Commissaire à la protection de la vie privée du Canada c. SWIFT
Sommaire exécutif
Le 2 avril 2007
Un article paru dans le New York Times (et ailleurs) le 23 juin 2006 rapportait que le département du Trésor des États-Unis a eu recours à des assignations administratives pour accéder à des dizaines de milliers de dossiers de SWIFT SCRL (Society for Worldwide Interbank Financial Telecommunication). Après avoir déterminé dans quelle mesure elle pouvait intervenir dans cette affaire, la commissaire à la protection de la vie privée du Canada a mené une enquête. Il était allégué que SWIFT avait communiqué indûment au département du Trésor des États-Unis des renseignements émanant d’institutions financières canadiennes ou transmises à ces dernières.
SWIFT offre un logiciel et des services de messagerie à plus de 7 900 institutions financières dans plus de 200 pays. Les messages sont surtout utilisés aux fins de paiements transfrontaliers, de compensation et de règlement des valeurs mobilières et de services de trésorerie et de commerce. Certains messages contiennent des renseignements personnels, tels que le nom, l’adresse, le numéro de compte et le montant viré. Tous les messages sont stockés dans des bases de données qui sont identiques en Europe et aux États-Unis.
Dans la foulée des événements de septembre 2001, le département du Trésor des Etats-Unis (UST) a entrepris de délivrer des assignations à SWIFT pour accéder à certaines données détenues par le centre d’exploitation de SWIFT établi aux États-Unis. SWIFT a confirmé au Commissariat qu’il y avait probablement parmi les données transmises au UST des renseignements personnels provenant d’institutions financières canadiennes, ou transmises à de telles institutions. SWIFT a pris une série de mesures en matière de protection des renseignements personnels visant les données transmises au département du Trésor des États-Unis, ce qui a eu pour effet de limiter les fins auxquelles les données ont été recueillies et la quantité de données transférées, en plus de permettre à SWIFT de vérifier et de contrôler la conformité du département du Trésor des États-Unis à ces dispositions. La commissaire a examiné les mesures de protection en question et s’est dite convaincue que SWIFT s’était assurée que le département du Trésor des États-Unis s’y était conformé.
Conclusion
La commissaire a déterminé que SWIFT était assujettie à la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi). Elle a noté que SWIFT a des activités au Canada, dans le cadre desquelles elle recueille des renseignements personnels auprès de banques canadiennes et leur communique des renseignements personnels contre rémunération. Quatorze de ses actionnaires sont canadiens et l’un de ses directeurs est issu d’une banque canadienne. Bien qu’elle reconnaisse que les activités de SWIFT au Canada ne représentent qu’un faible pourcentage de l’ensemble des activités commerciales de l’entreprise, la commissaire a constaté que SWIFT occupe une place importante au Canada. La grande majorité des transferts internationaux mettant en cause la circulation de renseignements personnels vers des institutions financières canadiennes ou en provenance de ses institutions se fait au moyen du réseau SWIFT.
Pour ce qui est de la conformité, la commissaire a déterminé que SWIFT n’avait pas enfreint la Loi en communiquant des renseignements personnels au département du Trésor des États-Unis. La Loi permet à une organisation comme SWIFT de se soumettre aux lois légitimes d’autres pays où elle a des activités et de communiquer des renseignements personnels sans le consentement ou à l’insu des intéressés en réponse à une assignation délivrée par une personne, une instance ou un tribunal habilité à exiger de tels renseignements. La commissaire a tenu le raisonnement suivant : si des organisations multinationales doivent se conformer aux lois des pays où elles ont des activités, une organisation qui est assujettie à la Loi et qui a transféré légitimement des renseignements personnels à l’extérieur du pays à des fins commerciales pourrait être tenue, à l’occasion, de communiquer ces renseignements aux autorités légitimes du pays en question. Par conséquent, la commissaire a conclu que l’exception au consentement qui autorise de telles communications de renseignements s’appliquait.
La commissaire a souligné, toutefois, que les organisations qui ont des activités au Canada et qui y jouent un rôle important sont assujetties à la Loi. Si des organisations se rendent au Canada pour recueillir, utiliser ou communiquer des renseignements personnels, elles doivent se soumettre à la Loi. Une organisation n’est pas dispensée de se conformer à la loi canadienne simplement parce qu’elle a des activités dans deux pays ou plus. Par exemple, si SWIFT a le droit, dans l’affaire qui nous occupe, de communiquer au département du Trésor américain des données détenues par les États-Unis, la Loi empêcherait tout de même, notamment, la communication sans consentement de renseignements personnels détenus par un bureau de SWIFT situé dans un autre pays à un courtier en données ou à une entreprise de marketing qui a des activités dans ce pays.
La commissaire a émis des commentaires sur les divers moyens déjà mis à notre disposition pour lutter contre le terrorisme, tels que les lois contre le blanchiment d’argent et le financement des activités terroristes, les ententes sur les échanges de renseignements entre les organismes de renseignements financiers du Canada et des États-Unis et les ententes sur les échanges d’éléments de preuve.
La commissaire a fait remarquer que si les autorités américaines requièrent des renseignements sur des transactions financières comportant un élément canadien, on devrait les inciter à utiliser les processus d’échange de renseignements déjà en place qui assurent un certain niveau de transparence et qui comprennent des mécanismes de protection des renseignements personnels intégrés. Par conséquent, la commissaire a signalé son intention de demander aux représentants canadiens de travailler avec leurs homologues américains afin de convaincre les États-Unis de recourir à ses lois contre le blanchiment d’argent et le financement des activités terroristes plutôt qu’aux assignations.
La commissaire a fait observer que ces autres avenues, qui témoignent davantage de l’importance que nous accordons à la protection des renseignements personnels, permettraient au Canada de surveiller beaucoup plus étroitement les renseignements personnels. Faisant écho à ses homologues européens, elle a déclaré que les sociétés démocratiques doivent s’assurer que les libertés et les droits fondamentaux des personnes sont respectés, y compris le droit à la protection des renseignements personnels.
- Date de modification :