L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2008-394

[Principes 4.1.3, 4.3, 4.3.2]

Deux plaignants doutaient que les renseignements personnels des abonnés restent protégés adéquatement après l’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis. En outre, les plaignants ne croyaient pas que les abonnés existants avaient eu l’occasion d’accepter le transfert de leurs renseignements aux États-Unis ou que les nouveaux abonnés avaient été correctement informés du fait que leurs renseignements seraient utilisés et stockés aux États-Unis.

L’enquête du Commissariat a permis d’établir que les abonnés existants avaient été préalablement informés que, à la prochaine connexion à leur nouveau compte, ils auraient l’occasion d’accepter ou de refuser les conditions générales des services. Les nouveaux abonnés aux services de courriel avaient également été informés des transferts de renseignements au fournisseur situé aux États-Unis ainsi que des éventuelles répercussions sur la protection des renseignements personnels.

La commissaire adjointe à la protection de la vie privée a estimé que canada.com s’était acquittée de ses obligations pour garantir une protection comparable à celle stipulée par la Loi en mettant en place des dispositions contractuelles adéquates. Elle a fait remarquer qu’étant donné que dans cette affaire le tiers est une entreprise américaine qui exerce ses activités aux États-Unis, ce tiers est soumis aux lois américaines, dont certaines pourraient obliger l’entreprise à communiquer aux autorités américaines les renseignements en sa possession.

Ci-dessous figure un résumé détaillé de l’enquête et des conclusions de la commissaire adjointe :

Résumé de l’enquête

Position des plaignants

Selon les plaignants, le 20 février 2007, canada.com a envoyé un courriel à ses abonnés leur annonçant que les services de courriel seraient dorénavant exploités par une entreprise établie aux États-Unis. Les plaignants ont prétendu que le courriel précisait également que tous les messages, dossiers et paramètres déjà sauvegardés seraient automatiquement transférés vers le nouveau compte, et ce, sans qu’on demande le consentement préalable des abonnés.

Le Commissariat a étudié ce courriel. Le courriel faisait savoir que les abonnés auraient le choix d’accepter ou de refuser les nouveaux services la prochaine fois qu’ils se connecteraient à leur nouveau compte. En cas de refus, leur compte de courriel et tout son contenu seraient définitivement supprimés.

Les plaignants ont affirmé que les nouveaux abonnés aux services de courriel de canada.com étaient tenus d’accepter les conditions générales de l’entreprise ainsi que sa déclaration de confidentialité. Les plaignants ont fait savoir que les conditions générales stipulent que les services de courriel sont offerts par un tiers situé aux États-Unis et que, de ce fait, la communication des renseignements personnels des abonnés stockés aux États-Unis est soumise aux lois américaines.

D’après les plaignants, le document Frequently Asked Questions (FAQ) rédigé par l’intimée stipule ce qui suit :

« […] les renseignements traités ou stockés à l’extérieur du Canada […] ne sont plus assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), ni à la Déclaration de confidentialité de canada.com [...] » [traduction]

Les plaignants ont joint à leurs observations des copies papier de la page d’accueil du site Web de canada.com, de la page de la FAQ, de la page d’inscription, de la déclaration de confidentialité ainsi que du document des conditions générales.

Les plaignants ont également fait référence à un courriel daté du 29 mars 2007 envoyé par le représentant juridique de l’intimée à un abonné de canada.com et dans lequel l’abonné était informé du fait qu’en vertu de l’entente contractuelle entre l’intimée et le fournisseur de services de courriel établi aux États-Unis, le fournisseur était contraint de se conformer aux lois sur la protection des renseignements personnels « … dans la mesure où elles n’entrent pas en conflit avec les lois américaines. » [traduction]

Position de l’intimée

Dans ses observations, l’intimée, CanWest Publishing Inc. (CanWest), a expliqué que canada.com est un portail Web interactif détenu et exploité par CanWest et que, depuis 1998, les services de courriel ont toujours été assurés par plusieurs tiers. (Depuis 2006, ses fournisseurs de services de courriel gèrent leurs activités depuis les États-Unis.) En outre, selon l’intimée, la circulation des renseignements des clients vers le tiers ne constitue pas un cas de communication mais plutôt de transfert de renseignements.

En ce qui concerne le fait que CanWest ait obtenu le consentement des abonnés existants début février 2007 aux fins du transfert de leurs renseignements personnels pour les services de courriel, l’entreprise a affirmé que le consentement requis avait été préalablement obtenu lorsque ces abonnés s’étaient inscrits pour la première fois aux services de courriel de canada.com. Bien que le tiers fournisseur de services ait pu changer en février 2007, l’objectif du transfert des renseignements au tiers est resté le même, ne nécessitant donc pas le renouvellement du consentement de l’abonné. CanWest a fait remarquer que cette position est conforme aux conclusions du résumé de conclusions d’enquête n^o 2005-313 du Commissariat.

Qui plus est, CanWest prétend que, parce que les données ont été fragmentées et que certaines étaient toujours stockées au Canada, aucun renseignement permettant d’identifier un abonné existant n’a été transféré au nouveau fournisseur établi aux États-Unis sans le consentement préalable dudit abonné.

CanWest a fourni une description de ce qui arriverait au moment de la première connexion des abonnés existants à compter du 28 février 2007 (à savoir la date d’« entrée en service » du nouveau compte) : la connexion d’un abonné serait d’abord redirigée du serveur canadien aux serveurs du tiers situés aux États-Unis, où une partie des données (comme le contenu des courriels, les mots de passe et les noms d’utilisateur des abonnés) attendaient leur mise en service, après y avoir préalablement été transférées et stockées. Les noms d’utilisateur étaient stockés sur des serveurs distincts de ceux du contenu des messages. Parallèlement, le nom et l’adresse des abonnés (les « informations sur le compte ») étaient restés sur les serveurs de canada.com au Canada, là où, selon l’intimée, ils ont toujours été stockés.

Étant donné que les renseignements des abonnés étaient toujours sous forme de données brutes, CanWest ne les considérait pas comme des renseignements permettant d’identifier les abonnés.

Sur réception de la demande de connexion, les serveurs du tiers enverraient ensuite un message électronique aux serveurs de canada.com au Canada, demandant l’authentification de l’utilisateur. Les abonnés seraient ensuite informés au moyen d’une fenêtre contextuelle du changement pour un fournisseur de services situé aux États-Unis (identifié par le nom) et du fait que, tant qu’ils n’étaient pas connectés et qu’ils n’avaient pas accepté les conditions générales et la déclaration de confidentialité de CanWest, aucun contenu de leurs courriels ni aucun nom d’utilisateur ne seraient activés et ne seraient accessibles par un tiers.

Si les abonnés donnaient leur consentement, le serveur au Canada enverrait un « jeton d’authentification » au serveur installé aux États-Unis, qui aurait synchronisé les renseignements du contenu des courriels de l’abonné avec le nom d’utilisateur. Selon l’intimée, si un abonné refusait le nouveau service, le compte serait immédiatement et définitivement supprimé des serveurs installés aux États-Unis. De la même manière, les comptes inactifs étaient supprimés de ces serveurs 90 jours après la date d’« entrée en service ».

En ce qui concerne le consentement des nouveaux abonnés, ils doivent également accepter la déclaration de confidentialité de l’entreprise. Dans ses conditions générales (mises à jour le 28 février 2007), CanWest les informe également de ce qui suit :

« Vous reconnaissez que si un fournisseur de services tiers est situé aux États-Unis ou dans un autre pays étranger, vos renseignements personnels pourraient y être traités et stockés, et les lois du pays en question pourraient permettre aux gouvernements, aux tribunaux ou aux organismes d’application de la loi ou de réglementation de ce pays d’y avoir accès. »[traduction]

Ces renseignements sont également disponibles dans son document FAQ, publié sur le site Web canada.com, qui précise clairement que les services de courriel de canada.com sont offerts par « […] une entreprise située aux États-Unis, qui gère ses activités aux États-Unis. » [traduction]

CanWest a reconnu devant le Commissariat qu’à l’origine son document FAQ déformait les pouvoirs de la Loi vis-à-vis des renseignements personnels recueillis au Canada, puis transférés vers un autre pays. Ces renseignements erronés ont également été communiqués aux abonnés dans la fenêtre contextuelle qui apparaissait (en rappel) à chaque connexion ou inscription au courriel pendant environ une semaine après l’obtention du consentement de l’abonné. Voici ce qu’on pouvait lire :

« […] les renseignements traités ou stockés à l’extérieur du Canada peuvent […] ne plus être assujettis à la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») du Canada, ni à la Déclaration de confidentialité de canada.com [...] » [traduction]

Le 14 mars 2007, le document FAQ a été revu et modifié comme suit :

« […] les renseignements traités ou stockés à l’extérieur du Canada peuvent être mis à la disposition du gouvernement étranger du pays dans lequel les renseignements, ou l’entité qui les contrôle, sont situés en vertu d’une ordonnance légale rendue dans ce pays. » [traduction]

L’intimée admet également qu’elle a mal informé les abonnés dans un courriel daté du 29 mars 2007, à savoir qu’en vertu de l’entente contractuelle entre les deux parties, le tiers fournisseur était contraint de se conformer aux lois relatives à la protection des renseignements personnels « […] dans la mesure où elles n’entrent pas en conflit avec les lois américaines. » [traduction] CanWest a revu son message et prétend désormais que l’entente signée ne contient, de fait, aucune déclaration de ce type. À l’inverse, le message aux abonnés visait à transmettre ce qui suit :

« […] lorsque les renseignements personnels du client sont entre les mains d’un tiers fournisseur de services établi dans un pays étranger, ils sont assujettis aux lois de ce pays et nul contrat ou disposition contractuelle ne peut l’emporter sur ces lois. »(Résumé de conclusions d’enquête n^o 2005-313)

Pour ce qui touche au niveau de protection des renseignements personnels que requiert CanWest de la part du tiers établi aux États-Unis, CanWest nous a fourni un exemplaire de l’entente signée par les deux parties ainsi qu’un document de confidentialité comprenant quatre points en particulier auxquels le tiers doit se conformer.

En outre, CanWest a déclaré que le tiers a des exigences techniques strictes concernant le stockage et le traitement des données des abonnés (y compris le stockage séparé du contenu des courriels et des renseignements sur l’utilisateur) ainsi que concernant l’hébergement du répertoire sur un fichier de partage Uniform Naming Convention de manière à désactiver toute requête de fichiers‑texte. Les serveurs installés aux États-Unis sont situés dans un centre de données protégé 24 heures sur 24, auquel seul le personnel autorisé a accès.

Enfin, l’intimée a abordé le problème de communication de renseignements personnels sans consentement dans le cadre de la USA PATRIOT Act et des lois relatives à la protection des renseignements personnels. CanWest soutient que, quel que soit le lieu où les renseignements personnels sont stockés, au Canada ou aux États-Unis par exemple, la LPRPDE n’interdit pas les communications de renseignements aux institutions gouvernementales sans le consentement d’une personne. À titre d’exemple, CanWest a cité les alinéas 7(3)c) et 7(3)i) et les sous‑alinéas 7(3)c).1 et 7(3)c).2 de la LPRPDE qui décrivent les cas particuliers, impliquant des autorités gouvernementales ou juridiques, où la communication de renseignements personnels peut avoir lieu à l’insu de la personne et sans son consentement. À la lumière de ces dispositions, CanWest déclare que « … l’accès du gouvernement sans consentement restera toujours une possibilité, aussi bien au Canada qu’aux États-Unis ».

En réponse à la notion selon laquelle la USA PATRIOT Act facilite davantage l’accès des autorités américaines aux renseignements personnels des Canadiennes et des Canadiens que d’autres lois et ententes sur l’échange de renseignements, CanWest affirme ce qui suit :

« Bien qu’il soit du pouvoir d’une organisation d’effectuer des contrôles contractuels et opérationnels sur le traitement des renseignements personnels par ses fournisseurs de services, il n’est pas raisonnable de s’attendre à ce que les organisations mènent des enquêtes exhaustives sur les règlements d’accès aux données dans tous les pays dans lesquels elles traitent ou stockent des données, ni de décider si ces règlements exposent ou non les renseignements à plus de risques que s’ils étaient stockés au Canada. Nous soutenons qu’une telle norme va au-delà de l’esprit et de l’intention de la LPRPDE, notamment la norme du caractère raisonnable énoncée à l’article 3. » [traduction]

Conclusions

Rendues le 7 août 2008

Application : Conformément au principe 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. Le principe 4.3 spécifie que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Le principe 4.3.2 prévoit que les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

Consentement

• En ce qui concerne la question du consentement du client, le Commissariat a déjà énoncé dans des conclusions antérieures que le transfert de renseignements à un tiers fournisseur de services constitue une « utilisation » aux fins de la Loi. Selon la commissaire adjointe, CanWest obtient le consentement des clients pour l’utilisation de leurs renseignements à des fins de service de courriels lorsque les abonnés s’inscrivent aux services de courriel de canada.com. Bien que le fournisseur de services ait changé, l’objectif de l’utilisation des renseignements personnels par le fournisseur actuel est resté le même. Ainsi, l’intimée n’était pas tenue d’obtenir le renouvellement du consentement du client pour pouvoir utiliser les renseignements lorsque le nouveau fournisseur a repris le service en février 2007.
• Lors du transfert des renseignements au nouveau fournisseur de services, les nouveaux clients et les clients existants ont tout de même été informés directement du changement (par courriel) et ont manifestement eu l’occasion d’y consentir au moment de la demande de connexion lorsqu’une fenêtre contextuelle apparaissait. Les documents justificatifs disponibles contenant les mêmes renseignements incluaient les conditions générales de l’entreprise, sa politique de confidentialité et son document FAQ. Les conditions générales et le document FAQ avisaient clairement les abonnés que certains renseignements étaient stockés aux États-Unis et qu’ils pourraient être consultés par un gouvernement étranger.
• De plus, la commissaire adjointe a fait remarquer que toutes les données transférées au nouveau fournisseur de services avant que les abonnés soient avisés en février 2007 ne pouvaient être consultées par des tiers et ne pouvaient servir à identifier les détenteurs de comptes de courriel avant qu’ils donnent leur consentement. Par conséquent, la commissaire adjointe estime que les principes 4.3 et 4.3.2 ont été respectés.

Responsabilité et protection

• La commissaire adjointe est convaincue que CanWest assure la garde et le contrôle des renseignements qui sont traités par son tiers fournisseur de services aux États-Unis. L’entente de services entre les deux parties garantit en langage clair la confidentialité et la sécurité des renseignements personnels et autorise la supervision, la surveillance et la vérification des services fournis. Les dispositions contractuelles concernant la protection des renseignements sont aussi rigoureuses qu’elles le seraient si le fournisseur de services se trouvait en territoire canadien.
• En ce qui concerne le droit d’accès aux renseignements personnels des abonnés que détiennent les autorités des États-Unis en raison d’une ordonnance en vertu de l’article 215 de la USA PATRIOT Act, CanWest ne peut s’appuyer sur les exceptions énoncées à l’alinéa 7(3)c), aux sous-alinéas 7(3)c).1, 7(3)c).2 et à l’alinéa 7(3)i) de la Loi. Cette position est conforme aux conclusions du Commissariat dans le résumé de conclusions d’enquête n^o 2005-313. Pour la même raison, CanWest ne peut recourir à une disposition contractuelle ou autre pour passer outre les dispositions des lois américaines.
• La commissaire adjointe a souligné que les organisations qui impartissent le traitement des renseignements personnels doivent fournir un préavis suffisant en cas de changement de fournisseur de services. Elles doivent notamment informer leurs clients qu’un fournisseur de services étranger pourrait devoir, en vertu des lois de son pays, communiquer des renseignements personnels qui sont sous sa garde au gouvernement ou aux organismes de ce pays. À cet égard, la commissaire adjointe estime que CanWest a respecté son obligation d’informer ses abonnés, qu’ils soient nouveaux ou existants, de son entente avec un nouveau fournisseur de services de courriel situé aux États-Unis ainsi que des répercussions possibles sur la confidentialité des renseignements des abonnés. Par conséquent, CanWest n’a pas enfreint le principe 4.1.3.
• Le risque qu’un fournisseur de services situé aux États-Unis doive communiquer des renseignements personnels aux autorités américaines n’est pas propre aux organisations américaines. Dans le contexte de la sécurité nationale et des mesures antiterroristes, les organisations canadiennes sont sujettes au même genre d’ordonnance de communiquer des renseignements personnels de Canadiennes et de Canadiens aux autorités canadiennes, et pourraient être aussi susceptibles d’en recevoir. Plusieurs ententes bilatérales officielles entre des organisations canadiennes et américaines analogues ont également été mises en place afin de prévoir une coopération et un échange de renseignements pertinents. À la lumière de telles ententes, plusieurs options autres qu’une ordonnance en vertu de l’article 215 peuvent être utilisées pour obtenir des renseignements au sujet de Canadiennes et de Canadiens.

Décision

Persuadée que l’intimée a respecté ses obligations en vertu de la Loi, la commissaire adjointe a conclu que les plaintes étaient non fondées.

Post-scriptum

Une fois que la commissaire adjointe a eu rendu ses conclusions, on lui a demandé de clarifier ses commentaires sur le paragraphe suivant :

« En ce qui concerne le droit d’accès aux renseignements personnels des abonnés que détiennent les autorités des États-Unis en raison d’une ordonnance en vertu de l’article 215 de la USA PATRIOT Act, CanWest ne peut s’appuyer sur les exceptions énoncées à l’alinéa 7(3)c), aux sous-alinéas 7(3)c).1, 7(3)c).2 et à l’alinéa 7(3)i) de la Loi. Cette position est conforme aux conclusions du Commissariat dans le résumé de conclusions d’enquête n^o 2005-313. Pour la même raison, CanWest ne peut recourir à une disposition contractuelle ou autre pour passer outre les dispositions des lois américaines. »

La commissaire adjointe a expliqué que ses remarques visaient à déterminer si CanWest assurait un degré comparable de protection des renseignements personnels traités par le tiers fournisseur de services étranger.

Ses commentaires se voulaient un rappel des conclusions antérieures du Commissariat, notamment dans le résumé de conclusions d’enquête n^o 2005-313, dont la situation est analogue au cas présent. Dans le résumé de conclusions d’enquête n^o 2005-313, le Commissariat a souligné que tant que des renseignements personnels sont en la possession d’un tiers fournisseur de services étranger, ils sont assujettis aux lois du pays en question. En effet, aucun contrat, ni disposition contractuelle ne saurait l’emporter sur ces lois.

De la même façon, ici, CanWest ne peut empêcher les autorités des États-Unis de consulter légalement les renseignements personnels de ses clients. Si une ordonnance en vertu de l’article 215 était rendue contre le tiers fournisseur de services de CanWest, le fournisseur serait obligé de s’y soumettre puisqu’il s’agit d’une entreprise américaine assujettie aux lois des États-Unis. CanWest ne pourrait rien faire pour empêcher son tiers fournisseur de services de se soumettre à une ordonnance rendue en vertu des lois du pays où est situé le fournisseur. Les exceptions au consentement ne sont pas applicables dans ce cas, car CanWest ne serait pas la partie répondant à l’ordonnance; il s’agirait plutôt du fournisseur de services.

La commissaire adjointe a également fait remarquer que sa position dans le cas présent est en accord avec le résumé de conclusions d’enquête n^o 2007-365. Au cours de cette enquête, il a été démontré que la Loi ne peut empêcher des autorités étrangères de consulter légalement, auprès d’organisations dans leur territoire de compétence, les renseignements personnels de Canadiennes et Canadiens. De plus, dans le résumé de conclusions d’enquête n^o 2007-365, les intimées n’ont pas communiqué les renseignements; leur fournisseur de services commun l’a fait. Dans le cas présent, CanWest a aussi avisé ses clients de son entente avec un fournisseur de services de courriel des États-Unis.

Voir aussi

N^o 2005-313 Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act

N^o 2007-365 Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis

Commentaire final

La commissaire adjointe souligne à quel point il est important que les organisations évaluent les risques qui pourraient compromettre la sécurité et la confidentialité des renseignements personnels des clients lorsqu’on les transfère à des tiers fournisseurs de services étrangers. Il est primordial que les organisations faisant affaire avec des tiers fournisseurs de services étrangers fournissent, soit par voie contractuelle ou autre, un degré comparable de protection aux renseignements qui sont en cours de traitement par la tierce partie.