Centre des médias

Les derniers développements relatifs à la conformité à la protection de la vie privée : Examen de la LPRPDÉ et la USA PATRIOT Act

La 11^e réunion annuelle sur l'application des règlements pour les institutions financières

Le 18 novembre 2005
Toronto (Ontario)

Allocution prononcée par Heather Black
Commissaire adjointe à la protection de la vie privée du Canada

(LE TEXTE PRONONCÉ FAIT FOI)

Depuis les attentats terroristes du 11 septembre 2001, les institutions financières sont de plus en plus tiraillées entre le droit à la protection de la vie privée et la sécurité. D’un côté, il y a les lois sur le droit à la protection de la vie privée, telle la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), et la nécessité de tenir compte des craintes de leurs clients quant à la manipulation inadéquate des renseignements personnels. De l’autre, les obligations des institutions financières à l’égard des lois renforcées sur le blanchiment d’argent et sur le terrorisme, qui ont marquées ces dernières années, et qui vont probablement nécessiter une surveillance toujours plus efficace à l’avenir. On incorpore  aujourd’hui les institutions financières à l’appareil de surveillance de l’État comme jamais auparavant.

La protection des renseignements personnels est une opération d’autant plus ardue en raison  des pressions économiques visant à faire traiter les renseignements personnels hors du Canada. Comment protéger adéquatement le droit à la vie privée quand l’approvisionnement à l’étranger est si répandu? Plus particulièrement, comment réagir devant une loi, telle la USA PATRIOT Act, qui facilite grandement au Federal Bureau of Investigation (FBI) l’accès aux renseignements personnels des Canadiennes et des Canadiens conservés aux États-Unis. Et comment réagir lorsque cette même loi s’efforce d’étendre sa portée jusqu’aux banques de données qui se trouvent non seulement aux États-Unis mais aussi au Canada?

L’accès des pays étrangers aux renseignements personnels des Canadiennes et des Canadiens est un enjeu qui ne doit pas être négligé. Le cas de Maher Arar le démontre très clairement. M. Arar a été détenu à New York par les autorités américaines en septembre 2002, alors qu’il revenait au Canada après un séjour en Tunisie. Invoquant des liens avec le groupe terroriste al-Qaida, les États-Unis l’ont déporté en Syrie, son pays d’origine, et ce, même s’il était désormais citoyen canadien et avait son passeport canadien en poche. On cherche maintenant à déterminer quel rôle ont pu jouer des organismes gouvernementaux canadiens dans la communication de renseignements sur M. Arar à des organismes gouvernementaux américains, et si cette communication a pu mener à sa déportation dans un pays reconnu pour pratiquer la torture.

D’autres Canadiennes et Canadiens sont également préoccupés par l’échange de renseignements personnels entre les pays, que ce soit par le gouvernement ou par le secteur privé. Le Commissariat a commandé en mars dernier un sondage national sur les nouveaux enjeux en matière de protection de la vie privée. Ce sondage a démontré que les gens sont très préoccupés par la circulation transfrontalière des renseignements personnels. Cette préoccupation s’avère moins importante lorsque l’échange de renseignements personnels concerne la sécurité nationale, mais demeure élevée pour toute autre activité, peu importe la raison ou le motif de l’échange.

Les résultats de ce sondage ont une grande incidence sur l’impartition du traitement de données et l’échange de renseignements personnels entre des gouvernements étrangers. Les Canadiennes et les Canadiens veulent maintenir un contrôle sur leurs renseignements personnels; ils ne veulent pas que les protections consenties à cet égard ne s’évanouissent à la frontière. Ils veulent être tenus informés de la circulation transfrontalière des données.

Le Congrès américain a édicté la USA PATRIOT Act quelques semaines seulement après les attaques terroristes du 11 septembre 2001 aux États-Unis. Cette loi accroît l’accès du FBI aux dossiers détenus par des entreprises aux États‑Unis. Elle permet au directeur du FBI de demander une ordonnance de communication de livres comptables, de pièces, de documents et d’autres éléments à un tribunal américain pour mener une enquête afin de lutter contre le terrorisme international et les opérations clandestines de renseignements.

Si un juge délivre une ordonnance – ce qui est très probable, les refus étant rares – l’entreprise touchée par celle-ci est tenue de fournir de l’information, laquelle information pourrait comprendre les renseignements personnels qu’elle détient sur les Canadiennes et les Canadiens.

De plus, on interdirait à l’entreprise de dévoiler aux personnes dont les renseignements personnels auraient été communiqués au FBI que cet organisme a demandé ou obtenu ces renseignements. En d’autres mots, l’entreprise ne peut pas informer les personnes concernées que leurs renseignements personnels ont été demandés ou obtenus en vertu d’une ordonnance.

Les décisions des tribunaux américains portent à croire qu’une loi telle la USA PATRIOT Act peut avoir une incidence au-delà des frontières, ce qui veut dire que les dispositions de cette loi peuvent toucher le Canada, du moins selon la législation américaine.

Le Canada n’accepterait pas, bien sûr, ce genre d’ingérence dans sa souveraineté. Les sociétés par actions qui exercent leurs activités au Canada sont assujetties à la loi canadienne, et les tribunaux de notre pays seraient en désaccord avec l’application d’une loi américaine au Canada.

Il y a cependant un hic. En vertu de la USA PATRIOT Act, une entreprise américaine qui doit se plier à une ordonnance de communication de renseignements personnels du FBI n’a pas le droit de dévoiler l’existence de ladite ordonnance. Par cette ordonnance, le FBI peut exiger de l’entreprise qu’elle obtienne de l’information de ses sociétés affiliées au Canada. Si l’entreprise dont le siège aux États-Unis obtient l’accès à des renseignements personnels conservés au Canada, la loi américaine interdit à l’entreprise d’informer sa société affiliée canadienne que des données ont été recueillies au Canada, puis transmises au FBI. L’entreprise canadienne pourrait ne jamais savoir que son homologue américain a puisé dans une banque de données canadienne. Les Canadiennes et les Canadiens à qui on aurait subtilisé ainsi des renseignements personnels ne le sauraient jamais.

Ce genre de pillage sournois de renseignements personnels conservés au Canada transgresse le fondement même de nos lois sur la protection des renseignements personnels. Les Canadiennes et les Canadiens ne tiennent pas à ce que les protections chèrement acquises, accordées LPRPDÉ, de la Loi sur la protection des renseignements personnels ou d’autres lois, soient érodées par une mesure secrète en vertu d’une loi de juridiction étrangère, et sur laquelle ils n’ont aucun mécanisme de contrôle démocratique.

L’obligation juridique de protéger les renseignements personnels

Comment doivent réagir les institutions canadiennes lorsqu’un tiers tel le FBI vient frapper à leur porte? Si cette institution exerce des activités aux États-Unis, elle doit bien évidemment se conformer à la loi américaine.

Toutefois, lorsque l’institution est située au Canada, celle-ci a la possibilité de faire beaucoup de choses, et doit faire beaucoup de choses, non seulement du point de vue éthique, mais aussi du point de vue légal. Une institution canadienne exerçant ses activités au Canada doit se conformer à la loi canadienne, pas à une loi de juridiction étrangère. Même si, en vertu de la loi américaine, la USA PATRIOT Act autorise la collecte d’informations détenues par une institution située au Canada, l’institution en question demeure assujettie à la loi canadienne.

Le septième principe de la LPRPDÉ stipule que les « renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité ».

Ces mesures de protection physiques, organisationnelles ou technologiques doivent protéger les renseignements contre les accès non autorisés, par exemple, lorsqu’une société affiliée étrangère tente secrètement d’obtenir des renseignements personnels d’une banque de données canadienne pour se conformer à une ordonnance de la USA PATRIOT Act. 

En raison de la portée possible de la USA PATRIOT Act au Canada, il va de soi que les entreprises canadiennes assujetties à la LPRPDÉ doivent mettre en place des dispositifs de protection pour empêcher les sociétés américaines de puiser clandestinement des renseignements personnels dans une banque de données du Canada. De plus, compte tenu de l’accès aux banques de données américaines que permet la USA PATRIOT Act, les institutions canadiennes voudront sans doute réfléchir plus longuement avant de faire traiter nos renseignements personnels chez nos voisins du Sud. À tout le moins, elles devraient informer leurs clients du risque encouru lorsque leurs renseignements personnels franchissent la frontière canadienne.

Mis à part les mesures de sécurité technique et les restrictions sur l’exportation de données personnelles, qu’est-ce que les institutions canadiennes peuvent faire pour protéger les renseignements personnels de leurs clients de l’appétit insatiable des gouvernements étrangers en matière d’information? La décision de la Cour suprême de la Colombie-Britannique en 2005 dans l’affaire Gouvernement de la Colombie-Britannique et le syndicat des employés du secteur des services c. Colombie-Britannique (ministre de la Santé) concernant la USA PATRIOT Act nous fournit de bonnes pistes sur les différentes façons de protéger les renseignements personnels des Canadiennes et des Canadiens. Dans cette cause, le juge Melvin a suggéré plusieurs mesures pour réduire le risque de communication en vertu de cette loi, notamment :

• restreindre l’usage et le contrôle d’appareils et de dispositifs électroniques par des employés;
• imposer une sanction pécuniaire élevée dans les cas de bris de confidentialité;
• protéger les dénonciateurs;
• donner une formation aux employés sur leurs obligations légales.

L’information peut être protégée par la mise en place de dispositions contractuelles visant à fournir aux renseignements personnels qui ont été transférés à l’extérieur du pays une protection équivalente à celle offerte au Canada. Cependant, lorsque l’on transfère des renseignements personnels à l’extérieur du Canada, on doit se plier à la loi en vigueur dans la juridiction où l’information est conservée. 
La LPRPDÉ n’a aucun pouvoir de protection à l’endroit des données personnelles transférées à l’extérieur du pays. Le premier principe de la LPRPDÉ, portant sur la responsabilité, stipule qu’« une organisation est responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L'organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie ». Ces dispositions contractuelles perdent cependant toute valeur si le pays étranger possède une disposition législative sur l’obligation de communiquer ces renseignements au gouvernement.

En d’autres mots, la LPRPDÉ exige des organisations canadiennes qu’elles s’efforcent de  protéger de façon contractuelle ou par d’autres moyens les renseignements personnels, tel que prévu par la Loi. Toutefois, les dispositions mises en place ne peuvent pas empêcher les gouvernements étrangers d’avoir accès à cette information.

Une plainte déposée récemment impliquant le traitement des renseignements de clients de Visa CIBC aux États-Unis met en lumière la relation inéquitable entre les garanties contractuelles et les lois sur la sécurité nationale. Le Commissariat a reçu plusieurs plaintes après que la CIBC a envoyé à l’automne 2004 à ses clients détenant une carte Visa un avis de modification du contrat de ses titulaires de carte de crédit.

L’avis faisait référence au recours à un prestataire de services situé aux États-Unis, ainsi qu’à la possibilité que les autorités ou les organismes de réglementation américains aient accès aux renseignements personnels des titulaires de carte, conformément à la loi américaine. L’avis de modification indiquait aussi clairement que ceux qui acceptaient ces conditions consentaient par le fait même à ce que les organismes gouvernementaux américains aient accès à ces renseignements.

Le Commissariat a examiné le contrat de la CIBC avec le tiers prestataire de services situé aux États-Unis. Le contrat contient des exigences détaillées sur la protection, la confidentialité et la sécurité du compte-client.

Le contrat confirme que la CIBC est propriétaire des données traitées par le prestataire de services, que ce dernier doit protéger les données et que la CIBC se garde un droit d’accès et de vérification. La politique de sécurité de la tierce partie prévoit des dispositifs administratifs, techniques et physiques pour protéger les données contre l’utilisation, la modification, la copie et l’accès non autorisés ou tout autre traitement non autorisé des données appartenant à la CIBC. La politique est conçue dans le but d’assurer la sécurité et la confidentialité de tous les dossiers et de toutes les données, ce qui offre une protection contre les menaces et les risques possibles à la sécurité ou l’intégrité de l’information, l’accès ou l’utilisation non autorisés. La politique renferme différentes directives, y compris la Directive sur la protection de données de l’Union européenne, le contrat de titulaire de carte de crédit VISA, etc.

Après enquête, j’ai conclu que la CIBC agissait conformément au principe 4.1.3, qui stipule qu’une « organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie ».

Ces mesures de protection contractuelles ne pouvaient toutefois pas empêcher la communication de renseignements personnels aux autorités gouvernementales américaines s’ils étaient exigés en vertu de la loi américaine. La meilleure façon de réagir dans ce cas était d’informer les clients que l’information pourrait être mise à la disposition du gouvernement américain ou d’un de ses organismes, en vertu d’une ordonnance légale de ce pays. C’est ce qu’a fait la CIBC.

En informant ses titulaires de carte de crédit que des organismes gouvernementaux américains pourraient accéder à leurs données, la CIBC se conforme au principe 4.8 de la LPRPDÉ, qui stipule  qu’« une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne ».

Il est aussi essentiel de se rappeler que les préoccupations soulevées par le transfert de données aux États-Unis s’appliquent aussi à la circulation vers d’autres pays. N’oublions pas que les organismes gouvernementaux canadiens peuvent aussi accéder aux renseignements personnels que conservent les institutions financières, à la différence qu’au Canada nous exerçons un pouvoir démocratique sur les activités de nos gouvernements.

Dans un cas en particulier, le Commissariat a traité la plainte d’une personne qui avait effectué un transfert bancaire par l’entremise d’une société canadienne affiliée à une entreprise américaine. Cette personne avait été offusquée d’apprendre que, pendant le traitement d’un transfert bancaire aux États­Unis, on avait vérifié si son nom apparaissait sur une liste de terroristes.

Le Commissariat a cependant rappelé à cette personne que le Canada est aussi doté de règlements exigeant la surveillance de certains transferts bancaires et que si cette transaction avait été effectuée par l’entremise d’une société canadienne, on aurait vérifié si son nom apparaissait sur une liste de surveillance du Canada, probablement très similaire à celle des États-Unis.

Circulation transfrontalière des données

Pour bien protéger les renseignements personnels des Canadiennes et des Canadiens dans un contexte mondial, « il faut d’abord se connaître ». Afin de protéger adéquatement les renseignements personnels, les institutions financières doivent bien comprendre ce qu’est la circulation transfrontalière.

Quelle quantité de renseignements traverse la frontière, à qui sont-ils destinés, quels sont les dispositifs de protection, qui les protégent et quand doivent-ils être communiqués à un gouvernement étranger?

Combien d’organisations assujetties à la LPRPDÉ sont incapables de répondre à ces questions? Bien entendu, il ne s’agit pas d’un enjeu concernant uniquement le secteur privé. Le gouvernement du Canada, ainsi que les gouvernements provinciaux et territoriaux, confient le traitement de leurs données à des entreprises étrangères, ou encore à des sociétés canadiennes affiliées à des entreprises d’autres pays. Le gouvernement du Canada doit lui aussi se secouer et agir.

C’est une des raisons pour laquelle le Commissariat a informé en juillet 2004 le président de l’Agence des services frontaliers du Canada qu’une vérification de la gestion de l’échange transfrontalier de renseignements personnels en sa possession serait effectuée.

Examen de la LPRPDÉ en 2006

Le Commissariat examinera au cours de ce processus, voué à trouver des moyens de protéger les renseignements personnels des Canadiennes et des Canadiens en cette ère d’impartition, des dispositions actuelles et éventuelles de la LPRPDÉ qui pourraient avoir des répercussions sur cette question. Comme le Parlement doit examiner la LPRPDÉ en 2006, nous accueillerons avec plaisir vos suggestions sur les différentes façons de mieux protéger les renseignements personnels qui traversent la frontière.

Conclusion

Nous sommes encore plus inquiets aujourd’hui qu’il y a cinq ans. La peur du terrorisme a engendré beaucoup de pressions pour diminuer le droit à la protection de la vie privée. Cette diminution s’exerce souvent sans justification solide, comme l’a constaté le Commissariat. Le monde des affaires du Canada ne peut ignorer les préoccupations des Canadiennes et des Canadiens sur le droit à la protection de la vie privée, en particulier leur appréhension face à l’échange de renseignements personnels par-delà les frontières. Les institutions financières ont l’obligation de respecter nos lois régissant la protection des renseignements personnels, tout comme elles doivent respecter d’autres exigences réglementaires.

L’enjeu ne se limite pas uniquement à des obligations. Lorsque vous n’êtes pas au travail en tant que représentants d’institutions financières, vous êtes certainement des gens souhaitant le respect des droits fondamentaux de la personne, que nous considérons essentiels dans une démocratie. Soyons vigilants, non seulement à l’égard des menaces à la sécurité, mais aussi à l’égard des menaces contre nos droits. Une fois érodé, le droit à la protection de la vie privée sera difficile à rétablir; il faut donc redoubler de prudence. Si notre quête de sécurité nous amène à négliger ce droit, nous ne jouirons plus d’un sentiment de sécurité, mais nous vivrons plutôt avec le sentiment d’avoir moins de libertés.

Si vous désirez protéger les renseignements personnels et gagner le respect des citoyens que vous servez, vous devrez aller au-delà de la conformité et chercher les moyens de valoriser la protection des renseignements personnels, que la loi vous y soumette ou non. J’espère que vous n’aurez pas froid aux yeux et ferez mieux que vous conformer, en ne reculant pas devant l’ingérence excessive ou futile, qui sera monnaie courante dans les années à venir.