Une banque fait preuve de transparence et assure un niveau de protection comparable à celui exigé par la Loi à l’égard du transfert de renseignements personnels à un tiers
Conclusions en vertu de la LPRPDE no 2020-001
Le 4 août 2020
Description
Une ancienne employée de la TD Canada Trust (TD) s’est plainte que la TD avait sous-traité certains aspects de ses activités de traitement des réclamations pour fraude à un tiers fournisseur de services en Inde. Cette dernière allègue que la TD n’avait pas obtenu le consentement des clients, ni ne leur avait donné l’occasion de refuser ce transfert. Nous avons conclu que la TD n’est pas tenue d’obtenir de nouveau le consentement pour cette activité et qu’elle a fait preuve de suffisamment de transparence auprès des clients actuels et éventuels quant à son recours à la sous-traitance. Nous avons également conclu que la TD a agi de manière responsable en ce qui concerne les renseignements personnels de ses clients grâce à un contrat rigoureux et à des méthodes de surveillance.
Points à retenir
- Les organisations qui transfèrent des renseignements personnels à une tierce partie aux fins de traitement devraient l’indiquer clairement aux clients actuels et éventuels.
- Les organisations devraient traiter les risques pour la vie privée liés à la circulation transfrontalière des données au moyen de mesures contractuelles ou autres, y compris la surveillance de la conformité.
Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE ou la Loi)
Aperçu
La plaignante, une ancienne employée des services de réclamation pour fraude de la TD, a appris dans le cadre de son emploi que la TD avait sous-traité certains aspects de ses activités de traitement des réclamations pour fraude à un tiers fournisseur de services en Inde. Elle a déposé une plainte auprès du Commissariat, alléguant que la TD n’avait pas obtenu le consentement des clients pour le transfert de leurs renseignements personnels à un fournisseur de services dans un pays étranger, ni ne leur avait donné l’occasion de refuser ce transfert. En outre, la plaignante a allégué que la TD ne faisait pas suffisamment preuve de transparence à l’égard de cette pratique. Enfin, le Commissariat a également enquêté pour savoir si la TD se comportait de manière responsable, en s’assurant que son tiers sous-traitant offrait un niveau de protection des renseignements personnels comparable à celui exigé en vertu de la LPRPDE.
En premier lieu, nous avons constaté que le tiers fournisseur de services utilisait les renseignements des clients de la TD pour gérer les réclamations pour fraude de la TD, un motif pour lequel la TD avait initialement recueilli les renseignements. Comme le consentement obtenu par la TD pour l’utilisation des renseignements des clients aux fins de la gestion des réclamations pour fraude n’était pas en cause dans la présente plainte, à notre avis, la TD n’était pas tenue d’obtenir un consentement distinct afin de transférer des renseignements personnels des clients à un tiers fournisseur de services aux mêmes fins ni d’offrir aux clients la possibilité de refuser ce transfert.
En deuxième lieu, selon nous, la Banque TD a fait preuve d’une transparence suffisante à l’égard de ce transfert aux fins de traitement. La TD fournit aux clients des informations relatives à ses transferts de renseignements personnels, y compris aux fournisseurs de services situés dans d’autres pays, dans ses conventions d’ouverture de compte. Elle communique également ces informations par l’intermédiaire de ses diverses ressources sur la protection de la vie privée, dans ses succursales bancaires et sur son site Web.
Enfin, nous avons conclu que la TD s’est comportée de manière responsable en ce qui concerne les renseignements qu’elle a transférés au tiers en question, en s’assurant que celui-ci offrait un niveau de protection de ces renseignements personnels comparable grâce à un contrat rigoureux ainsi qu’à d’autres méthodes, dont des vérifications régulières destinées à assurer le respect des exigences contractuelles.
Nous avons donc conclu que toutes les questions examinées dans cette enquête étaient non fondées.
Plainte
- La plaignante a allégué que TD Canada Trust (la TD) avait recours à la sous-traitance et au transfert des renseignements personnels à un tiers fournisseur de services situé en Inde aux fins du traitement des réclamations pour fraude, et ce, à l’insu et sans le consentement du client. Plus précisément, la plaignante allègue que la TD :
- n’a pas donné à ses clients l’occasion de refuser cette activité;
- n’a pas fait preuve de transparence quant à son recours à la sous-traitance pour le traitement des réclamations pour fraude.
- Étant donné que les allégations portent sur le transfert transfrontalier de renseignements personnels, le Commissariat a aussi enquêté pour savoir si la TD se comportait de manière responsable dans le cadre de la sous-traitance de certains services, en s’assurant que son tiers sous-traitant offrait un niveau de protection comparable à celui exigé en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE ou la Loi).
Contexte
- La plaignante est une ancienne employée des services de réclamation pour fraude de la TD.
- En 2013, la TD a conclu une entente contractuelle avec le fournisseur de services (fournisseur de services ou fournisseur) afin d’appuyer son équipe chargée d’enquêter sur les réclamations pour fraude. Le fournisseur de services est une importante multinationale de services en TI et de consultation qui offre de nombreux produits et services. Dans le contexte du présent cas, le fournisseur de services a des employés en Inde.
- Le fournisseur de services s’acquitte de fonctions précises à l’appui de l’équipe canadienne d’enquête sur les fraudes de la TD. Ces fonctions se rapportent au traitement des contestations de transactions relatives à la fraude par carte de débit, aux transactions non frauduleuses par carte de débit Visa (litiges avec des commerçants) et à la fraude par carte de crédit. Les fonctions exercées par le fournisseur de services comprennent, entre autres, la préparation des formulaires de contestation des clients et d’autres documents pertinents que la TD doit envoyer aux titulaires de cartes, le versement d’un crédit temporaire/provisoire sur les transactions approuvées à titre de réclamations pour fraude et faisant l’objet d’une enquête pour recouvrement, et le règlement des contestations des clients.
- Bien que le fournisseur de services assure d’autres services pour la TD, la portée de notre enquête s’est limitée aux seuls services liés au traitement des réclamations pour fraude des clients canadiens.
- Nous constatons tout d’abord que cette plainte porte sur les pratiques générales de la TD concernant le recours à un tiers fournisseur de services dans un pays étranger pour le traitement des renseignements personnels. Le Commissariat à la protection de la vie privée (Commissariat) n’a aucune preuve d’atteinte aux mesures de sécurité relatives à la sous-traitance par la TD des activités de traitement des réclamations pour fraude. La plaignante n’a pas non plus allégué que le fournisseur de services ne respecte pas les obligations de protection de la vie privée et de sécurité prévues dans son contrat avec la TD
Analyse
- Notre analyse de cette question s’inspire des Lignes directrices sur le transfert transfrontalier de renseignements personnelsNote de bas de page 1 du Commissariat (les Lignes directrices).
- Ces Lignes directrices notent que la LPRPDE n’interdit pas aux organisations de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement.
- Cela dit, il incombe aux organisations d’assurer la protection des renseignements personnels dans le cadre de tout contrat de sous-traitance. Le principe 4.1.3 de la LPRPDE énonce ce qui suit :
Une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
- À titre préliminaire, la TD a affirmé qu’elle ne « transfère » pas les renseignements personnels des clients au fournisseur de services en Inde. La TD précise plutôt que le fournisseur de services ne dispose que d’un accès à distance limité aux renseignements personnels stockés au Canada au moyen d’un portail sécurisé qu’elle gère.
- Nous acceptons les arguments de la TD selon lesquels les renseignements personnels en question ne sont pas stockés sur des serveurs en Inde. Toutefois, la TD reconnaît dans ses interventions que les employés d’un fournisseur de services situé en Inde accèdent aux renseignements personnels et les traitent pour exécuter des tâches précises au nom de la TD. Par conséquent, à notre avis, la TD « transfère » effectivement des renseignements personnels à une tierce partie aux fins de traitement au sens du principe 4.1.3 de la LPRPDE et elle demeure ainsi responsable de ces renseignements.
- Dans le cas présent, nous avons plus particulièrement examiné les points suivants :
- Consentement : La TD était-elle tenue d’obtenir le consentement de ses clients pour le transfert de renseignements personnels aux fins du traitement en question ou de leur donner l’occasion de refuser ce transfert?
- Transparence : La TD faisait-elle suffisamment preuve de transparence à l’égard du transfert de renseignements personnels à un tiers fournisseur de services dans un pays étranger aux fins du traitement?
- Responsabilité : La TD s’est-elle assurée qu’un niveau de protection comparable était en place pendant le traitement des renseignements personnels par le fournisseur de services?
QUESTION 1: Consentement
- À notre avis et pour les raisons suivantes, la TD n’est pas tenue d’obtenir un consentement supplémentaire pour le transfert de renseignements personnels de ses clients au fournisseur de services aux fins de la gestion des réclamations pour fraude. Elle n’est pas non plus tenue de leur donner l’occasion de refuser ce transfert.
- Le principe 4.3 de l’annexe 1 de la Loi énonce que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.
- Comme il est décrit dans les Lignes directrices du Commissariat, lorsqu’une organisation transfère des renseignements personnels à un tiers aux fins de traitement, la tierce partie ne peut utiliser ces renseignements personnels qu’aux fins pour lesquelles ils ont été recueillis à l’origine. Si les renseignements sont utilisés aux fins auxquelles ils ont été recueillis à l’origine, aucun consentement supplémentaire n’est requis pour procéder au transfertNote de bas de page 2.
- La plaignante ne remettait pas en cause le fait que la TD puisse elle-même procéder à la collecte et à l’utilisation de renseignements personnels dans le but d’enquêter sur des allégations de fraude et de les résoudre. La plaignante dénonçait plutôt la pratique de la TD consistant à transférer des renseignements personnels à un tiers fournisseur de services dans un pays étranger aux fins de traitement au lieu de traiter elle-même les renseignements personnels en question au Canada.
- Bien que la plainte n’ait pas remis en question la collecte initiale de renseignements personnels par la TD, nous avons néanmoins examiné les fins définies par la TD lorsqu’elle obtient le consentement au début de la relation avec le client, afin de déterminer si le fournisseur de services utilisait les renseignements aux mêmes fins, de sorte qu’un consentement supplémentaire pour le transfert de renseignements personnels ne serait pas nécessaire.
- La TD a déclaré au Commissariat qu’elle obtient le consentement pour utiliser les renseignements des clients aux fins du traitement des réclamations pour fraude au moyen de ses conventions d’ouverture de compte, qui comprennent ses modalités en matière de confidentialité (la Convention sur la confidentialité TD des renseignements personnelsNote de bas de page 3 et le Code de protection de la vie privée TDNote de bas de page 4). Ces documents recensent un certain nombre de fins pour lesquelles les renseignements des clients sont recueillis.
- La TD a fait valoir que toutes ses conventions d’ouverture de compte contiennent des descriptions essentiellement similaires des fins pour lesquelles les renseignements personnels des clients sont recueillis, utilisés et communiqués. Par exemple :
- Dans la Convention sur la confidentialité TD des renseignements personnels, la TD indique ce qui suit à la section intitulée « Collecte et utilisation de vos renseignements » :
Nous restreindrons la collecte et l’utilisation de renseignements à ceux qui sont nécessaires pour vous servir et pour gérer nos affaires, notamment aux fins suivantes : […] assurer votre protection et la nôtre contre la fraude et les erreurs…Note de bas de page 5 [caractères gras ajoutés.]
- Dans ses Modalités relatives à l’utilisation des cartes et des Services financiers électroniques, la Banque TD indique à l’article 30, « Consentement à la collecte, à l’utilisation et/ou à la divulgation de vos renseignements personnels » :
Vous acceptez que nous puissions, au moment d’entamer votre relation avec nous et durant le cours de cette relation, communiquer vos Renseignements à nos sociétés affiliées mondiales et les recueillir, les utiliser ou les divulguer de la manière prévue dans la convention sur la confidentialité des renseignements personnels accessible sur le site www.td.com, notamment aux fins suivantes : […] assurer notre protection et la vôtre contre la fraude et les erreurs…Note de bas de page 6 [caractères gras ajoutés]
- Dans la Convention sur la confidentialité TD des renseignements personnels, la TD indique ce qui suit à la section intitulée « Collecte et utilisation de vos renseignements » :
- La TD a fait savoir au Commissariat que les renseignements personnels qu’elle transmet au fournisseur de services ne sont utilisés que pour accomplir des tâches précises en lien avec le traitement des réclamations liées à la fraude, c’est-à-dire dans le même but que celui pour lequel la TD recueille les renseignements. Les pièces justificatives fournies par la TD, y compris son contrat et son énoncé de travail avec le fournisseur de services, confirment cette affirmation. Nous notons, en outre, que la plaignante n’a pas allégué que le fournisseur de services utilisait les renseignements personnels à d’autres fins que l’appui aux activités de la TD liées à la fraude.
- Comme le fournisseur de services utilise les renseignements personnels fournis par la TD aux mêmes fins que celles citées lorsque la TD obtient le consentement de ses clients pour la collecte et l’utilisation de leurs renseignements personnels, nous sommes d’avis que la TD n’est pas tenue d’obtenir un consentement distinct afin de transférer des renseignements personnels des clients au fournisseur de services.
- La plaignante a également dénoncé le fait que les clients ne pouvaient pas refuser le transfert de leurs renseignements vers l’Inde à des fins de réclamation pour fraude.
- Dans nos Lignes directrices, nous expliquons ce qui suit : « une fois que des consommateurs avertis décident de faire affaire avec une entreprise, ils ne peuvent s’opposer à ce que leurs renseignements personnels soient transférés. »
- À notre avis, la TD n’est pas obligée, en vertu de la LPRPDE, de permettre à ses clients de refuser le transfert en cause dans la présente enquête.
- En conséquence, nous considérons l’aspect de la plainte liée au principe 4.3 de l’annexe 1 de la Loi comme étant non fondé.
QUESTION 2: Transparence
- À notre avis, la TD fait preuve de suffisamment de transparence à l’égard des transferts de renseignements personnels aux fins de traitement.
- Selon le principe 4.8 de la Loi, les organisations doivent faire en sorte que des renseignements précis sur sa façon de gérer les renseignements personnels soient facilement accessibles à toute personne.
- Les lignes directrices du Commissariat précisent que les personnes doivent s’attendre à ce que les organisations fassent preuve de transparence lorsqu’il s’agit de transferts vers des pays étrangers, notamment en reconnaissant qu’aucun contrat ne peut prévaloir sur les lois pénales, de sécurité nationale ou autres d’un pays vers lequel des renseignements ont été transférés. Les Lignes directrices stipulent ce qui suit :
Les organisations doivent aviser leurs consommateurs de façon claire et compréhensible que leurs renseignements personnels pourraient être traités dans un pays étranger, et que les organismes d’application de la loi et de sécurité nationale de ce pays pourraient y accéder. Idéalement, cela devrait être fait au moment de la collecte des renseignements. [caractères gras dans l’original]
- La TD soutient qu’elle informe d’emblée les clients, dans ses conventions d’ouverture de compte et dans le Code de protection de la vie privée TD, qu’elle peut transférer des renseignements personnels à des tiers aux fins de traitement dans d’autres pays et que ces renseignements personnels peuvent faire l’objet de communications en vertu des lois de pays étrangers.
- À titre d’exemple, le Code de protection de la vie privée TD comprend les déclarations suivantes :
- à la section « Quand divulguons-nous des renseignements à votre sujet, » il est indiqué :
[…] nous pouvons divulguer des renseignements à votre sujet à des parties extérieures à la TD dans certaines circonstances, notamment […]
[…]
Nous fournissons, seulement si nécessaire, une quantité limitée de renseignements à nos fournisseurs et agents […] qui vous offrent des produits et services par notre intermédiaire. Ces fournisseurs et agents peuvent se trouver au Canada ou dans d’autres territoires ou pays, et ils peuvent divulguer des renseignements lorsque les gouvernements, les organismes de réglementation, les tribunaux ou les forces publiques de ces territoires ou pays présentent des demandes valables en ce sensNote de bas de page 7 - à la section « Pourquoi transmettons-nous vos renseignements? », il est aussi indiqué :
Vos renseignements peuvent être communiqués, stockés ou consultés au Canada ou dans d’autres territoires ou pays. Vos renseignements peuvent être divulgués lorsque les gouvernements, les organismes de réglementation, les tribunaux ou les forces publiques de ces territoires ou pays présentent des demandes valables en ce sensNote de bas de page 8.
- à la section « Quand divulguons-nous des renseignements à votre sujet, » il est indiqué :
- Dans la Convention sur la confidentialité TD des renseignements personnels, la section « divulgation de vos renseignements » indique également ceci :
Nous pouvons divulguer des renseignements [… à] un fournisseur, un agent ou un autre organisme qui se charge de la prestation de services pour vous, pour nous ou en notre nomNote de bas de page 9.
- La page Web « Points Saillants » comporte les énoncés suivants sous « Utilisations » :
Nous pouvons divulguer des renseignements à votre sujet à des parties à l’extérieur du Groupe Banque TD tels des organismes de réglementation ainsi que nos fournisseurs et nos agents qui nous aident à vous servir. Ces fournisseurs et ces agents peuvent se trouver au Canada ou dans d’autres territoires ou pays, et ils peuvent divulguer des renseignements en réponse à des demandes valables en ce sensNote de bas de page 10.
- Les clients reçoivent des renseignements sur les pratiques de la TD en matière de protection de la vie privée dans leur convention d’ouverture de compte. Dans les cas où les clients ne sont pas en mesure d’examiner l’intégralité des modalités de confidentialité au moment où ils demandent un produit de la TD, comme lorsqu’une personne fait sa demande par téléphone, la TD a précisé qu’elle fournit un résumé oral et envoie ensuite au client l’intégralité de la Convention sur la confidentialité avec les autres documents relatifs au compte. Nous notons également que les personnes peuvent obtenir la documentation sur la protection de la vie privée de la TD en personne dans une succursale de la TD, ou sur le site Web de la TD en tout temps.
- Par exemple, une personne qui souhaite consulter le Code de protection de la vie privée TDNote de bas de page 11, les Points Saillants TDNote de bas de page 12, ou d’autres ressources figurant sur la page Web « Nos engagements à l’égard de la confidentialité »Note de bas de page 13 peuvent accéder à ces pages en suivant les chemins suivants :
- depuis la page principale des services bancaires personnels de la TDNote de bas de page 14 ou d’autres pages Web comme « Relations avec les investisseurs »Note de bas de page 15 ou « Carrières »Note de bas de page 16, se rendre au bas de la page et cliquer sur le lien « Confidentialité et sécurité » dans la bannière du bas;
- depuis la page « Confidentialité et sécurité »Note de bas de page 17, se rendre au titre « Pratiques de confidentialité » et cliquer sur le lien à la fin de la section « Consultez nos engagements à l’égard de la confidentialité »;
- depuis la page « Nos engagements à l’égard de la confidentialité »Note de bas de page 18, sélectionner « Points saillants de la confidentialité à la Banque TD », « Code de protection de la vie privée TD » ou d’autres ressources de TD sur la protection de la vie privée figurant sur la page Web.
- Dans son argumentation, la plaignante a donné l’exemple du Contrat du titulaire de carte Visa Infinite TD Classe ultime Voyages et guide des couvertures liées aux avantages de la carteNote de bas de page 19. Nous avons examiné ce contrat et avons remarqué qu’il contient un libellé sensiblement similaireNote de bas de page 20 à celui utilisé par la TD, comme il a été décrit ci-dessus.
- Selon nous, la TD rend facilement disponibles et bien visibles des renseignements clairs et compréhensibles concernant ses transferts de renseignements personnels à des tiers fournisseurs de services, y compris dans des pays étrangers, aux fins de traitement.
- En outre, il est souligné dans ces avis que les renseignements des clients peuvent être communiqués en réponse à des demandes légitimes des autorités du pays où les renseignements sont traitésNote de bas de page 21.
- En conséquence, nous considérons l’aspect de la plainte liée au principe 4.8 de l’annexe 1 de la Loi comme étant non fondé.
QUESTION 3: Responsabilité
- À notre avis, la TD a fourni un niveau de protection comparable à celui exigé en vertu de la Loi, par voie contractuelle ou autre, en ce qui concerne le traitement des renseignements personnels des clients par un tiers fournisseur de services aux fins de gestion des réclamations pour fraude.
- Comme il a été précisé ci-dessus, la LPRPDE n’interdit pas aux organisations de transférer des renseignements personnels à une organisation dans un pays étranger aux fins de traitement. La LPRPDE établit cependant des règles régissant les transferts aux fins de traitement.
- En vertu du principe 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
- Fait important, le libellé du principe 4.1.3 indique clairement que la TD demeure responsable des renseignements personnels, même si elle choisit de faire appel à un tiers fournisseur de services pour le traitement.
- Même si la plaignante n’a pas soulevé explicitement la question de la responsabilité dans sa plainte, nous avons jugé opportun d’examiner cette question dans le cadre de notre enquête, compte tenu de son lien étroit avec la question à l’étude et de son importance dans la protection de la vie privée des personnes dans les contrats de sous-traitance. Il était d’autant plus pertinent de le faire puisque les renseignements transférés par la TD à la tierce partie comprennent des renseignements personnels pouvant être de nature sensible, comme l’historique des transactions financières et des détails connexes.
- Il est précisé dans les Lignes directrices que le moyen principal utilisé par les organisations pour protéger les renseignements personnels qui se trouvent entre les mains des tiers qui les traitent est par voie contractuelle. Des contrats solides sont particulièrement importants lorsque le tiers sous-traitant se trouve dans un pays étranger et n’est pas nécessairement assujetti à la LPRPDE.
- La TD a affirmé qu’au moyen de son contrat avec le fournisseur de services, ainsi que d’autres mesures de protection, elle a mis en place un ensemble complet de pratiques liées à la protection de la vie privée et à la sécurité qui fournissent un niveau de protection comparable des renseignements personnels des clients pendant que le fournisseur de services en Inde en assure le traitement.
- Selon le contrat, le fournisseur de services est obligé de respecter les lois canadiennes de protection des renseignements personnels. Cette clause ne suffirait pas à elle seule à assurer un niveau de protection comparable. Nous avons donc examiné attentivement le contrat de la TD avec le fournisseur de services, ainsi que les documents justificatifs que la TD a fournis au Commissariat pour démontrer comment elle confirme que le fournisseur de services répond aux exigences contractuelles de façon continue.
- Selon les lignes directrices du Commissariat, un « niveau de protection comparable » au sens du principe 4.1.3 signifie que le tiers sous-traitant doit fournir une protection qui peut être comparée au niveau de protection des renseignements personnels s’ils n’avaient pas été transférés. Bien que cela ne signifie pas que les protections doivent être les mêmes partout, cela signifie qu’elles doivent être généralement équivalentes.
- Les organisations doivent être en mesure de démontrer qu’elles ont respecté les principes de la LPRPDE qui s’appliquent dans le cadre de leurs accords de traitement avec des tiers fournisseurs de services, qui dépendront, entre autres choses, de la nature des services fournis.
- Dans ce cas, le fournisseur de services ne dispose que d’un accès à distance à une quantité limitée de renseignements personnels des clients au moyen d’un portail sécurisé géré par la TD. Les employés du fournisseur de services n’interagissent pas directement avec les clients de la TD et n’utilisent pas d’information autre que celle qui est rendue accessible par la TD.
- Étant donné la nature limitée de l'accès et de l'utilisation des informations personnelles par le fournisseur de services dans ces circonstances, le Commissariat a axé son analyse du « niveau de protection comparable » aux fins du principe 4.1.3 sur la question de savoir si la collecte des données dans le cadre du contrat de la TD était limitée (principe 4.4), si l’utilisation, la communication et la conservation étaient limitées (principe 4.5) et si les renseignements personnels de ses clients étaient adéquatement protégés (principe 4.7).
- L’évaluation du Commissariat concernant les mesures de protection de la vie privée entourant les transferts à des tiers fournisseurs de services dépendra des faits de chaque cas et de la nature des services fournis. Dans une situation différente, on pourrait mettre davantage l’accent sur des principes différents établis à l’annexe 1 de la LPRPDE.
- Le principe 4.7.1 prévoit en partie que les mesures de sécurité doivent protéger les renseignements personnels contre l’utilisation et la communication non autorisées. En ce qui concerne le niveau de protection de la TD pendant le traitement de l’information par le tiers fournisseur de services, nous notons que ses mesures de protection sont également le principal mécanisme par lequel elle veille à ce que les renseignements personnels des clients soient protégés conformément aux principes 4.4 et 4.5.
- Plus précisément, nous notons que le contrat prévoit que le fournisseur de services n’a accès qu’aux renseignements personnels dont il a besoin pour exécuter des tâches précises au nom de la TD, et que ces renseignements sont stockés et conservés au Canada (c.-à-d. qu’il ne recueille aucun renseignement personnel à cette fin). Le contrat interdit au fournisseur de services d’utiliser ou de communiquer les renseignements personnels auxquels il a accès à d’autres fins que celles prévues au contrat et de conserver tout renseignement personnel en Inde, et des mesures de protection connexes l’en empêchent.
- En évaluant le caractère adéquat des mesures de protection de la TD, nous remarquons que le niveau de protection des renseignements personnels devrait être proportionnel à leur degré de sensibilité, en vertu du principe 4.7.2. TD a fait valoir au Commissariat que les employés des fournisseurs de services ont accès à des données financières et à des détails sur les réclamations frauduleuses des clients, ce qui, nous le soulignons, peut être sensible. Un niveau plus élevé de mesures de protection serait donc nécessaire pour assurer la protection des renseignements personnels auxquels le fournisseur de services a accès.
- Le principe 4.7.3 prévoit en outre que les méthodes de protection doivent comprendre des moyens matériels, des mesures administratives et des mesures techniques. Nous présentons ci-dessous un résumé et une liste non exhaustive d’exemples des diverses méthodes par lesquelles la TD fournit une protection comparable des renseignements des clients transférés au fournisseur de services en question. Les mesures contractuelles et autres mises en œuvre par la TD peuvent être généralement caractérisées comme suit :
- Évaluation des risques avant la conclusion du contrat,
- Évaluation des antécédents et surveillance des employés,
- Politiques et formation à l’intention des employés,
- Mesures de contrôle de l’environnement de travail,
- Mesures de contrôle de l’accès et autres mesures liées à la cybersécurité, et
- Surveillance proactive et vérification du respect des obligations contractuelles.
Évaluation des risques avant la conclusion du contrat
- La TD a mené un certain nombre d’activités d’évaluation des risques afin de cerner et d’atténuer les risques potentiels pour la vie privée associés à la collaboration avec le fournisseur de services avant la signature d’un contrat. Ces activités comprenaient ce qui suit :
- suivre un processus exclusif de gestion des risques qui comprend un examen de la ligne directrice Impartition d’activités, de fonctions et de méthodes commercialesNote de bas de page 22 du Bureau du surintendant des institutions financières, ainsi que les Lignes directrices du Commissariat sur le transfert transfrontalier de renseignements personnels;
- réaliser une évaluation des facteurs relatifs à la vie privée;
- obtenir des conseils juridiques sur les obligations en matière de protection de la vie privée et de sécurité de l’information imposées par les lois de l’Inde, y compris l’Information Technology Act 2000Note de bas de page 23;
- intégrer les résultats de ces activités d’évaluation des risques au contrat avec le fournisseur de services.
- Nous avons examiné certains éléments de ces activités d’évaluation des risques dans le cadre de notre analyse des déclarations de la TD, y compris l’évaluation des facteurs relatifs à la vie privée. Nous n’avons pas examiné les conseils juridiques que la TD a reçus avant de signer un contrat avec le fournisseur de services, car la TD a invoqué le secret professionnel de l’avocat à leur égard.
Évaluation des antécédents et surveillance des employés
- La TD a prévu dans le contrat un certain nombre d’exigences relatives à la vérification et au suivi des antécédents des employés. Le fournisseur de services est tenu de :
- procéder à la vérification des antécédents criminels et autres de tous les employés actuels et potentiels, et à une nouvelle vérification chaque année;
- retirer l’accès aux systèmes et aux données de la TD à tout employé du fournisseur de services qui échoue à tout aspect de la vérification des antécédents.
Politiques et formation à l’intention des employés
- Le contrat exige que le fournisseur de services :
- élabore et tienne à jour des politiques et des procédures, à l’intention des employés, qui interdisent la reproduction des renseignements personnels des clients de la TD, afin de s’assurer que les renseignements de la TD ne sont pas stockés à l’extérieur du Canada;
- élabore et tienne à jour des politiques et des procédures en matière de gestion de la sécurité matérielle;
- offre à tous les employés la formation prescrite selon les exigences en matière d’accréditation de la TD, y compris une formation de perfectionnement régulière;
- respecte les pratiques de la TD en matière de sécurité de l’information.
Mesures de contrôle de l’environnement de travail
- Le fournisseur de services est tenu, en vertu du contrat, de surveiller l’environnement de travail afin d’empêcher les employés de stocker, de copier, de télécharger, d’enregistrer, d’imprimer, de distribuer, de mettre en cache ou de conserver les données de la TD en ayant recours à des méthodes physiques et organisationnelles, notamment :
- interdire aux employés d’apporter des appareils électroniques, tels que des appareils mobiles, des dispositifs de stockage amovibles et des imprimantes, ou du matériel d’écriture, dans l’espace de travail physique (aussi désigné comme un environnement de « salle blanche »);
- exiger que la « salle blanche » ait un plafond physique et qu’il n’y ait pas de fenêtres permettant d’en voir ou d’en identifier le contenu, ce qui comprend les renseignements;
- procéder à une surveillance sur place de l’environnement de travail du fournisseur de services, notamment en faisant appel à des agents de sécurité, à des inspections visuelles des employés entrant dans l’environnement de production de matériel à accès restreint, et à des caméras en circuit fermé;
- mettre en œuvre des processus sans papier.
Mesures de contrôle de l’accès et autres mesures liées à la cybersécurité
- La TD a déclaré qu’elle fournit tout le matériel et les logiciels au fournisseur de services, et qu’elle a instauré de nombreuses mesures de protection contre l’accès non autorisé aux données, notamment :
- fournir un accès à l’environnement et aux données de la TD par l’intermédiaire d’une plateforme de portail Web à distance, toutes les données de la TD étant stockées et conservées au Canada;
- structurer les bases de données qui contiennent des données de la TD de manière à ce qu’elles ne contiennent que les informations requises pour une tâche ou un processus opérationnel déterminé, et intégrer un modèle d’autorisation de l’accès fondé sur les rôles qui limite l’accès des employés aux seules bases de données dont ils ont besoin pour effectuer des tâches précises;
- s’assurer que seuls les ordinateurs qui sont situés sur place dans la « salle blanche » du fournisseur de services, comme décrit au paragraphe 61, permettent d’accéder à l’environnement de la TD;
- mettre en œuvre une authentification à deux niveaux pour l’accès à l’environnement de la TD;
- veiller à ce que l’accès des employés du fournisseur de services soit limité à l’accès visuel sur leur écran d’ordinateur et aux seules informations nécessaires à l’exécution des tâches qui leur sont assignées;
- masquer partiellement certains renseignements personnels de nature sensible, tels que le NAS ou la date de naissance, de sorte que les employés ne puissent voir qu’une partie de ces numéros sur leur écran d’ordinateur;
- limiter les activités que les employés des fournisseurs de services peuvent effectuer, comme limiter l’accès aux URL et aux parties du Web externe non autorisées, permettre l’envoi de courriers électroniques dans l’environnement de la TD uniquement à d’autres adresses électroniques du domaine de la TD, et désactiver toute fonction d’impression, de copier-coller, de capture d’écran ou toute autre fonction similaire;
- exiger du fournisseur de services qu’il assure la surveillance électronique des activités des employés, notamment par l’utilisation de journaux de vérification et de surveillance de l’accès aux ordinateurs;
- exiger du fournisseur de services qu’il mette en place un programme officiel pour assurer la protection contre les logiciels malveillants;
- exiger du fournisseur de services qu’il effectue au moins une fois par an des tests de sécurité et d’intrusion conformes aux normes de l’industrie, y compris des essais d’attaque et de pénétration.
- De plus, le contrat exige que le fournisseur de services se conforme aux exigences de sécurité de la TD, ce qui comprend la conformité aux normes de l’industrie. Plus précisément, la TD a fourni la preuve que le fournisseur de services était certifié ISO 27001:2013, et a vérifié la conformité du fournisseur de services à ces normes au moyen d’une certification par un tiers indépendant. Le fournisseur de services a été initialement certifié à l’égard de cette norme en 2006 et a récemment fourni à la TD une preuve de certification valide pour la période de juin 2019 à mars 2021.
Surveillance proactive et vérification du respect des obligations contractuelles
- Le contrat permet à la TD de surveiller et de vérifier de manière proactive les activités du fournisseur de services afin de veiller au respect du contrat.
- La TD mène des activités de surveillance, notamment :
- assurer la vérification régulière des pratiques du fournisseur de services par un vérificateur indépendant, y compris, mais sans se limiter à, la surveillance de la sécurité et de l’accès;
- exiger que tout problème relevé dans le cadre d’une vérification fasse l’objet d’un contrôle par un vérificateur indépendant;
- exiger que le fournisseur de services obtienne la validation du vérificateur indépendant pour confirmer que toutes les mesures correctives ont été efficaces;
- exiger du fournisseur de services qu’il certifie chaque année qu’il remplit toutes ses obligations contractuelles.
- La TD a fourni au Commissariat plusieurs exemples de vérifications antérieures pour démontrer ce processus de surveillance proactive, y compris des cas où des lacunes ont été relevées et des mesures correctives ont été appliquées pour y remédier.
- Nous constatons que le contrat contient des dispositions relatives au non-respect des obligations contractuelles, lesquelles peuvent aller jusqu’à une clause de résiliation.
- Nous sommes convaincus que ces mesures permettent à la TD de détecter et de résoudre efficacement les cas de non-respect des obligations contractuelles
- À notre avis, les contrôles technologiques de la TD, assortis aux modalités de son contrat avec le fournisseur de services et jumelés à la surveillance et à l’application des dispositions contractuelles, offrent un niveau de protection comparable à celui exigé en vertu de la LPRPDE si les renseignements étaient traités par la TD, en particulier, selon les principes 4.4, 4.5 et 4.7, qui sont les plus pertinents dans le contexte de la présente affaire. Par conséquent, nous sommes d’avis que la TD satisfait aux exigences du principe de la LPRPDE relatif à la responsabilité.
- En conséquence, nous considérons l’aspect de la plainte liée au principe 4.1.3 de l’annexe 1 de la Loi comme étant non fondé.
CONCLUSION
- En conséquence, le Commissariat conclut que la plainte est non fondée
- Date de modification :