Commissaire à la protection de la vie privée du Canada c. SWIFT
Rapport de conclusions
Le 2 avril 2007
Plainte
1. Un article est paru dans le New York Times (et dans d’autres journaux) le 23 juin 2006 dans lequel on signalait que le département du Trésor des États-Unis a eu recours à des assignations administratives pour accéder à des dizaines de milliers de dossiers de SWIFT SCRL (Society for Worldwide Interbank Financial Telecommunication).
2. Le 11 août 2006, j’ai pris l’initiative d’une plainte contre SWIFT en vertu du paragraphe 11(2) de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi). Il y était allégué que SWIFT avait communiqué indûment au département du Trésor des États-Unis des renseignements émanant d’institutions financières canadiennes, ou transmises à ces dernières.
Résumé de l’enquête
3. SWIFT est une société coopérative sous le contrôle de l’industrie financière qui fournit un logiciel et des services de messagerie sécurisés et normalisés à plus de 7 900 institutions financières dans plus de 200 pays. SWIFT n’est que l’agent intermédiaire qui assure la transmission de messages financiers protégés et confidentiels entre les institutions financières et en leur nom. Elle n’est pas une banque et ne détient pas de comptes ou de biens pour des clients ou des institutions financières. Lors de sa présentation au Commissariat, SWIFT s’est comparée à un bureau de poste.
L’administration de SWIFT
4. SWIFT est une société coopérative assujettie à la loi belge depuis 1973. Elle est détenue et contrôlée par des institutions financières, y compris des institutions canadiennes, qui constituent ses membres et clients. Elle est basée à La Hulpe, en Belgique, et possède des succursales dans les plus grands centres financiers du monde. Le Canada ne compte aucune succursale. SWIFT a deux centres d’exploitation, l’un situé en Europe et l’autre, aux États-Unis. Chaque centre joue le rôle d’auxiliaire actif pour l’autre. Selon SWIFT, la décision d’établir un centre d’exploitation aux États-Unis était motivée par des raisons de sécurité.
5. En ce qui concerne la surveillance, on peut lire ce qui suit sur le site Web de SWIFT :
[traduction]
SWIFT n’étant ni un système de paiement ni un système de règlement, elle n’est pas réglementée par les banques centrales ou par les organismes de contrôle bancaire. Cependant, un grand nombre de systèmes de paiement systématiquement importants sont devenus tributaires de SWIFT, qui a ainsi acquis un caractère systémique [?]. C’est pour cette raison que les banques centrales du Groupe des Dix (G-10) ont convenu que SWIFT devrait faire l’objet d’une surveillance de la part des banques centrales. Les surveillants examinent la façon dont SWIFT cerne et réduit les risques opérationnels. Ils peuvent également examiner les risques juridiques, la transparence des dispositions et les politiques d’accès des clients.
6. La Banque Nationale de Belgique est le principal surveillant et a conclu un protocole d’entente avec chacune des dix autres banques coopératives du G-10 (y compris la Banque du Canada). Les banques canadiennes passent des marchés avec SWIFT SCRL.
7. En tant que société coopérative régie par le droit belge, SWIFT est la propriété de ses actionnaires, qui la contrôlent. Chacune des banques canadiennes importantes ayant fait l’objet d’une plainte est un membre actionnaire de SWIFT. Il y a au total quatorze membres actionnaires canadiens. Ces membres forment ensemble un groupe de membres national (SWIFT), qui se réunit périodiquement et joue un rôle consultatif auprès du conseil d’administration de SWIFT. En outre, les actionnaires fournissent, par l’entremise de SWIFT, certains services spécialisés de compensation et de règlement des paiements à d’autres banques et institutions financières canadiennes. Les banques font partie du groupe d’utilisateurs de SWIFT. Ce groupe se réunit aussi périodiquement avec les membres de SWIFT afin de discuter d’enjeux commerciaux liés à l’utilisation des services de SWIFT. Il y a 63 utilisateurs institutionnels canadiens de SWIFT.
8. Les membres de la SWIFT de tous les pays ont le droit de nommer un certain nombre de membres du conseil d’administration, en fonction du nombre proportionnel d’actions détenues par les actionnaires du pays en question. Les 14 membres actionnaires canadiens ont proposé un membre.
Services offerts par SWIFT
9. SWIFT a été créée pour remplacer le télex en proposant un mode rapide, sûr, automatisé et universel de transmission transfrontalière de messages financiers entre les institutions financières. Les éléments clés de SWIFT sont les suivants : i) sa communauté d’institutions financières, 2) sa capacité d’établir des normes et 3) son infrastructure de messagerie sûre et fiable.
10. Les clients de SWIFT sont des institutions financières et d’autres organisations actives sur les marchés financiers, tels que des courtiers, des négociants, des administrateurs de fonds et d’autres groupes de sociétés. Les particuliers n’ont pas accès aux services de SWIFT. En tant qu’intermédiaire de messagerie, SWIFT se concentre surtout sur les transactions financières de gros volume. En ce qui concerne le rôle joué par les institutions financières dans ce domaine, notons que le Commissariat a reçu une plainte contre les six plus grosses banques canadiennes, qui sont toutes des membres actionnaires de SWIFT.
11. Selon le rapport annuel 2005 de SWIFT, le Canada s’est classé 17e parmi les 25 plus grands utilisateurs des services de SWIFT, avec un volume de 34 330 000 de messages, ce qui représente 1,4 % du volume total de messages transmis par le système SWIFT.
12. Le service de base offert par SWIFT s’appelle « SWIFTNet FIN », soit un service de messagerie différée. Selon SWIFT, c’est le seul service qui a un lien avec cette plainte. Le service SWIFTNet FIN est habituellement utilisé par les institutions financières et leurs infrastructures de marché pour l’envoi de messages relatifs aux paiements transfrontaliers, à la compensation et au règlement de valeurs mobilières, et aux services de trésorerie et de commerce.
13. Un utilisateur de SWIFT achète la capacité de transférer des ensembles de messages financiers en conformité avec ses besoins commerciaux. Un utilisateur de SWIFT avec un abonnement complet pourrait théoriquement transmettre environ 230 messages différents, regroupés dans les dix catégories de messages suivants :
Catégorie 1 – Paiements et chèques du client
Catégorie 2 – Transferts entre institutions financières
Catégorie 3 – Marchés de trésorerie – opérations de change, marchés monétaires et produits dérivés
Catégorie 4 – Collections et lettres d’encaissement
Catégorie 5 – Marchés des valeurs mobilières
Catégorie 6 – Métaux précieux et syndications
Catégorie 7 – Crédits documentaires et garanties
Catégorie 8 – Chèques de voyage
Catégorie 9 – Gestion de la trésorerie et statut du client
Catégorie 0 – Messages du système
14. Les messages de SWIFT sont habituellement utilisés pour les activités organisationnelles. Cependant, les messages de catégorie 1 seraient les plus susceptibles de contenir des renseignements personnels, tout comme ceux de catégorie 4. Les messages de catégorie 1 (Paiements et chèques du client) peuvent concerner des transferts de devises et donc contenir des renseignements personnels sur l’expéditeur et le destinataire des devises. Les messages de catégorie 4 (Collections et lettres d’encaissement) peuvent également renfermer des données permettant d’identifier une personne, par exemple lorsqu’il s’agit d’une transaction financière comportant un chèque tiré d’un compte bancaire étranger. Les renseignements personnels en question pourraient être le nom, l’adresse, le numéro de compte, le montant du transfert et les institutions financières en cause.
15. SWIFT ne recueille ni ne détient des renseignements personnels ayant trait aux systèmes de paiement canadiens sur support papier (surtout des chèques) et aux systèmes de paiement électronique, comme les opérations par carte de débit ou guichet automatique bancaire et les débits et crédits préautorisés. La société ne recueille pas et ne détient pas non plus de renseignements concernant les transactions par carte de crédit. Dans la plupart des opérations nationale de grande valeur que SWIFT traite, les renseignements concernent uniquement les entreprises.
16. Les messages sont conservés pendant un certain temps et, bien que ce soit confidentiel, une telle mesure a été expliquée au Commissariat. C’est, à mon avis, d’une durée justifiée vu le processus commercial dont les messages font partie. Les utilisateurs ont besoin de jetons et de mots de passe pour extraire et déchiffrer les messages conservés par SWIFT.
17. Tous les utilisateurs de SWIFT sont assujettis à des obligations contractuelles standards au sujet de la sécurité et de la confidentialité, lesquelles ne font pas la distinction entre les renseignements « personnels » et d’autres types d’information. SWIFT traite toutes les transactions passant par son réseau de la même manière.
18. Tous les utilisateurs sont liés par les « Conditions générales », un document de 13 pages s’inscrivant dans les obligations contractuelles des utilisateurs. La section 4.5.3 de ce document définit les « obligations en matière de protection des données » de l’utilisateur. Elle stipule, en partie (nota : le « client » est l’institution financière), ce qui suit :
[traduction]
Si le client (soit l’utilisateur SWIFT) est le premier contrôleur de données en tant que le responsable original de la collecte de ces données personnelles, il doit voir à ce que celles-ci soient recueillies et fournies en conformité avec tous les règlements et lois pertinents et sans enfreindre les droits de toute tierce partie afin de permettre à SWIFT de les traiter selon ce qui est énoncé dans la présente clause.. . . le client doit se rappeler qu’il doit voir à ce que de telles données personnelles ont été recueillies à ces fins en conformité avec toutes les lois applicables relatives à la protection de la vie privée et des renseignements personnels et sans enfreindre les droits de toute tierce partie.
19. La section 4.5.4 stipule ce qui suit :
[traduction]
Le client convient qu’il doit veiller en tout temps au maintien de la confidentialité, de l’intégrité et de la disponibilité des données (telles que les données de circulation, de messages et de configuration) dans ses systèmes SWIFT et le segment de sa connexion SWIFT relevant de lui. Plus particulièrement, le client doit voir à ce que seul le personnel autorisé aitaccès physiquement et électroniquement à ses systèmes et à sa connexion SWIFT; il doit installer le logiciel de détection de virus à la fine pointe de la technologie; il doit exécuter les procédures de sauvegarde et manipuler les médias de secours en appliquant des consignes de sécurité aussi rigoureuses que celles touchant ses systèmes et sa connexion SWIFT.
Politique d’extraction de données de SWIFT
20. SWIFT a fourni au Commissariat un exemplaire de sa politique d’extraction de données, qu’elle remet à ses clients. Il s’agit d’un complément du document « Conditions générales », qui fait partie intégrante de l’entente contractuelle entre le client et SWIFT.
21. La section 3.2 de la politique traite d’une « requête exécutoire ». Elle stipule ce qui suit :
[traduction]
Si un tribunal, un autre organe compétent de réglementation ou de supervision ou une instance gouvernementale demande à SWIFT d’extraire, d’utiliser ou de divulguer des données de circulation ou de messages, SWIFT examine et évalue cette requête selon les procédures documentées.Pour éliminer tout doute, rien dans la présente politique ou, en règle générale, dans les obligations de confidentialité de SWIFT envers ses clients, ne doit être interprété comme empêchant SWIFT d’extraire, d’utiliser ou de divulguer des données de circulation ou de messages jugées raisonnablement nécessaires pour respecter une ordonnance authentique ou tout autre mécanisme légal d’un tribunal ou d’une autre instance compétente.
22. La section 5.1 de la politique stipule ce qui suit :
[traduction]
Les lois et règlements de certains pays ou les droits de tierce partie peuvent s’appliquer à l’extraction, à l’utilisation et à la divulgation de données de circulation ou de messages en conformité avec la présente politique; il peut s’agir, par exemple mais sans s’y limiter, de lois et règlements relatifs à la protection de la vie privée, à la protection des données et à la confidentialité que doivent assurer les banques, ou d’autres dispositions avec les clients.23. Les clients demandant à SWIFT d’extraire des données de circulation ou de messages doivent confirmer à SWIFT qu’ils ont la capacité et le pouvoir nécessaires de l’autoriser à extraire, à utiliser et, s’il y a lieu, à divulguer des données de circulation ou de messages, et ce en conformité avec tous les règlements et lois applicables ainsi que les droits de tierce partie.
Les ordonnances
24. SWIFT confirme qu’elle a divulgué des données au gouvernement américain en réponse aux assignations que le département du Trésor des États-Unis (UST) lui a fait parvenir depuis peu après les attaques du 11 septembre. Elle a aussi confirmé qu’il y avait probablement parmi les données transmises au UST des renseignements personnels provenant d’institutions financières canadiennes, ou transmises à de telles institutions. Elle affirme avoir transféré certaines données de messages financiers situées dans son centre d’exploitation aux États-Unis, en conformité avec les ordonnances que lui a adressées le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor des États-Unis. SWIFT déclare qu’en date de décembre 2006, l’OFAC lui avait envoyé 65 ordonnances en tout.
25. SWIFT soutient s’être assurée que les assignations étaient valables et qu’elle devait les respecter. Les ordonnances à son intention sont émises en vertu du pouvoir du président et du Congrès des États-Unis, et elles sont légales et obligatoires sous le régime de la législation américaine. D’ailleurs, celle-ci prévoit des amendes administratives et des sanctions pénales, dont des sanctions pécuniaires, des peines d’incarcération, ou les deux, si SWIFT ne se plie pas aux assignations lui étant adressées.
26. Le Bureau du contrôle des avoirs étrangers est un organisme de direction relevant du président américain et administrant des programmes américains de sanctions relativement au financement du terrorisme. Une loi américaine (adoptée par le Congrès) l’autorise à envoyer des assignations pour pouvoir mener des enquêtes afin, entre autres, de voir s’il y a lieu de désigner ou non une personne ou une organisation en tant que terroriste ou partisan du terrorisme, et de déterminer si un programme de sanctions a été violé.
27. Les assignations en question ont été émises dans le cadre de deux programmes de sanctions liés au financement du terrorisme : le Global Terrorism Sanctions Regulations et le Terrorism Sanctions Regulations. Chacun de ces programmes permet de manière indépendante que des assignations soient adressées à SWIFT.
28. Ces deux programmes de réglementation sont autorisés par deux lois adoptées par le Congrès des États-Unis : la International Emergency Economic Powers Act (IEEPA)Note de bas de page 1 et la United Nations Participation Act (article 5) (UNPA)Note de bas de page 2. La IEEPA habilite le président américain à fouiller, à réglementer et à interdire certaines transactions financières pendant une urgence nationale. L’article 5 de la UNPA confère au président américain de vastes pouvoirs pour mettre en œuvre des résolutions prises par le Conseil de sécurité des Nations Unies.
29. SWIFT affirme s’en être tenu entièrement à sa déclaration de conformité, à sa politique d’extraction des données et aux ententes contractuelles signées avec ses usagers. En vertu de l’article 4.3 de sa politique d’extraction des données, l’entreprise se charge d’aviser les autorités intéressées de la nature confidentielle des données et de demander que celles-ci en préservent le caractère confidentiel.
30. SWIFT souligne que les assignations ne conféraient pas au département du Trésor américain le droit d’accès au système de l’entreprise ni à ses centres d’exploitation installés aux États-Unis. Les ordonnances décernées à SWIFT exigeaient plutôt un ensemble limité de données ayant trait à des enquêtes liées au terrorisme, et les données ne pouvaient servir qu’à ces fins.
31. Des cadres supérieurs de SWIFT ont été informés au sujet des assignations. Des conseillers juridiques américains externes et de l’UE ont informé son conseil d’administration que les assignations étaient valides et que l’entreprise disposait de trois options :
- se conformer aux assignations (sans obtenir de mesures de protection de la vie privée);
- refuser de s’y conformer et courir le risque que le département du Trésor des États-Unis fasse respecter l’assignation au moyen d’une poursuite en justice (qui aurait probablement conduit SWIFT à perdre toute capacité de prendre des mesures de protection de la vie privée);
- choisir de négocier avec le département du Trésor des États-Unis afin d’obtenir les meilleures mesures de protection de la vie privée.
32. SWIFT a pris le parti de négocier et a pu se doter d’un ensemble de mesures de protection pour les données que l’entreprise transmet au département du Trésor des États-Unis en application des assignations. Aux termes d’un accord conclu avec le département du Trésor, l’entreprise a obtenu les mesures de protection suivantes :
- L’information ne doit avoir rapport qu’aux enquêtes liées au terrorisme et ne peut servir à d’autres fins.
- Des ensembles de messages limités sont donnés (ces messages peuvent concernés une enquête relative au terrorisme; ils peuvent provenir de partout et non d’un pays en particulier).
- SWIFT conserve un contrôle indirect sur les données.
- Les données sont protégées et conservent leur caractère confidentiel.
- SWIFT a le droit de surveiller et de vérifier si le département du Trésor se conforme à l’entente négociée.
33. SWIFT a fourni au Commissariat l’accès à des documents détaillés et confidentiels qui donnaient un caractère officiel aux mesures de protection que l’entreprise avait obtenu depuis l’automne 2001, et a donné un aperçu des autres mesures négociées au fil du temps.
34. SWIFT a nié avoir permis au département du Trésor des États-Unis l’accès à sa base de données et a déclaré n’avoir transmis que les renseignements exigés en vertu des assignations conformément à l’entente intervenue avec le département.
35. En me fondant sur l’information qui nous a été présentée, je suis d’avis que SWIFT a véritablement tout mis en œuvre pour que le département du Trésor des États-Unis s’en tienne aux mesures négociées par l’entreprise.
36. SWIFT a déclaré n’être au courant d’aucune collaboration avec les autorités fédérales canadiennes pour ce qui est de la délivrance des assignations. L’entreprise a reconnu qu’elle savait toutefois que des renseignements glanés au cours des enquêtes ont été partagés avec d’autres autorités; il y avait toutefois une mise en garde : on ne devait jamais révéler que SWIFT était à l’origine de ces données.
Enjeux
37. Cette plainte permet d’aborder deux enjeux cruciaux : d’abord, la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) s’applique-t-elle à la collecte, à l’utilisation et à la communication de renseignements personnels au cours des activités que l’entreprise exerce au Canada; et est-ce que les renseignements personnels recueillis par SWIFT auprès d’institutions financières canadiennes ont été communiqués aux autorités américaines conformément à la Loi?
Champ d’application
38. Pour répondre à ces questions, nous devons appliquer l’alinéa 4(1)a), le principe 4.3, l’alinéa 7(3)c) et le paragraphe 5(3). L’alinéa 4(1)a) énonce que (la partie 1 de la Loi) s’applique à toute organisation à l’égard des renseignements personnels : soit qu’elle recueille, utilise ou communique dans le cadre d’activités commerciales.
39. Le principe 4.3 précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Aux termes de l’alinéa 7(3)c), l’organisation ne peut communiquer de renseignements personnels à l’insu de l’intéressé et sans son consentement que dans le cas où la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements ou exigée par des règles de procédure se rapportant à la production de documents. En vertu du paragraphe 5(3), l’organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptable dans les circonstances.
Conclusions
40. Je veux d’abord faire remarquer que les activités de SWIFT ont été examinées de près par d’autres commissaires à la protection de la vie privée, un peu partout dans le monde. D’après les documents publiés à ce sujet, nous savons que certains de ces commissaires ont conclu que la manière dont les renseignements personnels que communique l’entreprise au …/9 département du Trésor contrevient aux lois de leur pays sur la protection des données. Je dois souligner toutefois que le cas qui nous occupe doit être pris en considération conformément à l’application de la loi canadienne et que nous ne pouvons tirer aucune conclusion en nous fondant sur des lois en vigueur dans des pays étrangers. Cela dit, il importe de remarquer qu’il existe un dénominateur commun propre à ces décisions prises à l’étranger, à savoir l’importance et la nécessité de s’en tenir à une loi pertinente qui protège les renseignements personnelsNote de bas de page 3.
41. Je dois d’abord me pencher sur le champ d’application de la Loi. SWIFT exploite son entreprise au Canada. L’entreprise recueille des renseignements personnels auprès de banques canadiennes et leur en communique dans le cadre de son activité commerciale; les banques versent des frais à SWIFT pour obtenir ses services; 14 de ses actionnaires sont Canadiens et l’un de ses directeurs provient d’une banque canadienne. S’il est vrai que les activités de l’entreprise au Canada ne représentent qu’une faible proportion de l’ensemble des opérations d’exploitation de SWIFT, il reste que sa présence au Canada n’est pas négligeable. En effet, la vaste majorité des transferts internationaux de renseignements personnels provenant d’institutions financières canadiennes, ou qui leur sont destinés, utilise le réseau SWIFT, qui fait nettement partie du système financier canadien.
42. Compte tenu de cela, j’estime que SWIFT exerce une activité commerciale au Canada, au sens de l’alinéa 4(1)a) de la Loi. La présence de l’entreprise au Canada est réelle et importante, et elle doit, par conséquent, respecter les lois canadiennes, dont la Loi, qui renferment des règlements applicables aux activités qu’exercent SWIFT au Canada.
43. Ayant conclu que la Loi s’applique aux activités de SWIFT au pays, je vais maintenant passer à la question de savoir si l’entreprise communique les renseignements personnels conformément à la Loi.
44. Dans le cadre de ses activités commerciales, SWIFT sauvegarde toutes ses données dans plusieurs bases de données, dont l’une est aux États-Unis. En règle générale, la Loi n’interdit pas à une organisation qui exerce une activité commerciale au Canada de stocker ses données à l’extérieur du pays, à condition qu’elle respecte les exigences de la Loi. Selon les observations et les preuves présentées par SWIFT, il est évident qu’elle répond à des besoins commerciaux légitimes en conservant des bases de données de secours à l’extérieur du Canada.
45. Il s’agit doncde déterminer l’effet, si effet il y a, de la Loi dans le cas d’une organisation qui a des activités au Canada et dans d’autres pays en même temps. SWIFT soutient qu’elle a répondu à une assignation légitime décernée dans un pays où elle exerce des activités. Si elle n’y avait pas donné suite, elle n’aurait pas respecté l’exercice de l’autorité légitime de ce pays et aurait pu faire l’objet de sanctions. J’ai constaté les efforts déployés par SWIFT pour vérifier la validité des assignations et si elles avaient force exécutoire. J’estime que l’entreprise s’est assurée qu’elle ne pouvait pas s’abstenir de respecter l’assignation.
46. Si je n’hésite aucunement à conclure que la Loi régit les actions de l’entreprise en ce qui touche à ce qu’elle fait des renseignements personnels qu’elle recueille, utilise et communique au Canada, il est clair que la Loi prévoit qu’une entreprise comme SWIFT peut respecter les lois légitimes des autres pays où elle exerce ses activités. Par conséquent, cela m’amène à interpréter la Loi comme un instrument reconnaissant que certaines organisations ont des activités dans plus d’un pays.
47. L’alinéa 7(3)c) précise que l’organisation ne peut communiquer de renseignements personnels à l’insu de l’intéressé ou sans son consentement que lorsque la communication est exigée par assignation, mandat ou ordonnance d’un tribunal, d’une personne ou d’un organisme ayant le pouvoir de contraindre à la production de renseignements. Est-ce que « l’assignation ou le mandat », comme on le prévoit à l’alinéa 7(3)c), ne doit être décerné uniquement par un organisme canadien en possédant l’autorité requise? Pour répondre à cette question, il importe de se rappeler ce qu’avait stipulé la Cour suprême du Canada, à savoir qu’il est nécessaire d’adopter une approche moderne pour interpréter la législation en lisant l’ensemble du contexte de cet article, et en tenant compte des mots dans leurs sens ordinaire et grammatical en harmonie avec l’esprit de la Loi, son objet et l’intention que manifeste le ParlementNote de bas de page 4.
48. Les organisations multinationales doivent se conformer aux lois en vigueur dans les pays où elles exercent leurs activités. Ainsi, si elles exploitent une entreprise au Canada, elles doivent évidemment respecter la loi canadienne. Il est toutefois peu réaliste, voire impossible, de demander à une organisation de ne pas tenir compte des lois des autres pays où elle exerce ses activités. De plus, cela pourrait être interprété comme une violation – commise par le Canada – de la souveraineté de cette nation. C’est pour cette raison, à mon sens, que la Loi reconnaît qu’une organisation assujettie à cette dernière et qui a communiqué, en toute légitimité, des renseignements à l’extérieur du pays à des fins commerciales, peut devoir à l’occasion transmettre ces données aux autorités compétentes de ce pays. Dans ce cas, je suis d’avis que l’alinéa 7(3)c) permet à SWIFT de répondre à une assignation valide provenant des États-Unis.
49. Cette interprétation de la Loi assure autant que faire se peut la protection des renseignements personnels lorsqu’il s’agit d’organisations qui ont des activités au Canada et à l’étranger. Par exemple, si SWIFT peut, dans ce cas, communiquer les données qu’elle détient aux É.-U. au département du Trésor américain, il n’en demeure pas moins que la Loi pourrait toujours interdire notamment la communication sans consentement de renseignements personnels que possède SWIFT, dans un autre pays, à un courtier en données ou à une firme de marketing qui exerce ses activités dans ce pays.
50. En outre, selon moi, la communication des données faites par SWIFT au département du Trésor des États-Unis était appropriée dans les circonstances aux termes du paragraphe 5(3). C’est-à-dire qu’une personne raisonnable s’attendrait à ce que SWIFT respecte une assignation légitime qui lui a été décernée sur un territoire où l’entreprise exerce ses activités.
51. De plus, je suis consciente que les personnes faisant affaire avec une institution financière canadienne pour faire une transaction internationale peuvent facilement s’informer en examinant la politique de protection des renseignements personnels d’une banque qui a recours aux services de SWIFT et constater que leurs renseignements personnels pourraient être communiqués à une tierce partie (SWIFT, par exemple). La politique sur la protection des renseignements personnels indiquera aussi que les données peuvent être conservées à l’extérieur du Canada. Comme il est indiqué dans un rapport de conclusions publié par le Commissariat en 2005, portant sur une institution financière ayant décidé d’impartir certaines opérations à un tiers fournisseur de services qui n’exercent ses activités qu’aux États-Unis (Résumé de conclusions 313) : «…lorsque les renseignements personnels du client sont entre les mains d’un tiers fournisseur de services établi dans un pays étranger, ils sont assujettis aux lois de ce pays et nul contrat ou disposition contractuelle ne peut l’emporter sur ces lois. » Je crois que la même chose s’applique à une organisation comme SWIFT qui a des activités à l’intérieur et à l’extérieur du Canada.
Conclusion
52. Par conséquent, j’en conclus que SWIFT n’est pas allé à l’encontre de la Loi sur la protection des renseignements personnels et les documents électroniques.
53. Indépendamment de mes constatations dans cette affaire, je crois qu’il importe de prendre note de plusieurs autres questions qu’elle soulève.
54. D’abord, je dois souligner que les organisations faisant des affaires au Canada, et qui sont liées de manière non négligeable au Canada, sont visées par la Loi. Si des entreprises peuvent bien sûr faire des affaires également à l’extérieur du pays, lorsqu’elles viennent au Canada pour recueillir, utiliser ou communiquer des renseignements personnels, elles doivent se conformer à la Loi. Le simple fait qu’une organisation exerce son activité sur deux territoires ou plus ne la soustrait pas à son obligation d’observer la loi canadienne.
55. Ensuite, j’ai eu l’occasion d’examiner les méthodes du Canada en matière de lutte au financement des activités terroristes et de comparer les tactiques de surveillance employées par le Canada et les États-Unis dans cette affaire. Le Canada dispose d’un mécanisme juridique [ la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes ] qui précise la façon dont le gouvernement peut s’attaquer au problème du financement des activités terroristes. Cette loi pose parfois problème sur le plan de la protection de la vie privée , mais elle met toutefois de l’avant le concept de la transparence et oblige le CANAFE garantir la protection des renseignements personnels. Cette façon de faire fonctionne, puisque toutes les transactions financières d’importance ou de nature suspecte sont rapportées au CANAFE, un organisme indépendant des organismes d’application de la loi.
56. Le CANAFE a conclu des protocoles d’entente avec ses homologues dans 45 pays, y compris avec le Financial Crimes Enforcement Network (FinCEN ), son homologue américain. Le CANAFE traite exclusivement avec des organismes de renseignements financiers à l’étranger, et non avec les autorités policières ou juridiques . De plus , le CANAFENote de bas de page 5 et ses homologues n’échangent que des renseignements ayant trait aux transactions financières à des fins convenues , et chaque organisme doit consentir explicitement à la diffusion des renseignements fournis à une tierce partie.
57. Je ferais aussi observer qu’à la suite du dernier examen parlementaire de la loi, le Commissariat a été chargé d’examiner tous les deux ans les mesures prises par le CANAFE pour protéger les renseignements à sa disposition. À la lumière des constatations de l’enquête , je demanderai que des représentants canadiens compétents collaborent avec l eurs homologues américains pour inciter le gouvernement des États-Unis à appliquer son régime de lutte contre le blanchiment des capitaux et le financement des activités terroristes plutôt que d’avoir recours à l’assignation, comme dans la présente affaire. Si les autorités américaines sentent le besoin d’obtenir des renseignements sur des transactions financières comportant un élément canadien, elles devraient être incitées à recourir aux mécanismes existants d’échange de renseignements offrant une certaine transparence et des mesures de protection intégrées. J’écrirai au ministre des Finances afin de recommander que le gouvernement canadien amorce aussitôt que possible des pourparlers avec son homologue américain au sujet de l’utilisation et de l’amélioration, s’il y a lieu, du système actuellement en place.
58. Les autorités américaines peuvent aussi obtenir des renseignements détenus au Canada au moyen de procé dures conformes aux Traités d’entraide juridique, de lettres de demande et de demandes d’aide informelles déposées au bureau des Affaires Internationales du département de la Justice des États-Unis. Le département américain et le ministère canadien de la Justice coopèrent également en vertu du Traité d’entraide juridique en matière pénale entre le Canada et les États-Unis .
59. Enfin, je crois comprendre que des représentants européens ont demandé à SWIFT de trouver une meilleure façon de pourvoir à ses besoins opérationnels tout en assurant une protection accrue des renseignements personnels qu’elle détient. À cet égard, j’ai appris que SWIFT procède à l’examen d’ une gamme de solutions possibles. Par exemple, j’ai été encouragée d’apprendre récemment que SWIFT et les États-Unis tentent de faire accréditer SWIFT en vertu de l’accord sur la sphère de sécurité entre les États-Unis et l’Union européenne, qui établira un cadre de travail sur les principes de protection de la vie privée qui s’appliquera à SWIFT. De plus , on m’informe que SWIFT travaille de concert avec les banques membres à l’échelle internationale pour accroître la transpare nce , s’il y a lieu, afin que les personnes qui effectuent des opérations bancaires internationales comprennent mieux que les gouvernements étrangers peuvent avoir recours à des mécanismes juridiques pour accéder à leurs renseignements personnels. À cet égard , je préciserais qu’au cours des enquêtes parallèles effectuées dans les banques canadiennes, nous avons constaté que celles-ci formulaient déjà des avis à cet effet dans leur politique de confidentialité.
60. Sans vouloir sous-estimer le problème mondial et manifeste du financement des activités terroristes, nous devons être conscients de ce que nous défendons dans notre lutte contre les terroristes et leurs bailleurs de fonds. N ous protégeons nos droits et libertés; or, parmi ces droits que nous ne souhaitons pas voir disparaître au nom de la lutte au terrorisme, figure certainement le droit au respect de la vie privée et à la protection raisonnable des renseignements personnels.
61. Les solutions de rechange que je propose permettrait au Canada de s’investir davantage dans la surveillance des renseignements personnels et de démontrer le respect que nous vouons à ce droit fondamental dans notre société démocratique. Pour reprendre les commentaire du groupe de travail de l’article 29 sur l’affaire SWIFTNote de bas de page 6 nous devons garantir que les libertés et droits fondamentaux de la personne sont respectés, et le droit à la protection des données personnelles fait partie intégrante de ces libertés et droits fondamentaux.
Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
Notes
- Date de modification :