Sélection de la langue

Recherche

Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2007-365

[Principes 4.1.3 et 4.8; paragraphe 5(3); alinéas 7(3)(c) et 7(3)(c.1)]

Tour d’horizon de la plainte et conclusions de la commissaire adjointe

À l’été  2006, le Commissariat à la protection de la vie privée du Canada a reçu une plainte contre six institutions financières canadiennes après que la Society for Worldwide Interbank Financial Telecommunication (SWIFT) ait communiqué des renseignements personnels aux autorités des États‑Unis. 

Cette plainte a été déposée à la suite de la publication d’un article dans le New York Times, en juin 2006, qui révélait que, depuis le 11 septembre 2001, le département du Trésor des États‑Unis (UST) consulte régulièrement des dizaines de milliers de documents détenus par la SWIFT. Selon l’article, les documents en question se rapportent principalement à des virements télégraphiques à destination ou en provenance des États-Unis. 

La plaignante était d’avis que les banques étaient responsables du transfert des renseignements personnels à SWIFT pour le traitement de mandats. Elle a soutenu que la communication des renseignements personnels était inappropriée puisqu’elle allait à l’encontre des processus approuvés de transfert de données. Elle a en outre affirmé que les exceptions au consentement énoncées aux alinéas 7(3)c) et 7(3) c.1) de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi), ne s’appliquaient pas. 

La commissaire adjointe n’a pas approuvé les arguments de la plaignante et a conclu que les plaintes étaient non fondées. Elle a examiné les documents contractuels entre SWIFT et les banques et a conclu qu’ils satisfont aux obligations de la Loi, spécifiquement, au principe 4.1.3, soit de garantir un degré comparable de protection aux renseignements qui sont traités par une tierce partie. Elle a toutefois mentionné une décision antérieure du Commissariat, en signalant qu’une organisation signant un contrat avec une firme exerçant des activités à la fois au Canada et à l’étranger ne peut pas empêcher cette firme de répondre à une ordonnance légalement délivrée. De plus, toutes les banques ont clairement indiqué que leurs pratiques étaient conformes aux directives données par le Commissariat. La commissaire adjointe était donc convaincue que les banques s’étaient acquittées de leurs responsabilités selon la Loi.

Résumé de l’enquête

SWIFT n’a pas contesté les communications de renseignements personnels. Réagissant à la publicité entourant l’article du New York Times, l’organisation a affiché une déclaration de conformité sur son site Web. Selon cette déclaration, SWIFT « a répondu à des assignations exécutoires émanant du Bureau du contrôle des avoirs étrangers du département du Trésor des Etats-Unis, pour la communication d’un nombre restreint de données ».

Ni SWIFT ni le gouvernement américain n’ont donné à entendre que les données communiquées au UST ne concernaient que des citoyens ou des institutions financières américaines. Les communications consistent en transferts en bloc de données, et la plaignante en a raisonnablement déduit que ces transferts comprennent des renseignements sur des Canadiennes et Canadiens ou sur des institutions financières canadiennes. SWIFT a confirmé au Commissariat qu’il y avait probablement parmi les données transmises au UST des renseignements personnels provenant d’institutions financières canadiennes ou transmises à de telles institutions.

SWIFT se décrit comme « une société coopérative sous le contrôle de l’industrie financière qui fournit des services de messagerie protégés et standardisés et des logiciels à 7 900 institutions financières dans plus de 200 pays ». SWIFT exploite des centres opérationnels qui, simultanément, recueillent, transmettent et entreposent tous ses messages. 

En tant que société coopérative régie par le droit belge, SWIFT est la propriété de ses actionnaires, qui la contrôlent. Chacune des banques canadiennes importantes ayant fait l’objet d’une plainte est un membre actionnaire de SWIFT. Il y a au total quatorze membres actionnaires canadiens. Ces membres forment ensemble un groupe de membres national (SWIFT), qui se réunit périodiquement et joue un rôle consultatif auprès du conseil d’administration de SWIFT. En outre, les actionnaires fournissent, par l’entremise de SWIFT, certains services spécialisés de compensation et de règlement des paiements à d’autres banques et institutions financières canadiennes. Les banques font partie du groupe d’utilisateurs de SWIFT. Ce groupe se réunit aussi périodiquement avec les membres de SWIFT afin de discuter d’enjeux commerciaux liés à l’utilisation des services de SWIFT. Il y a 63 utilisateurs institutionnels canadiens de SWIFT.

Un utilisateur de SWIFT achète la capacité de transmettre des ensembles de messages financiers qui répond à ses besoins opérationnels. Un utilisateur qui s’abonne à tous les services offerts par SWIFT pourrait transmettre environ 230 messages différents, regroupés sous neuf catégories de messages. Seulement deux de ces catégories de messages pourraient renfermer des renseignements permettant d’identifier quelqu’un, comme le nom, l’adresse, le numéro de compte, le montant viré, et les institutions financières concernées.

SWIFT ne recueille ni ne détient des renseignements personnels ayant trait aux systèmes de paiement canadiens sur support papier (surtout des chèques) et aux systèmes de paiement électronique, comme les opérations par carte de débit ou guichet automatique bancaire et les débits et crédits pré‑autorisés. La société ne recueille pas et ne détient pas non plus de renseignements concernant les transactions par carte de crédit. Dans la plupart des opérations nationales de grande valeur que SWIFT traite, les renseignements concernent uniquement des entreprises. 

Il y a trois volets à la plainte. Premièrement, la plaignante affirme que, en ce qui a trait aux renseignements personnels communiqués par SWIFT, conformément au principe 4.1.3 de la Loi, chaque institution financière demeure responsable des renseignements personnels qu’elle a transférés à SWIFT pour le transfert de fonds. 

Deuxièmement, elle a soutenu que la communication aux autorités américaines de données bancaires personnelles sur des Canadiens à des fins de lutte contre le terrorisme va à l’encontre du paragraphe 5(3) de la Loi, parce que la communication ne s’est pas faite dans le cadre des processus approuvés pour ce type de transfert (c.‑à‑d. une autorisation judiciaire,  le CANAFE, ou le Traité d’entraide juridique). Comme les transferts en bloc de données bancaires personnelles sont contraires à ces processus autorisés, ils ne satisfont pas au critère de « fins acceptables ». 

Troisièmement, la plaignante a déclaré que les exceptions à l’exigence du consentement énoncées aux alinéas 7(3)(c) et 7(3)(c.1) ne s’appliquent pas dans ce cas‑ci. Elle était d’avis que si les communications avaient été faites aux États-Unis, alors les assignations étaient trop générales et non valides (aux fins de l’exception prévue à l’alinéa 7(3)(c) de la Loi). Elle a également indiqué que l’expression « institution gouvernementale » donnée à l’alinéa 7(3)(c.1) désigne une institution gouvernementale canadienne fédérale ou provinciale. Cette expression ne comprend pas les institutions gouvernementales étrangères.

1. La responsabilité des banques concernant les renseignements personnels

En se penchant sur la question de la responsabilité des banques concernant les renseignements personnels transférés à SWIFT, le Commissariat a examiné l’accord contractuel conclu entre SWIFT et les banques et a observé les mécanismes en place.

Entente contractuelle entre SWIFT et les banques

Le Commissariat a obtenu la documentation constituant l’accord contractuel conclu entre les banques et SWIFT. Tous les documents renferment au moins de l’information sur les obligations des banques selon le principe 4.1.3 de l’annexe 1 de la Loi. 

Trois des documents comportent des renseignements détaillés sur les mesures mises en place par SWIFT pour garantir la sécurité, la fiabilité et la résilience de ses systèmes de messagerie, ainsi que la confidentialité et l’intégrité de ses données. Ces mesures visent le matériel et les logiciels brevetés et les procédures de sécurité.  

Un des documents de politique énonce les obligations des utilisateurs de SWIFT face à une tierce partie fournissant des services (c.‑à‑d. une société de services informatiques) pour héberger ou exploiter des composantes de connexion, ou pour fournir des services comme l’entrée dans le système ou la gestion de séances d’information sur la sécurité à l’intention des utilisateurs de SWIFT. Les sociétés de services informatiques doivent respecter les exigences énoncées dans les règles et lignes directrices qui les régissent.

Un autre document donne de l’information détaillée sur les pratiques de sécurité de SWIFT et sur les exigences que les utilisateurs doivent respecter pour avoir accès au réseau IP protégé de SWIFT. 

Nous avons examiné la documentation expliquant les mécanismes de vérification en place, ainsi que la structure de gouvernance de la sécurité et les politiques et pratiques de la société en matière de traitement, d’entreposage et d’extraction des données. Nous avons en outre examiné des renseignements sur les mesures prises par SWIFT pour assurer la confidentialité de ses données, ainsi que de l’information détaillée sur les mesures de suivi, de sécurité et de contrôle qu’elle a en place.

Le lien contractuel entre les banques et SWIFT est principalement exposé dans un document qui décrit l’accord mutuel des parties sur le plan de la confidentialité des données, et la conformité à tous les règlements et lois applicables, y compris les lois en matière de protection des renseignements personnels (article 4.5.6).

Un des sections de ce document sur les obligations en matière de protection des données indique ce qui suit :

En s’abonnant à des services et produits de SWIFT, le client est réputé avoir approuvé toute méthode de traitement des renseignements personnels utilisée par SWIFT conformément à la politique d’extraction des données de la société et à d’autres documents traitant des services qu’elle offre. [Traduction]

La partie du document portant sur la politique d’extraction des données explique les procédures d’extraction, d’utilisation et de communication des données de SWIFT. L’article 3.2 de la politique concerne les requêtes exécutoires. On peut y lire :

Si un tribunal, un autre organe compétent de réglementation ou de supervision ou une instance gouvernementale demande à SWIFT d’extraire, d’utiliser ou de divulguer des données decirculation ou de messages, SWIFT examine et évalue cette requête selon des procédures documentées.

Pour éliminer tout doute, rien dans la présente politique ou, en règle générale, dans les obligations de confidentialité de SWIFT envers ses clients, ne doit être interprété comme empêchant SWIFT d’extraire, d’utiliser ou de communiquer des données de circulation  ou de messages jugées raisonnablement nécessaires pour respecter une assignation authentique ou tout autre mécanisme légal d’un tribunal ou d’une autre instance compétente. [Traduction]

Dans chaque pays, les membres de SWIFT ont le droit de proposer un certain nombre d’administrateurs, proportionnellement au nombre d’actions détenues par les actionnaires du pays en question. Ainsi, les 14 membres actionnaires canadiens de SWIFT proposent la candidature d’un administrateur. 

Selon la règle professionnelle 3.4 de SWIFT (trouvée sur le site Internet de l’institution) :

Le groupe de membres nationaux, NMG (National Member Group) est indépendant de SWIFT et ne fait pas partie de sa structure juridique. Il peut légalement s’organiser comme il l’entend [...] Le NMG joue un rôle important dans la proposition des candidats aux postes d’administrateurs [...] [Il joue] un rôle consultatif auprès du conseil d’administration [...] [Sous réserve des protocoles de confidentialité de SWIFT], le NMG peut donner des conseils aux instances nationales sur les questions de politiques touchant les actionnaires et qui doivent être examinées par le conseil d’administration […] Le conseil d’administration peut consulter de temps en temps le NMG pour obtenir un soutien et des conseils particuliers. [Traduction]

Il existe aussi un groupe d’utilisateurs nationaux qui regroupe tous les utilisateurs de SWIFT d’un même pays. Les utilisateurs de SWIFT établissent des liens avec les membres nationaux.

En ce qui concerne la surveillance, le site Internet de SWIFT indique ce qui suit :

SWIFT n’étant ni un système de paiement ni un système de règlement, elle n’est pas réglementée par les banques centrales ou par les organismes de contrôle bancaire. Cependant, un grand nombre de systèmes de paiement systématiquement importants sont devenus tributaires de SWIFT, qui a ainsi acquis un caractère systémique […] C’est pour cette raison que les banques centrales du Groupe des Dix (G-10) ont convenu que SWIFT devrait faire l’objet d’une surveillance de la part des banques centrales. Les surveillants examinent la façon dont SWIFT cerne et réduit les risques opérationnels. Ils peuvent également examiner les risques juridiques, la transparence des dispositions et les politiques d’accès des clients. [Traduction]

La Banque Nationale de Belgique (BNB), qui assume la responsabilité première de la surveillance de SWIFT, a conclu un protocole d’entente (PE) avec chacune des autres banques du G-10 qui supervisent cette institution (dont la Banque du Canada).

Notre examen du PE conclu avec la Banque du Canada nous a permis de constater qu'il prévoit notamment une structure de coopération à deux paliers entre ces deux banques. Au niveau supérieur, le groupe de coopération en matière de surveillance dispose d’un comité de direction qui fait la liaison avec le conseil d'administration et la direction de SWIFT pour la formulation de conclusions découlant de la surveillance, de politiques, de la gouvernance de SWIFT et de sa stratégie. Au niveau technique, le groupe de surveillance technique adopte une méthode de travail plus proactive et plus interactive avec SWIFT.

2. Le motif de la communication des renseignements

La plaignante estimait que la communication en bloc de données bancaires personnelles par SWIFT se dérobait aux mécanismes approuvés pour le transfert de données (mis en place pour lutter contre le terrorisme, comme les traités d'entraide juridique, le CANAFE). Elle a soutenu que ces communications ne respectaient donc pas l'exigence d'une « fin acceptable » prévue par la Loi.

Pour étayer ses prétentions, la plaignante s’est fondée en partie sur la déclaration de conformité que SWIFT a publiée sur son site Web le 23 juin 2006, à la suite de la publication de l'article du New York Times. Dans cette déclaration, SWIFT a précisé ce qui suit :

SWIFT est consciente de l’importance de son rôle en tant que messagerie financière et prend ses responsabilités très au sérieux. Elle coopère avec les autorités dans le cadre de leurs activités visant à combattre l'utilisation du système financier à des fins illicites. Dans certains cas, SWIFT doit répondre à des ordonnances valides […]

Après les attaques du 11 septembre, SWIFT a répondu à des assignations exécutoires émanant des autorités américaines et plus précisément de l’OFAC (Office of Foreign Assets Control of the United States Department of the Treasury), exigeant la production de certaines informations spécifiques. […]

Déclaration de conformité 

Participant à la lutte mondiale contre l'utilisation abusive du système financier à des fins illégales[…]

Étant donné son importance dans la communauté financière, SWIFT prend très au sérieux son rôle dans la lutte mondiale contre le blanchiment d'argent et les autres activités illégales. [Traduction]

Ainsi, la banque avait indiqué que les communications de données avaient un motif précis et unique : se conformer à une assignation valide délivrée par les autorités américaines. En réponse à la plainte déposée par la commissaire, SWIFT a fait valoir au Commissariat que les assignations étaient valides en vertu du droit américain. Les conclusions de la commissaire à ce sujet sont énoncées ici dans le rapport de conclusions.

Les banques ont déclaré n’avoir été informées du fait que SWIFT communiquait des données à l’UST  qu’au moment de la publication de l’article du New York Times. SWIFT a par ailleurs confirmé qu’elle n’avait pas informé ses membres des assignations ou du fait qu’elle y avait donné suite.

3. Les exceptions à l’obligation d’obtenir le consentement

Comme indiqué précédemment, les banques ont déclaré pouvoir invoquer les dispositions de l’alinéa 7(3)c) de la Loipour justifier le fait que SWIFT ait donné suite aux assignations délivrées par l’UST. L’alinéa 7(3)c) stipule qu’une organisation peut communiquer des renseignements personnels à l’insu d’un intéressé et sans son consentement, si la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents.

Nous avons également examiné l’information transmise par les banques à leurs clients sur leurs pratiques en matière de sous-traitance ou de traitement des renseignements personnels à l’extérieur du Canada. Toutes les politiques sur la protection des renseignements personnels des banques concernées (sur support papier ou électronique) avisent leurs clients qu’elles utilisent les services de tiers pour le traitement des données personnelles, et que certains d’entre eux sont situés à l’extérieur du Canada. Les avis transmis par les banques à leurs clients indiquent (chacun à sa façon) que pendant que les renseignements personnels sont traités dans un autre pays, ils sont assujettis aux lois de ce pays.

Conclusions

Rendues le 2 avril 2007

Application : Le principe 4.1.3 stipule qu’une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.

Le principe 4.3 stipule que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

Le principe 4.8 prévoit qu’une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne.

Le paragraphe 5(3) indique qu’une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances.

L’alinéa 7(3)(c) explique qu’une organisation peut communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement seulement si la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents.

L’alinéa 7(3)(c.1) ajoute qu’une organisation peut communiquer des renseignements personnels à l’insu de l’intéressé et sans son consentement seulement si la communication est faite à une institution gouvernementale, ou à une subdivision d’une telle institution, qui a demandé à obtenir le renseignement en mentionnant la source de l’autorité légitime étayant son droit de l’obtenir et le fait, selon le cas : qu’elle soupçonne que le renseignement est afférent à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales; que la communication est demandée aux fins du contrôle d’application du droit canadien, provincial ou étranger, de la tenue d’enquêtes liées à ce contrôle d’application ou de la collecte de renseignements en matière de sécurité en vue de ce contrôle d’application; qu’elle est demandée pour l’application du droit canadien ou provincial.

Pour rendre sa décision, la commissaire adjointe s'est appuyée sur les considérations suivantes :

  • Elle a commencé par indiquer que le Commissariat à la protection de la vie privée du Canada reconnaît et partage les préoccupations des Canadiennes et des Canadiens à propos de la circulation de leurs renseignements personnels à l'extérieur du pays.
  • Elle a indiqué qu’en ce qui concerne la plainte déposée au Commissariat, nous devons tenir compte de ce que la Loi prévoit et des obligations qu'elle impose aux organisations opérant au Canada. Bien qu'elle n'interdise pas la sous-traitance ou le recours à des fournisseurs de services qui transmettent des renseignements à l'extérieur du Canada, elle oblige les organisations à adopter des mesures pour assurer un degré comparable de protection.

1. La responsabilité des banques concernant les renseignements personnels :

  • Nous avons examiné l’accord passé entre SWIFT et les banques, ainsi que tous les autres moyens à la disposition des banques pour vérifier que SWIFT offre un degré comparable de protection.
  • SWIFT et ses membres ont travaillé de concert pour concevoir et mettre en place des mesures de sécurité très complexes et élaborées afin d'assurer l'intégrité, la confidentialité, la sécurité et la fiabilité des messages financiers que l'organisation communique.
  • SWIFT fait rapport à ses comités et conseils dans son rapport annuel et dans le rapport de vérification de la sécurité (il faut souligner que ces rapports couvrent beaucoup plus que les pratiques en matière de traitement des renseignements personnels).  
  • Même si, selon certaines dispositions contractuelles, SWIFT semble contrôler les modalités d’utilisation de son système et, en conséquence, le traitement des renseignements personnels dont elle dispose, elle est néanmoins tenue d'assurer la confidentialité des renseignements. 
  • De plus, la commissaire adjointe a constaté que les banques, en tant que membres et utilisatrices du système SWIFT, disposent d'autres moyens pour assurer un degré comparable de protection, notamment sur le plan des groupes de coopération en matière de surveillance et des groupes de surveillance technique. En raison de ces différents mécanismes de surveillance et de vérification, des dispositions contractuelles et des différentes mesures de sécurité en place, elle estimait que les banques répondent aux obligations prévues au principe 4.1.3.
  • L'accord conclu entre SWIFT et les banques traite de la question des demandes impératives. Selon la section 3.2 de la politique d'extraction des données de SWIFT (SWIFT's Data Retrieval Policy), le client (c.-à-d. la banque membre de l'organisation) est réputé avoir consenti au traitement des données personnelles par SWIFT conformément à cette politique. Cette disposition et un autre document confèrent un pouvoir discrétionnaire absolu à SWIFT concernant la manière dont elle traite les assignations  « ou d’autres processus judiciaires émanant d'une cour de justice ou d'une autre autorité compétente ». [Traduction]
  • En apparence, les banques semblent avoir cédé à SWIFT le contrôle des renseignements personnels qu'elles détiennent dans ces circonstances. Toutefois, on peut avancer qu'elles n'ont pas plus&nb
Date de modification :