Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2005-313

(Principes 4.1.3 et 4.8)

Plainte

Le Commissariat à la protection de la vie privée du Canada a reçu plusieurs plaintes après que la Banque Canadienne Impériale de Commerce (CIBC) eut, à l'automne 2004, fait parvenir à ses clients VISA un avis de modification de l'entente avec ses détenteurs de cartes de crédit. L'avis traitait du recours à un fournisseur de services établi aux États-Unis et de la possibilité que des organismes d'application de la loi ou de réglementation des États-Unis soient en mesure d'avoir accès aux renseignements personnels des détenteurs de cartes de crédit en vertu du droit américain.

Les allégations des plaignants peuvent être résumées de la façon qui suit :

• Que la CIBC exigeait, pour l'obtention du service, que les clients VISA consentent à communiquer leurs renseignements personnels aux organismes de réglementation des États-Unis;
• Qu'on exigeait d'eux, pour l'obtention du service, qu'ils transmettent leurs renseignements personnels à une société établie aux États-Unis;
• Qu'on exigeait d'eux qu'ils consentent à des méthodes de collecte de renseignements trop étendues;
• Que la CIBC ne leur permettrait pas de refuser de transmettre leurs renseignements personnels à un tiers fournisseur de services;
• Que la banque ne protégeait pas correctement leurs renseignements personnels.

Bien que les enjeux soulevés aient différé légèrement d'une plainte à l'autre, l'objection principale de tous les plaignants portait sur la possibilité que des autorités américaines examinent en détail leurs renseignements personnels dans le cadre d'une collecte de renseignements en matière de sécurité à l'étranger.

La commissaire à la protection de la vie privée du Canada a déclaré que les incidences des lois antiterroristes et des besoins en matière d'impartition doivent être au coeur d'un débat public continu. Cependant, la question principale à trancher dans le cas de ces plaintes consistait à établir si la banque a agi conformément à ses obligations en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi).

Résumé de l'enquête

En septembre 2004, les plaignants ont reçu de la CIBC un avis de changements à leur contrat de titulaire de carte de crédit VISA. La partie qui a suscité le plus d'inquiétude disait notamment ce qui suit :

Je reconnais que dans les cas où un fournisseur de services est établi aux États-Unis, les renseignements personnels que j'ai fournis peuvent être traités et conservés aux États-Unis et que les gouvernements, tribunaux et organismes d'application de la loi ou de réglementation des États-Unis peuvent être en mesure d'obtenir une communication de ces renseignements en vertu des lois des États-Unis...

Je reconnais et accepte que ... les paragraphes ci-dessus constituent un préavis écrit dont j'ai pris connaissance et un consentement de ma part à la collecte, à l'utilisation et à la communication de mes renseignements personnels, de la façon décrite ci-dessus...[TRADUCTION]

Impartition de services financiers aux États-Unis

La CIBC fait valoir que, dans le cadre du processus de mise à jour de son portefeuille de cartes de crédit, elle a décidé de fournir davantage de renseignements à ses clients au sujet du traitement et du stockage de renseignements aux États-Unis. Depuis 1994, la CIBC a maintenu une relation d'affaires avec une entreprise de traitement de données dont le siège social est aux États-Unis. Le tiers fournisseur de services possède des logiciels qui facilitent l'autorisation des opérations de paiement, l'évaluation des risques et la surveillance de la fraude. Tous les renseignements personnels que fournissent les détenteurs approuvés de cartes de crédit sont entrés dans le système du tiers fournisseur de services et sont accessibles aux employés de la CIBC qui interagissent avec les détenteurs de carte à propos d'informations sur les comptes, de différends au sujet des frais et de toute activité de collecte de renseignements.

Le paragraphe 245(1) de la Loi sur les banques exige que les banques conservent et traitent au Canada tout renseignement ou toute donnée ayant trait à la préparation et à la tenue des documents bancaires, y compris les registres comptables des clients. Les banques peuvent être soustraites à cette exigence, mais elles doivent pour cela demander et recevoir l'approbation de Bureau du surintendant des institutions financières (BSIF). Le BSIF traite les demandes des banques en fonction de leur bien-fondé et, sans l'approbation du Bureau, la banque ne peut prendre de dispositions pour une impartition à l'étranger. La CIBC a reçu à six reprises du BSIF une approbation de sa relation d'affaires avec le tiers fournisseur de service, la plus récente ayant été accordée en 2002.

Le BSIF émet des lignes directrices à l'intention de toutes les entités sous réglementation fédérale au sujet de leurs pratiques d'impartition. Ces lignes directrices font expressément de la confidentialité et de la sécurité des renseignements des aspects clés dont il faut tenir compte dans une entente d'impartition et définissent l'exigence du BSIF en vertu de laquelle les banques doivent appliquer un processus de diligence raisonnable qui assure une évaluation complète de tous les risques découlant d'une entente d'impartition et une conformité à toutes les exigences réglementaires pertinentes. Les lignes directrices énoncent notamment ce qui suit :

« Lors de la sélection d'un fournisseur de services ou du renouvellement d'un marché ou d'une entente d'impartition, l'EF (entité sous réglementation fédérale) doit appliquer un processus de diligence raisonnable qui évalue pleinement les risques associés à l'entente d'impartition et aborde tous les aspects propres au fournisseur de services, y compris les facteurs qualitatifs (c.-à-d. d'exploitation) ou quantitatifs (c.-à-d. financiers)...Si l'on envisage l'impartition à l'extérieur du Canada, l'EF doit accorder une attention particulière aux exigences juridiques du territoire en question, de même qu'à la situation politique, économique et sociale étrangère et aux événements susceptibles de réduire la capacité du fournisseur de services étranger d'assurer le service, sans oublier tout autre facteur de risque pouvant nécessiter l'ajustement du programme de gestion des risques. »

Le Commissariat a examiné le contrat de la CIBC avec le tiers fournisseur de services établi aux États-Unis. Le contrat énonce des exigences précises concernant la protection, la confidentialité et la sécurité des renseignements contenus dans les comptes des clients. Il stipule que la CIBC est propriétaire des données qui sont traitées par le fournisseur de services, que ce dernier doit appliquer des mesures de protection de ces données et que la CIBC conserve le droit d'accéder à ces données et d'en faire la vérification. La politique de sécurité du tiers fournisseur de services inclut des mesures d'ordre administratif, technique et physique de protection contre, entre autres, un usage, une modification, une copie, un accès ou autre traitement non autorisés des données de la CIBC. Les objectifs de cette politique sont d'assurer la sécurité et la confidentialité de tous les dossiers et de toutes les données, d'offrir une protection contre des menaces ou des risques anticipés à la sécurité ou à l'intégrité des renseignements et une protection contre l'accès non autorisé à ces renseignements ou un usage non autorisé de ceux-ci. La politique englobe diverses lignes directrices, dont la directive de l'Union européenne sur les données, les lignes directrices de l'Association VISA et d'autres.

La CIBC exerce un contrôle sur la destruction des données et gère tous les aspects de ses relations avec ses clients. Toutes les données et tous les renseignements qui circulent entre la CIBC et le fournisseur de services sont chiffrés et transmis au moyen d'une ligne réservée à cette fin. Le BSIF a le droit de vérifier, d'examiner et de surveiller la prestation des services. Il existe également des mécanismes contractuels de contrôle en ce qui a trait à la sous-traitance de services et de vérifications comptables.

Accès des autorités américaines aux renseignements personnels de résidants du Canada

La possibilité que les autorités américaines aient accès aux renseignements personnels de Canadiennes et de Canadiens a fréquemment été soulevée depuis l'adoption de la Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, 2001 (USA PATRIOT Act). Avant l'adoption de cette loi, les autorités américaines étaient en mesure d'accéder de diverses façons aux dossiers détenus par des entreprises américaines en ce qui a trait à la collecte de renseignements sur l'étranger.

Ce qui a changé avec l'adoption de la USA PATRIOT Act est le renforcement et la portée de certains outils américains de renseignement, de surveillance de la police et de collecte d'informations et une réduction au minimum des contraintes de procédure pour les organismes américains chargé de l'application de la loi. En vertu de l'article 215 de la USA PATRIOT Act, le Federal Bureau of Investigation (FBI) peut avoir accès à des dossiers détenus aux États-Unis en demandant une ordonnance de la Foreign Intelligence Surveillance Act Court of Review. Une société soumise à une ordonnance en vertu de l'article 215 ne peut révéler que le FBI lui a demandé des renseignements et qu'elle lui en a fournis.

Le risque que des renseignements personnels soient communiqués à des autorités gouvernementales n'est pas propre aux seules organisations américaines. Dans le contexte de crainte pour la sécurité nationale et de lutte contre le terrorisme, les organisations canadiennes sont soumises à des ordonnances de type similaire qui les obligent à communiquer aux autorités canadiennes des renseignements personnels détenus au Canada. Malgré les objections du Commissariat à la protection de la vie privée, depuis les événements du 11 septembre 2001 la Loi sur la protection des renseignements personnels et les documents électroniques a été modifiée de façon à permettre à des organisations de recueillir et d'utiliser des renseignements personnels sans consentement aux fins d'une communication de ces renseignements à des institutions gouvernementales si ces renseignements ont trait à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.

Outre ces mesures, il existe depuis longtemps des ententes bilatérales de collaboration entre des organismes gouvernementaux canadiens et américains qui prévoient l'échange de renseignements pertinents. Ces mécanismes sont toujours disponibles.

L'enjeu du consentement

En ce qui concerne l'avis, le point de vue de la banque est qu'il était prudent de confirmer auprès des détenteurs de cartes qu'ils consentaient à ce que des renseignements soient transmis à un fournisseur de services dont le siège social est aux États-Unis puisqu'elle n'était pas sûre que l'une ou l'autre des exceptions au consentement prévues dans la Loi s'appliquerait dans le cas où les autorités américaines auraient accès aux renseignements sur les clients que détient la tierce partie chargée de fournir des services de traitement à la banque.

Certains des plaignants ont déduit de la formulation de l'avis (« Je reconnais et accepte que . . . les paragraphes ci-dessus constituent un préavis écrit dont j'ai pris connaissance et un consentement de ma part à la collecte, à l'utilisation et à la communication de mes renseignements personnels, de la façon décrite ci-dessus ... ») qu'ils avaient le droit de refuser cette utilisation de leurs renseignements personnels.

Dans la partie de l'avis intitulée portant sur les questions de protection de la vie privée, deux paragraphes portent précisément sur ces questions. L'un d'eux énumère les renseignements que collecte la CIBC et un deuxième se lit en partie comme suit :

Mes renseignements peuvent être utilisés et communiqués conformément aux politiques de la CIBC sur la protection de la vie privée, telles qu'elles sont énoncées dans sa brochure intitulée « Votre vie privée est protégée » ... [TRADUCTION]

Nous avons examiné la brochure sur la protection de la vie privée dont il est ici question. Elle comprend une section qui décrit les pratiques de la CIBC en matière de transmission de renseignements à des tierces parties. Il y est écrit, notamment :

Nous ne communiquons de renseignements vous concernant à qui que ce soit à l'intérieur du Groupe CIBC ou ne les divulguons pas à quiconque à l'extérieur du Groupe CIBC sans avoir obtenu au préalable votre consentement. Par exemple, nous communiquons des renseignements vous concernant à une agence d'évaluation du crédit seulement si vous y consentez.

Il existe certaines exceptions aux règles ci-dessus. Par exemple, nous pourrons recueillir, utiliser ou communiquer des renseignements sans votre consentement dans les cas suivants :

Traitement de l'information confié à une société extérieure

À l'occasion, nous pouvons confier à une société indépendante un travail qui fait intervenir certains renseignements vous concernant, par exemple l'impression de carnets de chèques. Lorsque nous agissons de la sorte, nous choisissons soigneusement la société et nous nous assurons que celle-ci observe des normes de sécurité comparables à celles de la CIBC.

La formulation de la brochure sur la protection de la vie privée semble informer les clients du fait qu'ils ne peuvent pas refuser dans les cas où la CIBC a recours à une société de l'extérieur pour le traitement de renseignements personnels. La CIBC a confirmé qu'il n'existe pas de droit de se soustraire à cette situation.

Conclusions

Rendues le 19 octobre 2005

Application : Le principe 4.1.3 de l'annexe 1 stipule qu'une organisation est responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L'organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. Le principe 4.8 établit qu'une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

La commissaire adjointe à la protection de la vie privée a reconnu que bon nombre de Canadiennes et de Canadiens sont préoccupés à propos de la circulation de leurs renseignements personnels à l'extérieur du pays et de l'accès possible des gouvernements étrangers à ces renseignements. Cependant, pour juger du bien-fondé ou non de ces plaintes, il faut d'abord examiner ce que sont les obligations qu'impose la Loi aux organisations canadiennes et voir dans quelle mesure la CIBC a satisfait à ces obligations.

Pour rendre sa décision, la commissaire adjointe s'est appuyée sur les considérations suivantes :

• Bien que la Loi n'interdise pas le recours à un tiers fournisseurs de services établi à l'étranger, elle oblige, dans un tel cas, les organisations canadiennes à mettre en place des mesures qui garantissent un niveau de protection comparable à ce qu'elles offrent elles-mêmes.
• En conformité avec les obligations que lui impose le principe 4.1.3 de la Loi et avec les lignes directrices du BSIF (qui concordent avec ce principe), la CIBC a passé avec le tiers fournisseur de services un contrat qui offre des garanties de confidentialité et de sécurité des renseignements personnels.
• Le contrat autorise une supervision, une surveillance et une vérification par la banque des services fournis. La CIBC conserve la garde et le contrôle des renseignements traités par le tiers fournisseur de services.
• La commissaire adjointe rappelle cependant que lorsque les renseignements personnels du client sont entre les mains d'un tiers fournisseur de services établi dans un pays étranger, ils sont assujettis aux lois de ce pays et que nul contrat ou disposition contractuelle ne peut l'emporter sur ces lois.
• En résumé, une organisation établie au Canada qui impartit le traitement de renseignements personnels à une entreprise américaine ne peut éviter que les autorités américaines aient légalement accès aux renseignements personnels de ses clients.
• En outre, même si l'on devait examiner la question de la « protection comparable » sous l'angle des lois antiterroristes des États-Unis par rapport à celles du Canada, il est clair, selon la commissaire ajointe, qu'il existe un risque juridique comparable que des organismes gouvernementaux aient accès aux renseignements personnels de Canadiennes et de Canadiens détenus par une organisation et par son fournisseur de services - qu'il soit canadien ou américain — par le biais des lois américaines ou des lois canadiennes.
• La commissaire adjointe estime donc que la CIBC a respecté le principe 4.1.3.
• Elle réitère par la même occasion la position du Commissariat énoncée publiquement : une société établie au Canada qui impartit le traitement de renseignements aux États-Unis devrait, au minimum, faire savoir à ses clients que ces renseignements peuvent être mis à la disposition du gouvernement des États-Unis ou des organismes qui en relèvent en vertu d'une ordonnance légale émise dans ce pays.
• Se conformant à cette orientation, la CIBC a avisé ses clients du risque que les autorités américaines aient, en vertu des dispositions de la USA PATRIOT Act, accès à leurs renseignements personnels pendant que ceux-ci sont entre les mains d'un tiers fournisseur de services dont le siège social est aux États-Unis.
• Ainsi, en transmettant cette information à ses clients, la banque leur faisait part de ses politiques et pratiques en matière de gestion de leurs renseignements personnels, en conformité avec le principe 4.8.
• De l'avis de la commissaire adjointe, la véritable préoccupation sous-jacente à ces plaintes est la possibilité qu'un gouvernement étranger ait accès aux renseignements personnels de Canadiennes et de Canadiens.
• Elle conclut toutefois que la Loi ne peut empêcher les autorités américaines d'avoir accès légalement aux renseignements personnels de Canadiennes et de Canadiens que possèdent des organisations au Canada ou aux États-Unis, pas plus qu'elle ne peut obliger les sociétés canadiennes à mettre fin à l'impartition de services à des fournisseurs établis à l'étranger. La Loi exige cependant des organisations qu'elles fassent preuve de transparence au sujet de leurs méthodes de traitement des renseignements personnels et que, grâce à des moyens contractuels, elles protègent dans toute la mesure du possible les renseignements personnels de clients qui sont entre les mains de tiers fournisseurs de services établis à l'étranger. Le rôle du Commissariat est de veiller à ce que les organisations satisfassent à ces exigences. Dans le cas des présentes plaintes, il y a eu respect de ces exigences.

La commissaire adjointe a donc conclu que ces plaintes sont non fondées.

Autres considérations

L'avis de modification de l'entente avec les titulaires de cartes a suscité des plaintes auprès du Commissariat, beaucoup de ces plaintes ayant trait à la possibilité pour les plaignants de refuser que leurs renseignements personnels soient envoyés aux États-Unis ou au fait qu'on leur demandait de consentir à ce que le gouvernement des États-Unis ait accès à leurs renseignements personnels.

Selon la commissaire adjointe, le libellé de l'avis de la banque causait un problème puisqu'il semble avoir laissé l'impression qu'un client pouvait refuser que ses renseignements personnels soient transmis à un tiers fournisseur de services. Ceci venait à l'encontre de la formulation de la politique de la CIBC sur la protection de la vie privée qui dit que les clients ne peuvent pas refuser que la banque mette leurs renseignements personnels en commun avec des tiers fournisseurs de services.

La tierce partie offre à la CIBC des services (de traitement de données pour la tenue d'un compte) qui sont directement liés au but premier pour lequel les clients ont fourni leurs renseignements personnels à la banque (l'obtention d'une carte de crédit). La position adoptée par le Commissariat établit que les sociétés ne sont pas obligées de permettre aux clients d'exercer une option de refus dans les cas où la tierce partie fournit des services qui sont liés directement aux buts premiers pour lesquels les renseignements personnels ont été recueillis. Un client donne son consentement à l'usage principal qui est fait de ses renseignements personnels quand, initialement, il signe la formule de demande ou quand il continue de recourir au service après avoir été informé de changements importants à l'entente de services.

Le principe 4.3 exige des organisations qu'elles obtiennent le consentement éclairé d'une personne à ses pratiques réelles et proposées de collecte, d'usage et de communication de renseignements. Cependant, la CIBC ne proposait pas de transmettre des renseignements sur ses clients à des organismes américains de réglementation, pas plus qu'elle ne proposait que l'entreprise établie aux États-Unis à qui elle confie le traitement de données le fasse. De même, la CIBC n'avisait pas ses clients qu'elle collectait, utilisait ou communiquait davantage de renseignements personnels qu'auparavant, ni n'exigeait-elle de ses clients qu'ils consentent à la collecte de leurs renseignements personnels par des autorités américaines comme condition d'obtention de ses services. Pour la commissaire adjointe, il ne faisait aucun doute que la banque informait ses clients du risque que les autorités américaines puissent avoir légalement accès à leurs renseignements personnels à cause de l'endroit où ces renseignements sont traités. Bref, la CIBC transmettait à ses clients des informations sur ses politiques et pratiques en matière de gestion des renseignements personnels.

Du point de vue de la commissaire adjointe, l'avis de la CIBC ne contrevenait à aucune des dispositions de la Loi. La banque a pris une mesure adéquate en choisissant la transparence à propos de son recours à un tiers fournisseur de services établi aux États-Unis pour le traitement de données et à propos du risque possible que les autorités américaines prennent légalement connaissance des renseignements personnels des clients.

Elle a néanmoins incité la CIBC à réviser la formulation de ses ententes avec les détenteurs de cartes de façon à garantir que ses clients comprennent clairement qu'ils n'ont pas le droit de refuser que leurs renseignements personnels soient traités par un tiers fournisseur de services.