérêts. Toutefois, pour les autres comptes, l'organisme n'est pas tenu par la loi de demander un NAS au client, et ce dernier n'est pas obligé de le fournir.

Certains organismes privés demanderont le NAS d'un client, généralement pour des besoins d'identification, pour un numéro de compte client ou pour augmenter l'exactitude d'appariement pour l'agence d'évaluation du crédit, même si légalement rien ne l'y oblige. Bien que cette pratique soit fortement déconseillée, elle n'est pas illégale. Cependant, l'organisme doit expliquer au client la raison pour laquelle il recueille le NAS et s'engage à l'utiliser seulement à cette fin. S'il ne s'agit pas d'une obligation légale, l'organisme doit clairement indiquer que le NAS est facultatif et donner d'autres possibilités au client.

Avant de donner leur NAS, les clients ont le droit de demander les exigences légales dans lesquelles s'inscrit la collecte du NAS. À l'exception de programmes gouvernementaux précis, vous avez votre mot à dire lorsqu'on recueille et utilise votre NAS. C'est à vous de décider si vous souhaitez le communiquer, et vous devriez y réfléchir consciencieusement.

2. Un organisme privé peut-il demander le numéro d'assurance sociale pour les fins d'identification?

L'identification n'est pas une raison valable pour demander à quelqu'un de fournir son NAS. Si un organisme demande un NAS uniquement pour des besoins d'identification, il ne doit en aucun cas suggérer à la personne qu'elle doit fournir son NAS afin d'obtenir un produit, un service ou pour établir une relation commerciale.

3. Comment les organismes privés peuvent-ils obtenir davantage d'information à propos du NAS?

Des renseignements supplémentaires sur le NAS sont disponibles sur le site Web de Service Canada ou en communiquant avec le Bureau de l'immatriculation aux assurances sociales au 1-866-274-6627 ou en vous rendant au Centre Service Canada.

4. Que doivent faire les organismes privés si les renseignements personnels des clients, y compris le NAS, risquent d'être compromis (par exemple à cause d'un vol ou d'une communication frauduleuse)?

Le vol ou la divulgation frauduleuse des renseignements personnels peut toujours se produire, peu importent les politiques et les pratiques que vous avez mises en place. Les organismes doivent être prêts et mettre en place des mesures pour minimiser les préjudices éventuels. Veuillez consulter l'annexe 4 pour obtenir les étapes que les organismes privés pourraient faire : Plan d'action dans les situations à risque pour le NAS à l'intention des organismespour connaître les mesures à prendre.

5. Que doivent faire les organismes privés avec les NAS recueillis auprès de leurs clients avant l'adoption de la LPRPDE et pour lesquels le consentement n'a pas été obtenu?

Les dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), y compris le principe de consentement, s'appliquent à tous les renseignements personnels détenus par un organisme, peu importe le moment où les renseignements ont été recueillis. Dans certains cas, le meilleur moyen de gérer ces anciens dossiers est de les détruire ou de les supprimer. Toutefois, les organismes n'ont pas besoin d'obtenir un consentement pour continuer à détenir et à utiliser les NAS figurant dans les dossiers. Afin de savoir si vous devez conserver le NAS d'un client, posez-vous les questions suivantes :

  • L'information est-elle toujours (a-t-elle déjà été) utile?
  • Existe-t-il une exigence légale ou contractuelle de conserver l'information?
  • La personne est-elle susceptible d'attendre de l'organisme qu'il conserve toujours le dossier?

Si la réponse à une de ces questions est négative, mieux vaut supprimer les NAS de manière sûre.

6. Que doivent faire les organismes privés pour protéger la sécurité et la confidentialité des NAS et des autres renseignements personnels en leur possession?

Tout organisme qui collecte les NAS doit prendre des mesures pour s'assurer de leur protection contre le vol ou la perte et veiller à ce qu'on puisse les supprimer en toute sécurité. Les NAS conservés en copie papier doivent être mis sous clé. Les NAS enregistrés en version électronique doivent être encodés ou protégés par un mot de passe et stockés à l'écart des autres renseignements personnels. Certains télécopieurs gardent en mémoire les renseignements personnels, comme le NAS, en raison de transmissions antérieures. Veillez à ce que tout matériel ou équipement qui contienne ces informations soit jeté de manière sûre.

Les organismes doivent permettre l'accès au NAS uniquement aux employés qui ont besoin de cette information pour exercer leurs fonctions. Ils doivent demander à ces employés de signer une entente de confidentialité et ces derniers doivent être tenus informés des éventuelles mesures disciplinaires qu'ils encourent s'ils utilisent de façon abusive les renseignements personnels des autres personnes, y compris le NAS.

Veuillez consulter l'annexe 7 : Liste des choses à faire et à ne pas faire à l'intention du secteur privé : demande, collecte, utilisation et archivage du NAS  pour obtenir des informations supplémentaires sur la sécurité et la confidentialité des NAS.

7. Les organismes privés doivent-ils informer les personnes des renseignements en leur possession?

Les organismes devraient suivre une politique de transparence avec leurs clients et être prêts à montrer les dossiers personnels à ceux à qui ils appartiennent. Les personnes sont autorisées à être informées du contenu des renseignements personnels que détiennent à leur sujet les organismes privés. Pour plus d'information sur le principe de transparence de LPRPDE, veuillez visiter le site Web du Commissariat à la protection de la vie privée.

4.3 Engagements de Service Canada envers les organismes du secteur privé

La fraude d'identité, comprenant le vol, la perte et l'emprunt de NAS, entraîne des coûts pour les personnes, les organismes et les gouvernements. Bien que de nombreux organismes du secteur privé ne soient pas autorisés légalement à recueillir le NAS pour des raisons autres que celles relatives à l'emploi, certains continuent de collecter et d'utiliser les NAS des clients pour une variété d'autres raisons.

Étant donné l'utilisation qui est faite du NAS dans le secteur privé, Service Canada s'engage à :

  • fournir des conseils, de l'information, de la formation et des outils pour aider les organismes à assumer leurs responsabilités quant au NAS et fournir des instructions sur les solutions de rechange à l'utilisation du NAS 
  • aider les organismes dans le cas où la sécurité des renseignements du NAS en leur possession a été compromise
  • collaborer avec les organismes pour détecter, rendre compte et enquêter sur l'utilisation suspecte d'un NAS.
Signaler un problème ou une erreur sur cette page
Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :