L’Agence du revenu du Canada prend des mesures adéquates pour empêcher le transfert de renseignements personnels aux États-Unis
Plainte présentée en vertu de la Loi sur la protection des renseignements personnels (la Loi)
- Le plaignant a soulevé des réserves au sujet d’un contrat (ci-après, le « contrat ») passé entre l’Agence du revenu du Canada (l’ARC) et Mobilshred Inc. pour le stockage des renseignements personnels des contribuables canadiens. Plus particulièrement, le plaignant s’inquiète du fait que les renseignements des contribuables canadiens puissent être vulnérables à une divulgation aux autorités américaines en vertu de la Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism (USA PATRIOT) Act, étant donné qu’il croit que Mobilshred Inc. est une division de Recall, une société établie aux États Unis.
- Même si le plaignant n’a pas allégué d’infraction à une disposition précise de la Loi, notre enquête s’est attardée sur la question de savoir si l’ARC a, dans le contexte du contrat, protégé adéquatement les renseignements personnels confiés à Mobilshred Inc. contre toute divulgation non autorisée en vertu de la Loi.
Contexte
- Le Commissariat a déjà fait part de ses réserves au sujet des répercussions du flux transfrontalier des renseignements personnels sur la protection de ces renseignementsNote de bas de page 1. Lorsque des renseignements personnels concernant des Canadiens sont transférés à l’extérieur du pays, que ce soit par un organisme gouvernemental canadien, un organisme privé ou des Canadiens eux-mêmes, les lois du pays où les renseignements sont détenus s’appliquent. Ces lois déterminent à quel moment des organismes gouvernementaux tels que les services de police, de sécurité et fiscaux peuvent avoir accès à ces renseignements personnels. Dans certains cas, des lois étrangères peuvent autoriser l’accès à des renseignements personnels concernant des Canadiens dans des situations que de nombreux Canadiens pourraient juger répréhensibles ou inappropriées.
- Selon le droit intérieur américain, divers mécanismes juridiques peuvent permettre aux autorités d’accéder à des documents d’entreprises étrangères. Même si nous n’avons pas le mandat de déterminer si les lois américaines permettent la divulgation de renseignements de la part d’une entité située sur un autre territoire, aux fins de la présente affaire et en termes généraux, un tribunal ou un organisme américain peut exiger d’un organisme étranger la divulgation de renseignements qui lui sont confiés si l’organisme en question est présent physiquement sur le territoire américain ou possède suffisamment de lien avec les États-Unis, sans égard à la question de savoir si l’organisme étranger est détenu par des actionnaires américains ou locaux ni à la question de savoir où les enregistrements sont stockés.
- Un exemple d’un tel mécanisme est une ordonnance émise en vertu de l’article 215 de la USA PATRIOT Act, qui permet au directeur du Federal Bureau of Investigation (FBI) ou à une personne déléguée de demander à la Foreign Intelligence Surveillance Court (Cour de surveillance du renseignement étranger) une ordonnance en vue de produire « tout élément tangible » d’une personne ou d’un organisme pertinents dans le cadre d’une enquête sur des activités de terrorisme international ou de renseignement clandestinNote de bas de page 2. D’autres mécanismes pourraient également être utilisés, notamment une assignation d’un grand jury ou une assignation administrative.
- Les autorités américaines peuvent avoir recours à d’autres moyens pour obtenir des documents de la part d’une entité étrangère sur laquelle une autorité ou un tribunal américains n’ont aucun pouvoir. Par exemple, il y a les traités d’entraide juridique (TEJ), les traités d’entraide relative aux éléments de preuve et les commissions rogatoiresNote de bas de page 3.
- Cependant, les préoccupations particulières du plaignant concernaient le fait que les autorités américaines pouvaient avoir accès aux renseignements personnels des contribuables canadiens en vertu de la USA PATRIOT Act si ces renseignements étaient détenus aux États-Unis, ce qu’il croit possible, puisque la société mère de Mobilshred Inc., Recall, est une entreprise à propriété étrangère qui a des activités aux États-Unis. En appui à cette position, le plaignant a mentionné la liste des activités de « Recall & Mobilshred Inc. » qu’on retrouve auprès d’Industrie Canada :
Recall Canada Holdings Inc. est une société canadienne qui fait partie de la famille Recall Global, un leader mondial de la gestion du cycle de vie de l’information qui offre des services de gestion documentaire, des solutions numériques, la protection des données et l’élimination sécurisée. À l’heure actuelle, Recall compte environ 80 000 clients dans plus de 20 pays sur cinq continentsNote de bas de page 4. [Traduction]
Résumé de l’enquête
- Des renseignements sur le contrat ont été divulgués sur MERX, le service en ligne qui dresse la liste des appels d’offres publics et des marchés passésNote de bas de page 5. Le résumé du marché passé sur Merx indique que Mobilshred Inc., exploitée sous le nom Recall, s’est vue attribuer un contrat d’une valeur de 40 000 000 $ le 2 mai 2013 « pour la provision de services de gestion des documents à l’Agence du revenu du Canada (ARC) » (c.-à-d. stockage et entreposage). La date d’échéance du contrat est le 1er mai 2018.
- Nous avons demandé à l’ARC de nous donner de l’information concernant le marché passé avec Mobilshred Inc. en ce qui a trait à la sécurité des renseignements personnels des contribuables visés par la présente. L’ARC a répondu en soumettant les observations suivantes :
Le contrat en question a été attribué par l’ARC à Mobilshred Inc., une entreprise canadienne, qui utilise la marque Recall d’un bout à l’autre du Canada. Recall Canada Holdings Inc. est la société mère de Mobilshred Inc. (Canada). Recall Canada Holdings Inc. et Mobilshred Inc. (Canada) ne sont pas des filiales de Recall Corporation Inc. (États-Unis).
Le contrat passé entre l’ARC et Mobilshred Inc. (exploitée sous le nom Recall) ne couvre que le stockage de copies physiques (c.-à-d. de documents imprimés) au Canada. L’ARC a structuré les exigences techniques et obligatoires du contrat avec Mobilshred de sorte que les documents papier visés par le contrat, y compris ceux qui contiennent des renseignements sur les contribuables, doivent demeurer physiquement au Canada. Par conséquent, l’autorité gouvernante est le Canada et les lois canadiennes, plutôt que les lois américaines (y compris la USA PATRIOT Act), s’appliquent.
- Nous avons ensuite demandé à l’ARC de nous donner plus de détails quant à l’atténuation des risques potentiels pour la protection des renseignements personnels des contribuables canadiens. Voici sa réponse :
Une grande attention a été portée à la question de savoir si la USA PATRIOT Act poserait des risques pour les renseignements personnels des Canadiens. La protection des renseignements sur les contribuables est cruciale pour l’ARC. Pour assurer que la confidentialité et la sécurité ont été traitées de manière efficace lors de la conception et de la mise en œuvre du nouveau modèle de services gérés, les fonctionnaires de l’ARC ont consulté la Direction de l’accès à l’information et de la protection des renseignements personnels à l’interne, ainsi que le Commissariat à la protection de la vie privée et le ministère de la Justice à l’externe. Toutes les parties ont confirmé que les documents contractuels cernaient clairement les exigences en matière de confidentialité et de sécurité et y répondaient, ce qui comprend les incidences de la USA PATRIOT Act. Les documents contractuels répondent à ces préoccupations grâce à des exigences bien définies et détaillées en matière de sécurité physique et technologique et ils prévoient des clauses de confidentialité pour la prestation de ces services tout en prenant soin de conserver les renseignements confidentiels sur les contribuables sous le contrôle du gouvernement du Canada et à l’intérieur du pays.
[…]
À la lumière de ce qui précède, l’ARC ne compte pas effectuer le stockage de ses dossiers physiques d’une manière autre que celle établie sous le modèle actuel de prestation de services gérés et prévue dans le contrat passé avec Mobilshred Inc. (exploitée sous le nom de Recall).
- Selon la Directive sur l’évaluation des facteurs relatifs à la vie privée du Secrétariat du Conseil du Trésor (ci-après, « la Directive »), les ministères fédéraux doivent réaliser une évaluation des facteurs relatifs à la vie privée (EFVP) d’une manière qui corresponde au niveau de risque déterminé en ce qui a trait à la protection de la vie privée avant de mettre en place des activités ou des programmes nouveaux ou substantiellement modifiés qui touchent des renseignements personnelsNote de bas de page 6.
- L’ARC a conclu qu’une EFVP n’était pas nécessaire aux termes de la Directive, mais elle a néanmoins consulté le Commissariat en 2011 et en 2012 au sujet de l’inclusion de clauses liées à la protection de la vie privée dans la demande de propositions et l’énoncé des travaux concernant le contrat de gestion des documents. Pendant le processus de consultation, l’ARC a fait savoir qu’elle avait effectué des consultations à l’interne auprès de sa propre Direction de l’accès à l’information et de la protection des renseignements personnels pour s’assurer qu’elle avait suivi adéquatement les directives du SCT figurant dans le document d’orientation « Prise en compte de la protection des renseignements personnels avant de conclure un marché »Note de bas de page 7. Ce document d’orientation a été rédigé pour aider les institutions fédérales à atténuer les risques pour la protection de la vie privée associés à l’exposition potentielle des renseignements personnels de Canadiens aux autorités américaines aux termes de la USA PATRIOT Act lorsque ces institutions envisagent de donner en sous-traitance des activités dans le cadre desquelles des renseignements personnels de Canadiens sont traités par des organismes du secteur privé liés par contrat ou auxquels ces derniers ont accès.
- Comme l’ARC n’a pas rempli d’EFVP officielle, le Commissariat n’a formulé aucune recommandation en ce qui concerne la demande de propositions ou l’énoncé des travaux. Il convient de souligner que, de toute façon, les recommandations que formule le Commissariat à l’intention de l’ARC (ou de toute autre institution) durant l’examen de l’EFVP ou le processus de consultation ne sont pas contraignantes, et que le Commissariat n’intervient pas dans l’autorisation ou l’approbation d’initiatives. Bien que nous puissions donner des conseils — et que nous le fassions — dans le but d’améliorer les processus de traitement des renseignements personnels des institutions fédérales, c’est aux institutions uniquement qu’incombe la responsabilité découlant des décisions relatives au niveau d’atténuation des risques liés à la protection de la vie privée et de l’acceptation du risque résiduel.
- Dans ses observations, l’ARC nous a aussi fait part des mesures de protection particulières qui ont été insérées dans le contrat de sous-traitance octroyé à Mobilshred Inc. Nous avons confirmé que le contrat prévoit les exigences suivantes :
- Toutes les données doivent être saisies et traitées à l’intérieur du pays.
- Toutes les activités de destruction doivent être menées au Canada.
- L’ensemble du transport doit avoir lieu à l’intérieur du Canada (les documents ne doivent pas entrer dans un autre pays).
- Toutes les activités liées à la gestion des documents de l’ARC et à la conservation des données doivent être menées au Canada.
- Il est interdit à Mobilshred Inc. de communiquer et/ou de transférer des renseignements personnels à l’étranger, ou de permettre à des parties à l’extérieur du Canada d’y avoir accès (sans avoir obtenu préalablement un consentement écrit).
- Mobilshred Inc. doit garantir que tous les systèmes de technologie de l’information (y compris les bases de données, la saisie des données, les serveurs, le traitement, le stockage, l’accès et l’ensemble des sauvegardes électroniques) seront traités et hébergés à l’intérieur des frontières canadiennes.
- Mobilshred Inc. doit veiller à ce que tout article ou envoi transporté ne soit ni conservé, ni transféré à bord d’un autre aéronef ou véhicule, ni réemballé à l’extérieur du Canada.
- Durant l’enquête, nous avons cherché à déterminer si Mobilshred Inc. était effectivement affiliée à une entreprise établie aux États-Unis. Nous avons déterminé que « Recall Total Information Management » a été enregistrée en Ontario en vertu de la Loi sur les noms commerciaux le 20 mars 2014, et que son adresse postale est dans l’État de Géorgie, aux États-Unis.
- Nous avons aussi visité le site Web canadien de Recall (puisque Mobilshred Inc. n’a pas de site Web), qui fournit les renseignements suivants concernant les lieux d’exploitation de l’entreprise :
Recall, dont le siège est à Atlanta en Géorgie, est devenue au fil du temps le leader mondial des services de gestion d’information, avec des bureaux à São Paulo, au Brésil, à Londres, en Angleterre, à Kuala Lumpur, en Malaisie, et à Sydney, en AustralieNote de bas de page 8.
- Compte tenu de ces renseignements, nous avons demandé à l’ARC de fournir des observations additionnelles sur la question de savoir si les autorités américaines risquaient ou non d’avoir accès aux renseignements des contribuables canadiens, sous forme de documents papier ou électroniques, en raison du contrat octroyé à Mobilshred Inc.
- L’ARC a précisé que Recall Canada Holdings et Recall Corporation sont des filiales distinctes appartenant essentiellement à la même société mère, Recall Holdings Limited (RHL), laquelle est cotée à la bourse de l’Australie. Recall Corporation est une entreprise en tout point distincte de Recall Canada Holdings; elles ont chacune leur propre structure organisationnelle et produisent leurs propres rapports financiers. Atlanta, en Géorgie, est inscrit comme le siège social international de RHL, parce que c’est là que se trouvent physiquement le dirigeant principal des finances et l’avocat général de l’entreprise. En outre, comme c’est à eux que sont adressés les avis portant sur tout ce qui touche les enregistrements de la société au Canada, le courrier est envoyé directement à ce bureau de manière à ne pas retarder les mesures ou les réponses requises.
- Selon les lois américaines, pour déterminer si les autorités américaines ont le pouvoir d’exiger des renseignements que possède une organisation étrangère, il faut d’abord établir si des liens suffisants existent entre cette organisation et les États Unis. Nous avons donc aussi demandé à Recall de fournir d’autres renseignements concernant sa structure organisationnelle au Canada et aux États-Unis.
- Le vice-président et avocat général de Recall (Amériques) a donné suite à notre demande en fournissant les renseignements suivants :
- Mobilshred Inc., exploitée sous le nom de Recall, est la personne morale qui a signé un contrat avec l’ARC. Mobilshred Inc. est une entité canadienne. Mobilshred Inc. exerce ses activités au Canada uniquement; elle ne mène pas d’activités aux États-Unis.
- Mobilshred Inc. est détenue entièrement par Recall Canada Holdings, une entité canadienne.
- Recall Canada Holdings est une société de portefeuille située au Canada, détenue entièrement par Recall Holdings Limited, la société mère de Recall.
- Recall Holdings Limited est une entité établie en Australie.
- Mobilshred Inc. n’a aucune installation aux États-Unis. Recall Canada Holdings n’est qu’une société de portefeuille et ne possède aucune installation.
- Aux fins du contrat de l’ARC, tous les employés chargés de traiter les renseignements de l’ARC sont des employés et des résidents canadiens.
Analyse
- Bien que le plaignant n’ait pas précisément allégué que l’ARC contrevenait à la Loi, nous avons considéré que ses préoccupations étaient liées à la question de savoir si l’ARC a veillé à ce que les renseignements personnels transférés à Mobilshed Inc. dans le cadre du contrat soient protégés d’une communication non autorisée. Par conséquent, notre analyse a porté sur la question de savoir si l’ARC a utilisé des moyens appropriés pour protéger les renseignements personnels d’une communication non autorisée en vertu de l’article 8 de la Loi.
- En ce qui concerne la question de savoir si l’ARC a pris les moyens voulus pour protéger les renseignements personnels transférés à Mobilshred Inc. aux termes du contrat, nous sommes d’avis que l’ARC a bel et bien fait ce qu’il fallait pour éviter que les renseignements des contribuables soient communiqués involontairement à une autorité étrangère. Qui plus est, nous croyons que l’ARC a suivi les directives du SCT pour ce qui est de tenir compte des préoccupations liées au respect de la vie privée dans le cadre de ses décisions contractuelles au moment de rédiger sa demande de propositions.
- Après avoir examiné les observations reçues durant l’enquête et les mesures de protection inscrites dans le contrat, nous concluons que l’ARC a pris les mesures nécessaires pour atténuer le risque touchant la communication possible des renseignements fiscaux des Canadiens aux autorités américaines en exigeant que toute l’information transférée aux termes du contrat — qui était sous forme de documents papier — demeure au Canada en tout temps. Par ailleurs, selon les renseignements fournis par Recall concernant la structure organisationnelle de Mobilshred Inc., nous sommes convaincus que Mobilshred Inc. est une entité entièrement canadienne et que les renseignements personnels des contribuables canadiens transférés aux termes du Contrat ne seront à aucun moment transportés ou conservés aux États-Unis.
- Par conséquent, nous croyons que l’ARC a déployé des efforts raisonnables pour garantir que les renseignements personnels des contribuables canadiens transférés à Mobilshred Inc. aux termes du contrat ne risqueront pas d’être communiqués aux autorités américaines en vertu de la USA PATRIOT Act.
- Cependant, si une autorité américaine affirme qu’elle a le pouvoir d’exiger la présentation de ces renseignements en vertu d’autres lois américaines, ou si une autorité américaine parvient, au bout du compte, à avoir accès à ces renseignements en recourant à un mécanisme particulier comme un TEJ, un traité bilatéral ou une commission rogatoire, cela échappe au contrôle de l’ARC.
Conclusions
- En définitive, notre enquête a révélé que Mobilshred Inc. est en réalité une entreprise canadienne et qu’aucun renseignement personnel lié aux contribuables canadiens fourni à Mobilshred Inc. aux termes du contrat ne sera stocké physiquement ni transporté aux États Unis.
- Compte tenu de ce qui précède, nous concluons que la plainte n’est pas fondée.
- Date de modification :