Communication transfrontalière de renseignements sur les Canadiens et les Canadiennes — Répercussions de la USA PATRIOT Act
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Mémoire du Commissariat à la protection de la vie privée du Canada présenté au Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique
Le 18 août 2004
Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada
Introduction
Nous vivons dans un monde virtuel où la transmission de renseignements à l'échelle planétaire est devenue presque ininterrompue. Les activités des gouvernements et des sociétés commerciales sont profondément transformées par l'apparition du gouvernement en ligne et du commerce en ligne. La cueillette, l'utilisation, le partage et le stockage électroniques sont au c’ur de cette transformation, qui modifie non seulement la manière dont les organisations s'acquittent de leurs tâches quotidiennes, mais également, plus fondamentalement, la manière dont elles communiquent avec les citoyens, les consommateurs, les clients et les intervenants du domaine social, économique, culturel et politique.
Les inquiétudes suscitées par les répercussions de la USA PATRIOT Act sur la protection des renseignements personnels relatifs aux Canadiens et aux Canadiennes s'inscrivent en réalité dans un thème beaucoup plus large – la mesure dans laquelle le Canada et d'autres pays s'échangent des renseignements personnels relatifs à leurs citoyens et citoyennes, et la mesure dans laquelle les renseignements qui ont été transmis à l'étranger à des fins commerciales peuvent être obtenus par des gouvernements étrangers. L'adoption de la USA PATRIOT Act a peut-être été simplement l'événement catalyseur qui a mis ces questions à l'avant-scène. Au Canada, les citoyens et les citoyennes reconnaissent de plus en plus l'importance vitale de la gestion des renseignements personnels pour un bon gouvernement et de saines pratiques d'entreprise.
Le Commissariat à la protection de la vie privée du Canada félicite le Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique d'avoir entrepris une consultation publique sur les conséquences de la USA PATRIOT Act pour les renseignements personnels qui sont détenus par des sociétés canadiennes et américaines et qui concernent des citoyens et des citoyennes canadiens. Lorsque les commissaires canadiens à la protection de la vie privée se sont réunis en mai 2004 à Victoria (C.-B.), ils ont convenu que la question des échanges de renseignements personnels par-delà les frontières prenait de plus en plus d'importance dans le contexte de l'intégration économique continentale. L'importance de ce thème est accentuée par la coopération du Canada et des États-Unis en vue d'harmoniser leurs systèmes de sécurité nationale, afin de permettre une approche continentale en matière de protection de la sécurité nationale, tout en préservant l'efficacité de la frontière pour les échanges commerciaux.
La question de l'échange transfrontalier de renseignements personnels est au c’ur de la souveraineté nationale, de même que l'identité canadienne. En tant que société, nous devons montrer davantage d'originalité en ce qui a trait aux moyens d'action susceptibles d'offrir un niveau adéquat de protection des renseignements personnels, selon ce qu'exigent la Loi sur la protection des renseignements personnels et les documents électroniques (la LPRPDE), la Loi sur la protection des renseignements personnels et les lois provinciales et territoriales correspondantes. Cette réflexion est nécessaire si le gouvernement du Canada entend préserver sa position de chef de file en matière de protection de la vie privée.
Les gouvernements de l'ensemble du Canada ont adopté de nombreuses mesures au cours des dernières décennies en vue de protéger les renseignements personnels des Canadiens et des Canadiennes. Qui plus est, ils ont élaboré des lois qui régissent la manière dont les gouvernements et les organismes du secteur privé recueillent, utilisent et communiquent les renseignements personnels.
Au niveau fédéral, la Loi sur la protection des renseignements personnels, entrée en vigueur en 1983, réglemente la manière dont quelque 150 institutions fédérales recueillent, utilisent et communiquent les renseignements personnels au sein du secteur public. Chaque province et territoire a adopté un texte semblable applicable au secteur public.
Le gouvernement du Canada a fait un pas de plus en établissant des normes de protection des renseignements personnels applicables au traitement des renseignements dans le secteur privé commercial. Progressivement depuis 2001, la Loi sur la protection des renseignements personnels et les documents électroniques réglemente le traitement des renseignements personnels dans le secteur privé pour l'ensemble du pays. Plusieurs provinces ont adopté des normes semblables de confidentialité. La LPRPDE harmonise le droit canadien avec les normes élaborées par l'Union européenne en matière de renseignements personnels, et elle signifie que nos normes concernant la protection des renseignements personnels, lorsqu'elles sont appliquées par une organisation commerciale, comptent parmi les plus rigoureuses au monde. La LPRPDE établit un cadre progressiste, fondé sur les normes internationales les plus élevées, par rapport auxquelles seront évaluées les pratiques de gestion des renseignements personnels observées par les secteur public et privé au Canada. Elle constitue un cadre de référence en matière de pratiques exemplaires, et elle encourage les organisations qui recueillent et traitent les renseignements personnels à observer ces pratiques de saine gestion.
Le Commissariat à la protection de la vie privée a maintes fois soutenu au cours des années qu'il n'y a pas de contradiction inhérente entre la protection des renseignements personnels et la promotion de la sécurité nationale et de la sécurité publique. D'autres ont exprimé des points de vue semblables. Certains affirment qu'un nouvel intérêt public, de caractère hybride, doit prendre forme – un modèle où les Canadiens et les Canadiennes fixeraient collectivement les conditions auxquelles les renseignements personnels sensibles (par exemple renseignements financiers, sanitaires et judiciaires) devraient être échangés par-delà les frontières organisationnelles et nationales. Les décideurs et les analystes de politiques ne seront pas les seuls concernés. Les parlementaires, les fonctionnaires, les dirigeants d'entreprise et les dirigeants syndicaux, les intervenants de la société civile et les fournisseurs de services doivent eux aussi être mobilisés dans un dialogue public éclairé portant sur la manière de prévenir les nouvelles détériorations de la protection de la vie privée.
Nul ne conteste sérieusement que les gouvernements et les organismes du secteur privé doivent recueillir, utiliser et communiquer des renseignements personnels pour faire des affaires, gérer des programmes et assurer une sécurité publique adéquate. Cependant, les Canadiens et les Canadiennes sont de plus en plus préoccupés par la mesure dans laquelle leurs gouvernements prétendent avoir besoin de renseignements personnels les concernant pour lutter contre la criminalité et assurer la sécurité nationale. Les Canadiens et les Canadiennes s'interrogent aussi sur la manière dont les renseignements personnels les concernant sont communiqués à des gouvernements et organismes étrangers, notamment à des corps policiers et des agences de sécurité, ainsi que sur le moment auquel tels renseignements sont communiqués. Leurs doutes portent sur l'équilibre entre, d'une part, l'application de la loi et le maintien de la sécurité publique, et d'autre part, sur le respect des droits humains fondamentaux, telle la vie privée.
La communication transfrontalière de renseignements personnels est un fait de la gouvernance d'aujourd'hui – c'est le produit d'une économie « mondialisée », de secteurs privé et public interdépendants et d'une coopération internationale accrue en matière de justice criminelle et de sécurité publique. Les flux de renseignements personnels transcendent les frontières nationales et organisationnelles. Il importe que les Canadiens et les Canadiennes comprennent ces flux de renseignements. À quel moment les renseignements personnels les concernant sont-ils communiqués en dehors du Canada, à qui le sont-ils, et à quelles fins – Quelles règles régissent le traitement de ces renseignements une fois qu'ils ont été communiqués à l'étranger – Diverses règles peuvent s'appliquer, selon que les renseignements sont détenus par un organisme gouvernemental ou par le secteur privé, au Canada ou à l'étranger, par un organisme canadien autonome ou par un organisme dont l'instance supérieure peut se trouver aux États-Unis ou dans un autre pays étranger. Quand et comment des renseignements personnels détenus au Canada et intéressant des Canadiens et des Canadiennes peuvent-ils néanmoins être mis à la disposition de gouvernements étrangers – Comment les Canadiens et les Canadiennes peuvent-ils intervenir dans la définition de la nature de ces flux de renseignements –
Le présent mémoire met en relief certaines des questions les plus importantes concernant la communication transfrontalière de renseignements personnels, l'application au niveau fédéral de la Loi sur la protection des renseignements personnels et de la LPRPDE, et finalement ce que les Canadiens et les Canadiennes peuvent faire pour la protection de leurs renseignements personnels dans un tel contexte.
Comment les renseignements personnels des Canadiens et des Canadiennes sont-ils communiqués par-delà les frontières ?
Dans nos économies mondialisées, et nos environnements de plus en plus imbriqués, des renseignements personnels sont régulièrement échangés par-delà les frontières. Nous expliquons ici les nombreux moyens grâce auxquels les renseignements personnels intéressant les Canadiens et les Canadiennes peuvent être transférés en dehors des frontières du Canada.
- Par des organisations situées au Canada qui les communiquent à des organisations situées à l'étranger
La « mondialisation » a entraîné une accélération du partage transfrontalier des renseignements détenus par les entreprises situées au Canada, y compris des renseignements personnels. C'est là une donnée de la vie d'aujourd'hui. Le plus important partenaire commercial du Canada est les États-Unis (qui représentent environ 85 p. 100 de la valeur du commerce d'exportation du Canada), et il n'est donc guère surprenant qu'une foule de renseignements personnels intéressant les Canadiens et les Canadiennes aboutissent dans les banques de données d'entreprises situées aux États-Unis.
C'est pour réagir à ce flux de renseignements, et aussi pour tenter de le maîtriser à l'aide de normes mondialement acceptées en matière de vie privée, que la LPRPDE renferme la règle suivante : les transferts de renseignements personnels ne peuvent avoir lieu que si les conditions de la Loi sont remplies – c'est-à-dire si l'organisation qui reçoit les renseignements s'engage à assurer leur protection. Les organisations qui transfèrent des renseignements personnels doivent employer des « moyens contractuels ou autres » pour s'assurer qu'une entreprise située dans un autre pays offre aux renseignements personnels un niveau de protection comparable à celui qu'ils recevraient au Canada si les lois de l'autre pays n'offrent pas une protection comparable.
Les organisations situées au Canada sont, elles aussi, tenues de recourir à des mesures de sécurité pour protéger les renseignements personnels contre toute communication non autorisée. Dans certains cas, cela pourrait vouloir dire qu'elles devront s'abstenir de communiquer des renseignements personnels en dehors du Canada afin d'éviter qu'ils ne soient communiqués à un gouvernement étranger.
Il faut aussi garder à l'esprit que la LPRPDE ne s'applique pas à toutes les organisations du secteur privé au Canada. Elle s'applique à la plupart des organisations commerciales situées au Canada, sauf lorsqu'une loi provinciale équivalente est en vigueur. Si une loi provinciale équivalente est en vigueur, cette loi régira les pratiques de traitement des renseignements qui doivent être observées par les organisations commerciales du secteur privé régies par le droit provincial.
Par ailleurs, la LPRPDE ne porte que sur les organisations commerciales. Les organisations qui n'exercent pas d'activités commerciales ne sont pas concernées. Dans de tels cas, la LPRPDE ne fait nullement obstacle au transfert de renseignements personnels à l'étranger.
Comme la LPRPDE ne s'applique pas aux dossiers de personnel des organisations commerciales régies par le droit provincial, ces renseignements peuvent être transférés par-delà les frontières sans restriction, à moins qu'il n'existe une loi provinciale correspondante sur la protection des renseignements personnels dans le secteur privé (comme c'est le cas au Québec, et bientôt en Alberta et en Colombie-Britannique). Cela signifie que les dossiers d'employé(e)s de certaines des entreprises les plus importantes du Canada peuvent traverser les frontières internationales sans que l'on ait à se soucier véritablement de l'utilisation que l'on fait de cette information une fois qu'elle a franchi les frontières.
- Par des organisations situées au Canada qui transfèrent les renseignements personnels en vertu d'une loi à des gouvernements étrangers
Parfois une loi particulière a préséance sur la LPRPDE et autorise les organisations commerciales à communiquer à des gouvernements étrangers les renseignements personnels se rapportant à des Canadiens et des Canadiennes. Ainsi, les modifications apportées en 2001 à la Loi sur l'aéronautique autorisent les transporteurs aériens du Canada à communiquer à un État étranger certains renseignements qu'ils détiennent sur des personnes se trouvant à bord ou devant se trouver à bord de l'aéronef et qui sont requis par les lois de l'État étranger.
- Par des organismes gouvernementaux situés au Canada qui transfèrent les renseignements personnels à des gouvernements étrangers
La loi canadienne autorise souvent des organismes gouvernementaux à partager avec des gouvernements ou organismes étrangers des renseignements personnels qui sont détenus au Canada (par le gouvernement ou par le secteur privé), et cela même sans le consentement de l'intéressé. Plusieurs procédures de partage des renseignements sont décrites ici.
La Loi fédérale sur la protection des renseignements personnels autorise la communication de renseignements personnels en dehors du Canada, même sans le consentement de la personne à laquelle se rapportent les renseignements. Ainsi, la Loi permet que les renseignements personnels qui relèvent d'une institution fédérale (par exemple les renseignements recueillis pour la délivrance des passeports) soient communiqués à des fins particulières, en vertu d'un accord ou d'un arrangement conclu entre le gouvernement du Canada et le gouvernement d'un État étranger. Les fins en question comprennent l'administration ou l'application d'une loi, ou l'exécution d'une enquête licite.
Un « accord » du genre est le Traité d'entraide juridique (TEJ) conclu entre le Canada et les États-Unis (le Canada a signé des traités semblables avec 33 pays, notamment le Royaume-Uni, l'Australie et la France, et deux traités multilatéraux renferment aussi des dispositions d'entraide juridique). Le traité Canada-États-Unis, qui a pris effet en 1990, est un important instrument à la disposition de l'un des deux gouvernements qui voudrait obtenir des éléments de preuve se trouvant sur le territoire de l'autre. Les autorités américaines pourraient par exemple rechercher des renseignements détenus par les gouvernements provinciaux, territoriaux ou fédéral, par des personnes au Canada ou par des entreprises au Canada, et se rapportant à un large éventail d'infractions. Elles pourraient invoquer le traité pour obtenir les renseignements en question. De nombreux traités fiscaux et autres desquels fait partie le Canada autorisent aussi le transfert de renseignements personnels du Canada à des gouvernements et organismes étrangers.
Si les autorités américaines veulent obtenir des renseignements personnels relevant du gouvernement fédéral ou d'un gouvernement provincial, ou encore d'une entreprise ou personne située au Canada, il leur suffira de présenter une demande au gouvernement du Canada en invoquant le Traité Canada-États-Unis d'entraide juridique. Le ministère fédéral de la Justice du Canada pourra alors demander à une cour de justice au Canada de délivrer un mandat de perquisition forçant la communication des renseignements. Une fois les renseignements obtenus, le ministère de la Justice transmet les renseignements au gouvernement des États-Unis. L'article 7 de la LPRPDE autorise l'entreprise à communiquer les renseignements personnels qui sont nécessaires pour donner effet à un subpoena ou à un mandat délivré par une cour de justice, ou pour donner effet à une ordonnance judiciaire.
D'autres lois autorisent parfois tel ou tel transfert de renseignements. La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes, modifiée en 2004, en est un exemple. Cette Loi autorise le Centre d'analyse des opérations et déclarations financières du Canada (le CANAFE) à traiter et analyser les rapports d'institutions financières et autres entités désignées qui portent sur des opérations financières douteuses. L'objet de ce texte législatif est d'enrayer le blanchiment d'argent et le financement des activités terroristes. Le CANAFE a accès aux bases de données nationales sur la sécurité, ainsi qu'à celles qui concernent l'application des lois. Les activités du CANAFE requièrent manifestement la cueillette et l'utilisation de renseignements financiers personnels. Par ailleurs, le CANAFE est autorisé à conclure des accords avec des institutions ou organismes semblables d'États étrangers, en vue de l'échange de renseignements se rapportant à son mandat.
Un autre exemple de texte autorisant le transfert de renseignements personnels par le gouvernement en dehors du Canada est la Loi sur le ministère de l'Immigration et de la Citoyenneté . Cette Loi autorise le ministre à conclure avec des gouvernements étrangers et des organisations internationales des accords ou arrangements qui requièrent de recueillir, d'utiliser et de communiquer des renseignements personnels se rapportant aux programmes dont le ministre est responsable.
La Loi sur le Service canadien du renseignement de sécurité autorise le Service (appelé le SCRS), s'il a l'autorisation du ministre compétent, à conclure des arrangements ou à collaborer avec le gouvernement d'un État étranger, une institution de cet État, ou une organisation internationale d'États. À l'évidence, une telle coopération nécessitera parfois le transfert de renseignements personnels concernant des Canadiens et des Canadiennes.
Dans de nombreux cas où des ministères ou organismes fédéraux communiquent des renseignements personnels à l'étranger, il pourrait n'exister aucun texte ou instrument particulier qui soit applicable, mais simplement un protocole d'accord conclu avec un organisme gouvernemental dans un autre pays et autorisant la communication de renseignements personnels.
Un rôle important du Commissariat à la protection de la vie privée consiste à évaluer les répercussions de tels arrangements sur la protection de la vie privée et à examiner les pratiques en vigueur afin de déterminer si les termes de tel ou tel protocole sont ou non respectés dans les faits. Ces vérifications et ces examens de l'incidence sur la vie privée sont des fonctions essentielles du Commissariat.
- Par les organismes gouvernementaux qui transfèrent des renseignements personnels en vue de leur traitement par des entreprises situées à l'étranger
Les organismes du gouvernement canadien transfèrent aussi parfois des renseignements personnels sur des Canadiens et des Canadiennes à des entreprises situées dans d'autres pays en vue de leur traitement – un autre sous-produit de nos économies mondialisées et interdépendantes. Le fait de s'en rapporter à une entreprise de l'extérieur pour le traitement de renseignements personnels est communément appelé « impartition » ou « sous-traitance ».
- Par la population canadienne elle-même
Les Canadiens et les Canadiennes, en tant que voyageurs, touristes, et consommateurs, donnent eux-mêmes une somme considérable de renseignements personnels à des gouvernements étrangers ou à des entreprises étrangères.
Les voyageurs canadiens sont tenus de fournir des renseignements aux agents de l'immigration lorsqu'ils entrent dans un pays étranger, et cela en produisant leurs passeports, leurs visas ou d'autres documents que le pays en question jugera opportun de leur demander. Les Canadiens et les Canadiennes peuvent aussi devoir fournir des renseignements personnels à des entreprises lorsqu'ils traitent avec elles. Ainsi, le fait de solliciter des services d'assistance-logiciel peut obliger le client à fournir des renseignements à une entreprise à l'étranger qui fournit les services en question.
La USA PATRIOT Act
Une fois que des renseignements personnels sur les Canadiens et les Canadiennes sont transférés en dehors du Canada, que ce soit par un organisme gouvernemental canadien, par une organisation privée ou par les Canadiens et les Canadiennes, les lois du pays auquel les renseignements ont été transférés s'appliqueront. Ces lois dicteront à quel moment les organismes gouvernementaux, telles les autorités policières, les instances de sécurité ou les autorités fiscales, pourront obtenir l'accès auxdits renseignements personnels. Le même principe est également applicable au Canada. Les entreprises étrangères qui exercent des activités au Canada doivent se conformer aux lois canadiennes. Parfois, la loi étrangère pourra autoriser l'accès aux renseignements personnels de Canadiens et de Canadiennes dans des cas que de nombreux Canadiens et Canadiennes pourraient juger inadmissibles ou inappropriés. C'est la raison pour laquelle le Commissariat à la protection de la vie privée participe activement à des tribunes internationales où sont examinées les règles s'appliquant à la circulation transfrontalière des renseignements personnels, que ce soit à des fins commerciales ou administratives, afin que les normes élevées de protection des renseignements dont bénéficient généralement les Canadiens et les Canadiennes continuent de s'appliquer dans la mesure du possible en dehors du Canada.
La USA PATRIOT Act , adopté en 2001 par le Congrès des États-Unis, n'est qu'un exemple de loi étrangère qui autorise l'accès aux renseignements personnels détenus aux États-Unis sur les Canadiens et les Canadiennes. La USA PATRIOT Act renforce l'accès du Federal Bureau of Investigations (FBI) aux dossiers détenus par les entreprises aux États-Unis. Cette loi modifie le US Foreign Intelligence Surveillance Act de 1978 d'une manière qui autorise le directeur du Federal Bureau of Investigations (FBI) à demander à un tribunal des États-Unis d'ordonner la communication de registres, de papiers, de documents et autres objets en vue d'une enquête destinée à assurer une protection contre le terrorisme international ou les activités clandestines de renseignement.
Si un juge rend l'ordonnance demandée, l'entreprise qui en est l'objet est forcée de fournir les renseignements, lesquels pourraient comprendre les renseignements personnels qu'elle détient sur des Canadiens et des Canadiennes. Par ailleurs, l'entreprise n'aurait pas le droit de révéler à d'autres personnes que le FBI a demandé ou obtenu lesdits renseignements. En d'autres termes, les entreprises ne peuvent pas révéler aux intéressés le fait que des renseignements personnels les concernant ont été demandés ou obtenus en vertu de l'ordonnance.
La USA PATRIOT Act est relativement nouveau, mais ses fondements ne le sont pas. La USA PATRIOT Act est simplement un exemple de loi pouvant donner au gouvernement des États-Unis ou à ses organismes l'accès aux renseignements personnels de Canadiens et de Canadiennes qui ont été transférés vers les États-Unis. La recherche effectuée par le Commissariat à la protection de la vie privée, et nos échanges avec le ministère de la Justice, montrent que la USA PATRIOT Act n'est pas susceptible de servir à obtenir des renseignements personnels de Canadiens et de Canadiennes qui seraient en la possession des États-Unis. Il est beaucoup plus probable que ce sont les moyens existants d'obtenir de tels renseignements qui continueront d'être employés, par exemple les « subpoenas de grand jury », les « lettres de sécurité nationale » et les mandats de perquisition ordinaires délivrés dans les enquêtes criminelles.
En outre, les organismes du gouvernement américain peuvent s'en remettre à d'autres procédures officielles pour obtenir des renseignements concernant les Canadiens et les Canadiennes qui seraient en la possession du gouvernement ou du secteur privé au Canada. Des accords de longue date en matière d'échange de renseignements, conclus entre les organismes de sécurité et d'application de la loi des deux pays, ainsi que le mécanisme de l'entraide juridique, sont les moyens les plus susceptibles d'être employés pour obtenir l'accès à des renseignements détenus au Canada.
Les gouvernements de par le monde exercent depuis longtemps le droit d'accéder aux renseignements détenus par les organisations se trouvant sur leur territoire. Plusieurs lois canadiennes permettent aussi aux organismes policiers et organismes de sécurité ainsi qu'aux ministères fédéraux généralement d'obtenir l'accès aux renseignements personnels détenus au Canada. En bref, les organismes du gouvernement canadien peuvent obtenir les renseignements personnels détenus au Canada se rapportant à des étrangers, tout comme le gouvernement d'un pays étranger peut obtenir les renseignements personnels détenus dans ce pays et se rapportant à des Canadiens et des Canadiennes. Par ailleurs, les organismes canadiens de police et de sécurité peuvent obtenir les renseignements détenus à l'étranger et se rapportant à des étrangers, en recourant aux procédures d'entraide juridique et en invoquant les accords d'échange de renseignements.
Quelles lois nationales s'appliquent aux renseignements personnels ?
Le débat engagé sur les effets de la USA PATRIOT Act a mis en lumière la confusion qui existe à propos des obligations juridiques d'organisations qui sont visées par des ordonnances rendues en vertu de la loi américaine et les contraignant à communiquer des renseignements qu'elles détiennent. Les propos qui suivent décrivent la position du commissaire à la protection de la vie privée du Canada sur ces aspects.
- Organisations exerçant des activités dans un pays étranger
Les organisations qui exercent des activités dans un pays étranger et qui détiennent dans ce pays des renseignements personnels sur des Canadiens et des Canadiennes doivent se conformer aux lois de ce pays. Par exemple, si une organisation fait l'objet d'une ordonnance l'obligeant à communiquer des renseignements personnels, elle devra communiquer les renseignements en question.
Cette règle a d'importantes répercussions sur la décision d'une entreprise au Canada sujette à la LPRPDÉ de « sous-traiter » le traitement de ses données à des organisations basées à l'étranger. Ainsi, si une entreprise canadienne sous-traite à une entreprise américaine le traitement de renseignements personnels, les renseignements personnels en question pourraient devenir accessibles en vertu des lois américaines. La question cruciale en matière administrative est celle de savoir si l'entreprise canadienne devrait sous-traiter le traitement de renseignements personnels lorsque, par la sous-traitance, lesdits renseignements seront assujettis aux lois américaines. À tout le moins, une entreprise au Canada qui sous-traite de cette manière le traitement de données devrait informer ses clients que les données pourraient devenir accessibles au gouvernement des États-Unis ou à ses organismes en vertu d'ordonnances rendues par les tribunaux de ce pays.
- Organisations commerciales exerçant leurs activités au Canada et non dans un pays étranger
Les organisations au Canada qui sont régies par la LPRPDÉ (c'est-à-dire la plupart des organisations commerciales du Canada) ou par des lois provinciales équivalentes, comme c'est le cas au Québec, et bientôt en Colombie-Britannique et en Alberta, doivent se conformer à la LPRPDÉ ou à la loi provinciale équivalente. Le cas le plus évident est celui d'une entreprise basée uniquement au Canada, qui conserve des renseignements personnels uniquement au Canada. Une ordonnance rendue par un gouvernement étranger ou par un tribunal étranger (ce qui est très improbable si l'entreprise n'exerce ses activités qu'au Canada) n'aurait aucune force juridique à l'encontre de l'entreprise. Le Commissariat à la protection de la vie privée est d'avis que l'entreprise ne serait pas tenue juridiquement de communiquer les renseignements personnels au gouvernement étranger et qu'elle contreviendrait à la LPRPDÉ si elle le faisait sans le consentement des personnes auxquelles se rapportent les renseignements.
Cependant, tel qu'il est mentionné précédemment, une loi canadienne donnée peut avoir préséance sur la LPRPDÉ et permettre à des organisations canadiennes de communiquer des renseignements personnels à un organisme étranger. Les amendements apportés à la Loi sur l'aéronautique autorisent les transporteurs aériens au Canada à communiquer à un État étranger certains renseignements qu'ils détiennent sur des personnes à bord ou devant se trouver à bord de l'aéronef et qui sont requis par les lois de l'État étranger.
- Organisations commerciales qui exercent leurs activités à la fois au Canada et dans un pays étranger
La situation est plus complexe lorsqu'une organisation commerciale visée par la LPRPDÉ exerce ses activités à la fois au Canada et dans un pays étranger. Les organisations qui exercent des activités dans le pays étranger doivent se conformer aux lois de ce pays, tout comme les organisations qui exercent des activités au Canada doivent se conformer aux lois canadiennes. Par conséquent, comme on l'a vu précédemment , une organisation qui exerce des activités aux États-Unis et qui détient aux États-Unis des renseignements personnels sur des Canadiens et des Canadiennes doit se conformer à une ordonnance rendue par un tribunal des États-Unis qui l'oblige à communiquer les renseignements qu'elle détient.
Si l'organisation située dans le pays étranger a au Canada une organisation apparentée qui détient au Canada des renseignements personnels sur des Canadiens et des Canadiennes, l'ordonnance rendue par un tribunal étranger ne peut forcer la communication des renseignements qui sont détenus au Canada. L'organisation au Canada sera sujette à la LPRPDÉ ou à son équivalent provincial. Elle n'est pas liée par l'ordonnance rendue dans le pays étranger. Par ailleurs, elle a l'obligation, selon la LPRPDÉ, de prendre les mesures de sécurité adéquates pour empêcher la communication non autorisée des renseignements personnels qu'elle détient. Elle pourrait devoir par exemple recourir à des mesures techniques pour empêcher son organisation apparentée, dans le pays étranger, d'obtenir à des fins non appropriées accès aux renseignements personnels détenus au Canada.
- Impartition du traitement de données par les institutions du gouvernement fédéral canadien
Si une institution du gouvernement fédéral engage une entreprise installée dans un pays étranger pour qu'elle traite les renseignements personnels se trouvant dans ce pays et se rapportant à des Canadiens et des Canadiennes, les lois de ce pays s'appliqueront aux renseignements personnels. Une ordonnance rendue par un tribunal de ce pays pourrait forcer l'entreprise à communiquer lesdits renseignements.
Malheureusement, la Loi sur la protection des renseignements personnels canadienne, qui a aujourd'hui plus de 20 ans, n'oblige pas les institutions fédérales à mettre en place des mesures efficaces de sécurité pour empêcher que ne soient utilisés à mauvais escient les renseignements personnels concernant des Canadiens et des Canadiennes et qui ont été transférés par-delà les frontières (cependant, d'autres textes législatifs ou accords contractuels pourraient d'une certaine manière protéger les renseignements). C'est là une raison supplémentaire, parmi beaucoup d'autres, de procéder à un examen approfondi de la Loi sur la protection des renseignements personnels.
Que peuvent faire les Canadiens et les Canadiennes pour protéger leurs renseignements personnels ?
Les Canadiens et les Canadiennes jouissent d'une norme raisonnable de protection de leurs renseignements personnels. Ils ne veulent pas que cette protection disparaisse lorsque leurs renseignements personnels sont transférés par-delà les frontières, et ils ne souhaitent pas que les gouvernements ou les organisations au Canada transfèrent leurs renseignements personnels par-delà les frontières si tels renseignements risquent d'être communiqués indûment, que ce soit à des fins de sécurité ou à des fins commerciales.
La mesure dans laquelle les renseignements personnels de Canadiens et de Canadiennes devraient être mis à la disposition de gouvernements étrangers est une question complexe qui continue de susciter de nombreuses interrogations. Cependant, les Canadiens et les Canadiennes peuvent prendre des mesures pour protéger leurs renseignements personnels contre une communication inappropriée à des gouvernements étrangers :
- en déposant des plaintes concernant le traitement de leurs renseignements personnels (en particulier dans les arrangements d'impartition) au Commissariat à la protection de la vie privée du Canada ou aux commissaires provinciaux et territoriaux, selon l'org anisation dont la conduite est à l'origine de la plainte;
- en invoquant les dispositions de la LPRPDÉ sur la dénonciation, si une organisation affiliée à une entreprise canadienne et qui opère aux États-Unis, cherche à obtenir des renseignements personnels détenus uniquement au Canada, en vertu d'une ordonnance de la Cour. Ces dispositions protégeraient l'anonymat des employés qui informent le commissaire à la protection de la vie privée du Canada qu'une entreprise entend transf érer des renseignements à l'étranger en violation de la LPRPDÉ. Les dispositions protègent aussi les employés contre les représailles de leurs employeurs, que ce soit le harcèlement, le congédiement ou la rétrogradation;
- en faisant savoir aux organisations au Canada qui recueillent des renseignements personnels sur les Canadiens et les Canadiennes que le traitement des renseignements personnels en dehors du Canada suscite des interrogations;
- en se prévalant des droits qui sont conférés en matière de renseignements par la LPRPDÉ, et par les lois provinciales de même nature applicables au secteur privé, lois qui obligent les organisations à observer des pratiques équitables en matière de renseignements, et notamment à obtenir des consentements à l'utilisation des renseignements;
- en rappelant aux entreprises situées au Canada leur obligation juridique de mettre en place des mesures de sécurité adéquates afin d'empêcher leurs filiales ou leurs affiliées situées dans un autre pays d'obtenir secrètement l'accès à des renseignements personnels détenus au Canada dans le but de se conformer à une ordonnance judiciaire rendue dans le pays étranger;
- en faisant savoir à leurs élus qu'ils sont préoccupés par le risque d'une divulgation excessive de renseignements personnels aux gouvernements étrangers ou à des entreprises étrangères; et
- d'une manière générale, en se montrant plus attentifs à ce qui risque d'arriver à leurs renseignements personnels lorsque tels renseignements traversent les frontières, ainsi qu'à l'importance de normes internationales claires et exécutoires sur les échanges de renseignements dans les pays démocratiques.
Il n'y a aucun substitut à une population informée qui exige de sa classe politique et de ses dirigeants d'entreprise les normes les plus élevées en matière de protection des renseignements personnels. Bien que ce ne soit pas une panacée pour les atteintes à la vie privée, une mobilisation de la population offre le moyen de forcer les gardiens des renseignements personnels à se montrer plus vigilants dans l'observation des normes en la matière.
Que peuvent faire les entreprises ?
Les entreprises qui sont sujettes à la LPRPDÉ ou aux lois provinciales semblables doivent se conformer auxdites lois. Il importe que la direction des organisations sujettes à de telles lois comprenne ses responsabilités selon les lois en question ? par exemple, l'obligation, énoncée dans la LPRPDÉ, de garantir la sécurité des renseignements personnels. La LPRPDÉ stipule que les renseignements personnels doivent être protégés par des garanties de sécurité qui conviennent à la sensibilité des renseignements.
Les dirigeants d'entreprise reconnaissent de plus en plus qu'il est essentiel pour eux de préserver un niveau élevé de confiance du public dans la manière dont ils traitent les renseignements personnels, s'ils tiennent véritablement à la loyauté de leur clientèle. Les dirigeants d'entreprise savent également fort bien que les renseignements personnels qu'ils détiennent constituent d'importants actifs qui doivent être protégés contre tout abus.
Que peut faire le gouvernement du Canada ?
Dès 1987, les parlementaires canadiens ont fait valoir leurs réserves concernant les transferts de renseignements personnels par-delà les frontières. Cette année-là, un comité parlementaire chargé d'examiner la Loi sur l'accès à l'information et la Loi sur la protection des renseignements personnels prenait la mesure dans laquelle les renseignements personnels traversaient les frontières. Il concluait ainsi :
Des données personnelles concernant des Canadiens sont couramment transférées et stockées à l'extérieur du pays par les autorités fédérales ou provinciales et par le secteur privé. (?) Les Canadiens ont besoin de plus d'information sur les flux transfrontières de données personnelles dans des domaines aussi variés que les transactions bancaires, les systèmes de renseignements financiers, les services de cartes de crédit, les soins de santé, les syndicats, les dossiers du personnel et de la paye, les réservations aériennes et les activités générales du gouvernement. (?) Le Comité a résisté à la tentation de demander au commissaire à la protection de la vie privée de mener une étude spéciale sur la question, conformément à l'article 60 de la Loi sur la protection des renseignements personnels , et de la présenter au Parlement, puisque les ressources et la compétence nécessaires à une telle entreprise sont disséminées dans tout le gouvernement. En effet, un certain nombre d'institutions fédérales de premier plan, particulièrement le ministère des Affaires extérieures et le ministère de la Justice, ont déjà des responsabilités importantes en ce qui concerne la protection de la vie privée et d'autres aspects importants des flux transfrontières de données. Malheureusement, on n'a pas accordé suffisamment d'attention ni de ressources à ces responsabilités au cours des dernières années. ( Une question à deux volets : Comment améliorer le droit d'accès à l'information tout en renforçant les mesures de protection des renseignements personnels , mars 1987, page 80).
La réponse du gouvernement du Canada au rapport du comité était prometteuse :
Tout comme le Comité, le gouvernement convient qu'il y a lieu d'examiner cette question et il a déjà commencé à rechercher des moyens de déterminer s'il existe un problème de ce genre. Si une telle situation survenait, le gouvernement déterminerait de quelle façon y faire face. (Gouvernement du Canada, Accès et renseignements personnels : les prochaines étapes , 1987, page 15)
Malheureusement, la promesse contenue dans la réponse du gouvernement ne semble pas avoir été suivie par des actes. Aujourd'hui, dix-sept ans plus tard, après l'arrivée de l'Internet et du cybergouvernement, et après que toutes les démocraties libérales ont martelé qu'elles étaient résolues à combattre le terrorisme et la criminalité d'envergure planétaire, il semblerait à propos, opportun et justifié d'examiner la gouvernance des transferts internationaux de renseignements personnels. Il faudrait qu'un tel exercice tienne compte des trois années d'application de la LPRPDÉ, de l'examen auquel ce texte devra être soumis en 2006 selon ses propres termes, et de l'éventuelle réforme de la Loi sur la protection des renseignements personnels , si l'on veut avoir l'assurance que les pratiques du gouvernement fédéral en matière de données personnelles s'accordent avec les normes les plus rigoureuses.
Le gouvernement canadien, sous l'égide d'un Comité de sous-ministres adjoints pour la protection des renseignements personnels, examine actuellement la solidité et l'exhaustivité du cadre fédéral en la matière, lequel s'étendrait à la fois aux activités du secteur public et à celles du secteur privé relevant de la compétence fédérale. En marge des travaux de ce Comité, le Commissariat à la protection de la vie privée du Canada recommandera que la gamme complète des moyens d'action, notamment la sensibilisation du public, accords contractuels et solutions technologiques, soit examiné afin de mieux protéger les flux de renseignements personnels, à la fois à l'intérieur du Canada et en dehors de nos frontières.
Que fait le Commissariat à la protection de la vie privée du Canada ?
En 2003-2004, le Commissariat à la protection de la vie privée du Canada a effectué un examen préliminaire des accords d'échange de renseignements (accords parfois appelés « protocoles d'accord ») conclus entre le Canada et les États-Unis. Les protocoles d'accord de 18 ministères et organismes fédéraux ont été étudiés. L'examen a permis de constater que la plupart de ces arrangements conclus entre les deux pays étaient silencieux sur des questions importantes, par exemple l'utilisation non autorisée, la communication, la conservation et l'élimination des données personnelles. La moitié seulement des protocoles contenaient une mise en garde ? c'est-à-dire une clause indiquant que les renseignements reçus en vertu de l'accord ne seront pas communiqués à un tiers sans le consentement écrit préalable de la partie qui a communiqué les renseignements.
L'examen a aussi permis de constater que seul un petit nombre de ces accords (des accords que l'on peut compter par centaines dans certains ministères) contenaient une disposition de vérification, et qu'aucun d'eux n'avait en réalité été soumis à une vérification. Ces constatations initiales donnent à penser que l'échange de renseignements personnels entre les deux pays se fait de manière très informelle, avec peu de surveillance pouvant permettre de s'assurer que les principes relatifs à l'équité dans le traitement des renseignements (définis par exemple dans la LPRPDÉ) sont observés par les gouvernements respectifs.
Au cours des prochaines années, plusieurs occasions se présenteront pour un examen rigoureux et équilibré, ainsi que pour une discussion publique informée, des flux extraterritoriaux de renseignements personnels. Le Commissariat à la protection de la vie privée du Canada participera à ces activités autant que cela sera possible. Les activités suivantes sont envisagées :
- une vérification prévue en 2004-2005 des activités de transfert de renseignements personnels entre le Canada et les États-Unis;
- des pourparlers continus avec les représentants du ministère canadien de la Sécurité publique et de la Protection civile et ceux du Département de la Sécurité intérieure des États-Unis, sur les pratiques des entités fédérales en matière de renseignements personnels;
- la mise en place d'un Comité parlementaire sur la sécurité nationale;
- l'examen de la LPRPDÉ qui doit avoir lieu en 2006, en application des termes de cette Loi; et
- une réforme éventuelle de la Loi sur la protection des renseignements personnels .
Le Commissariat participera également activement aux prochains examens de la législation antiterroriste et des initiatives de prestation de services, tel le gouvernement en direct (par exemple, le transfert électronique des dossiers médicaux et initiatives semblables).
Le Commissariat poursuivra aussi son dialogue avec les chefs de file de l'industrie et les associations professionnelles pour s'assurer qu'ils comprennent pleinement les obligations que leur imposent les lois sur la protection des renseignements personnels dans le secteur privé. Il cherchera également à mieux comprendre la pratique de la communication transfrontalière de renseignements. Le Commissariat envisage aussi d'engager un dialogue avec le secteur privé au cours des prochains mois sur l'étendue et l'à-propos de ces transferts de renseignements.
Conclusion
Les circonstances dans lesquelles les renseignements personnels détenus par le secteur privé au Canada devraient être transférés à des organisations situées dans d'autres pays constituent une importante question qui requiert un examen plus approfondi.
Le gouvernement du Canada devrait quant à lui réexaminer les circonstances dans lesquelles il permet que les renseignements personnels des Canadiens et des Canadiennes soient traités en dehors du Canada. Le Commissariat reconnaît que cet examen requiert davantage qu'une simple considération des intérêts des Canadiens et des Canadiennes en matière de protection de leurs renseignements personnels. Il nécessitera aussi une prise en compte des importants avantages économiques qui peuvent découler de l'impartition, et une prise en compte des obligations du Canada, aux termes de ses accords commerciaux, qui peuvent se rapporter aux flux transfrontières de renseignements personnels.
La Commission d'enquête sur les agissements des fonctionnaires canadiens dans l'affaire Maher Arar éclairera peut-être la question de la communication transfrontalière de renseignements personnels sur les Canadiens et les Canadiennes lorsque la sécurité nationale est en cause. D'autres ministères et organismes des gouvernements doivent procéder à un examen semblable du transfert de renseignements personnels sur les Canadiens et les Canadiennes aux gouvernements et organismes étrangers. Il leur incombe d'expliquer aux Canadiens et aux Canadiennes la nature de ces transferts. Les Canadiens et les Canadiennes ont besoin de comprendre véritablement la mesure dans laquelle leurs renseignements personnels sont transférés par-delà les frontières, et la mesure dans laquelle les renseignements personnels qui les concernent peuvent être mis, et sont mis, à la disposition des gouvernements étrangers et des organisations étrangères.
Les Canadiens et les Canadiennes ne sont pas les seuls à se demander ce qui arrive aux renseignements qu'ils donnent à leurs gouvernements ou au secteur privé, en cette ère de circulation mondiale instantanée des données, d'échanges internationaux vigoureux, de préoccupations accrues en matière de sécurité nationale, et d'activités accrues d'impartition. Le Commissariat à la protection de la vie privée du Canada a déjà évoqué auprès de ses homologues internationaux les questions discutées ici. Le Commissariat juge très important d'encourager l'adoption de normes internationales adéquates pour le transfert des renseignements personnels par-delà les frontières.
Si les Canadiens et les Canadiennes espèrent préserver les valeurs fondamentales qu'ils chérissent dans une démocratie, notamment la protection de leur vie privée, ils doivent eux aussi s'interroger. La sécurité de nos renseignements personnels est une entreprise collective. Les commissaires à la protection de la vie privée ne peuvent faire le travail à eux seuls. Les Canadiens et les Canadiennes doivent reconnaître qu'ils ont la responsabilité civique de s'informer. Qui utilise leurs renseignements personnels, et à quelles fins ? Dans un environnement où les valeurs de la vie privée sont de plus en plus assiégées, où d'aucuns voient comme un luxe le droit à la vie privée, il n'est pas excessif d'inviter nos citoyens et nos citoyennes à défendre leur droit à la vie privée. En fait, il est indispensable de les y encourager.
Supports de substitution
- PDF (348 Ko) Accessibilité non vérifiée
- Date de modification :