|
PDF
Jennifer Stoddart
Le Congrès des États-Unis a adopté la USA Patriot Act peu après les attaques
terroristes du 11 septembre 2001. Cette loi confie de nouveaux pouvoirs d’enquête
aux organismes chargés de l’application de la loi dans ce pays. L’article 215
de la loi autorise ainsi un tribunal spécial à rendre en secret une ordonnance
qui enjoint à quiconque de « fournir n’importe quelle chose concrète » au
FBI, ce qui peut inclure des renseignements personnels sur un individu.
Toute personne à qui on signifie une telle ordonnance secrète ne peut révéler
à qui que ce soit son existence ou si elle s’y est conformée. Lorsque les
commissaires canadiens à la protection de la vie privée se sont réunis
en mai 2004 à Victoria, en Colombie-Britannique, ils ont convenu que la
question des échanges de renseignements personnels par-delà les frontières
prenait de plus en plus d’importance dans le contexte de l’intégration
économique continentale. Le commissaire à l’information et à la protection
de la vie privée de la Colombie-Britannique a rendu public, le 29 octobre
2004, son rapport relatif aux implications sur la vie privée de la USA
Patriot Act. Plus de 500 commentaires lui ont été transmis sur ce sujet,
dont le mémoire suivant de la commissaire à la protection de la vie privée
du Canada.
Nous vivons dans un monde virtuel où la transmission de renseignements
à l’échelle planétaire est devenue presque ininterrompue. Les activités
des gouvernements et des sociétés commerciales sont profondément transformées
par l’apparition du gouvernement en ligne et du commerce en ligne. La cueillette,
l’utilisation, le partage et le stockage électroniques sont au cœur de
cette transformation, qui modifie non seulement la manière dont les organisations
s’acquittent de leurs tâches quotidiennes, mais également, plus fondamentalement,
la manière dont elles communiquent avec les citoyens, les consommateurs,
les clients et les intervenants du domaine social, économique, culturel
et politique.
Les inquiétudes suscitées par les répercussions de la USA Patriot Act sur
la protection des renseignements personnels relatifs aux Canadiens et aux
Canadiennes s’inscrivent en réalité dans un thème beaucoup plus large —
la mesure dans laquelle le Canada et d’autres pays s’échangent des renseignements
personnels relatifs à leurs citoyens et citoyennes, et la mesure dans laquelle
les renseignements qui ont été transmis à l’étranger à des fins commerciales
peuvent être obtenus par des gouvernements étrangers. L’adoption de la
USA Patriot Act a peut-être été simplement l’événement catalyseur qui a
mis ces questions à l’avant-scène. Au Canada, les citoyens et les citoyennes
reconnaissent de plus en plus l’importance vitale de la gestion des renseignements
personnels pour un bon gouvernement et de saines pratiques d’entreprise.
La question de l’échange transfrontalier de renseignements personnels est
au cœur de la souveraineté nationale, de même que de l’identité canadienne.
En tant que société, nous devons montrer davantage d’originalité en ce
qui a trait aux moyens d’action susceptibles d’offrir un niveau adéquat
de protection des renseignements personnels, selon ce qu’exigent la Loi
sur la protection des renseignements personnels et les documents électroniques
(la LPRPDÉ), la Loi sur la protection des renseignements personnels et
les lois provinciales et territoriales correspondantes. Cette réflexion
est nécessaire si le gouvernement du Canada entend préserver sa position
de chef de file en matière de protection de la vie privée.
Les gouvernements de l’ensemble du Canada ont adopté de nombreuses mesures
au cours des dernières décennies en vue de protéger les renseignements
personnels des Canadiens et des Canadiennes. Qui plus est, ils ont élaboré
des lois qui régissent la manière dont les gouvernements et les organismes
du secteur privé recueillent, utilisent et communiquent les renseignements
personnels.
Au niveau fédéral, la Loi sur la protection des renseignements personnels,
entrée en vigueur en 1983, réglemente la manière dont quelque 150 institutions
fédérales recueillent, utilisent et communiquent les renseignements personnels
au sein du secteur public. Chaque province et territoire a adopté un texte
semblable applicable au secteur public.
Le gouvernement du Canada a fait un pas de plus en établissant des normes
de protection des renseignements personnels applicables au traitement des
renseignements dans le secteur privé commercial. Progressivement depuis
2001, la Loi sur la protection des renseignements personnels et les documents
électroniques réglemente le traitement des renseignements personnels dans
le secteur privé pour l’ensemble du pays. Plusieurs provinces ont adopté
des normes semblables de confidentialité. La LPRPDÉ harmonise le droit
canadien avec les normes élaborées par l’Union européenne en matière de
renseignements personnels, et elle signifie que nos normes concernant la
protection des renseignements personnels, lorsqu’elles sont appliquées
par une organisation commerciale, comptent parmi les plus rigoureuses au
monde. La LPRPDÉ établit un cadre progressiste, fondé sur les normes internationales
les plus élevées, par rapport auxquelles seront évaluées les pratiques
de gestion des renseignements personnels observées par les secteur public
et privé au Canada. Elle constitue un cadre de référence en matière de
pratiques exemplaires, et elle encourage les organisations qui recueillent
et traitent les renseignements personnels à observer ces pratiques de saine
gestion.
Le Commissariat à la protection de la vie privée a maintes fois soutenu
au cours des années qu’il n’y a pas de contradiction inhérente entre la
protection des renseignements personnels et la promotion de la sécurité
nationale et de la sécurité publique. D’autres ont exprimé des points de
vue semblables. Certains affirment qu’un nouvel intérêt public, de caractère
hybride, doit prendre forme — un modèle où les Canadiens et les Canadiennes
fixeraient collectivement les conditions auxquelles les renseignements
personnels sensibles (par exemple, renseignements financiers, sanitaires
et judiciaires) devraient être échangés par-delà les frontières organisationnelles
et nationales. Les décideurs et les analystes de politiques ne seront pas
les seuls concernés. Les parlementaires, les fonctionnaires, les dirigeants
d’entreprise et les dirigeants syndicaux, les intervenants de la société
civile et les fournisseurs de services doivent eux aussi être mobilisés
dans un dialogue public éclairé portant sur la manière de prévenir les
nouvelles détériorations de la protection de la vie privée.
Nul ne conteste sérieusement que les gouvernements et les organismes du
secteur privé doivent recueillir, utiliser et communiquer des renseignements
personnels pour faire des affaires, gérer des programmes et assurer une
sécurité publique adéquate. Cependant, les Canadiens et les Canadiennes
sont de plus en plus préoccupés par la mesure dans laquelle leurs gouvernements
prétendent avoir besoin de renseignements personnels les concernant pour
lutter contre la criminalité et assurer la sécurité nationale. Les Canadiens
et les Canadiennes s’interrogent aussi sur la manière dont les renseignements
personnels les concernant sont communiqués à des gouvernements et organismes
étrangers, notamment à des corps policiers et des agences de sécurité,
ainsi que sur le moment auquel de tels renseignements sont communiqués.
Leurs doutes portent sur l’équilibre entre, d’une part, l’application de
la loi et le maintien de la sécurité publique, et d’autre part, sur le
respect des droits humains fondamentaux, telle la vie privée.
La communication transfrontalière de renseignements personnels est un fait
de la gouvernance d’aujourd’hui — c’est le produit d’une économie « mondialisée »,
de secteurs privé et public interdépendants et d’une coopération internationale
accrue en matière de justice criminelle et de sécurité publique. Les flux
de renseignements personnels transcendent les frontières nationales et
organisationnelles. Il importe que les Canadiens et les Canadiennes comprennent
ces flux de renseignements. À quel moment les renseignements personnels
les concernant sont-ils communiqués en dehors du Canada, à qui le sont-ils,
et à quelles fins? Quelles règles régissent le traitement de ces renseignements
une fois qu’ils ont été communiqués à l’étranger? Diverses règles peuvent
s’appliquer, selon que les renseignements sont détenus par un organisme
gouvernemental ou par le secteur privé, au Canada ou à l’étranger, par
un organisme canadien autonome ou par un organisme dont l’instance supérieure
peut se trouver aux États-Unis ou dans un autre pays étranger. Quand et
comment des renseignements personnels détenus au Canada et intéressant
des Canadiens et des Canadiennes peuvent-ils néanmoins être mis à la disposition
de gouvernements étrangers? Comment les Canadiens et les Canadiennes peuvent-ils
intervenir dans la définition de la nature de ces flux de renseignements?
Le présent mémoire met en relief certaines des questions les plus importantes
concernant la communication transfrontalière de renseignements personnels,
l’application au niveau fédéral de la Loi sur la protection des renseignements
personnels et de la LPRPDÉ, et finalement ce que les Canadiens et les Canadiennes
peuvent faire pour la protection de leurs renseignements personnels dans
un tel contexte.
Comment les renseignements personnels des Canadiens et des Canadiennes
sont-ils communiqués par-delà les frontières?
Dans nos économies mondialisées, et nos environnements de plus en plus
imbriqués, des renseignements personnels sont régulièrement échangés par-delà
les frontières. Nous expliquons ici les nombreux moyens grâce auxquels
les renseignements personnels intéressant les Canadiens et les Canadiennes
peuvent être transférés en dehors des frontières du Canada.
1. Par des organisations situées au Canada qui les communiquent à des organisations
situées à l’étranger
La « mondialisation » a entraîné une accélération du partage transfrontalier
des renseignements détenus par les entreprises situées au Canada, y compris
des renseignements personnels. C’est là une donnée de la vie d’aujourd’hui.
Le plus important partenaire commercial du Canada est les États-Unis (qui
représentent environ 85 p. 100 de la valeur du commerce d’exportation du
Canada), et il n’est donc guère surprenant qu’une foule de renseignements
personnels intéressant les Canadiens et les Canadiennes aboutissent dans
les banques de données d’entreprises situées aux États-Unis.
C’est pour réagir à ce flux de renseignements, et aussi pour tenter de
le maîtriser à l’aide de normes mondialement acceptées en matière de vie
privée, que la LPRPDÉ renferme la règle suivante : les transferts de renseignements
personnels ne peuvent avoir lieu que si les conditions de la Loi sont remplies
— c’est-à-dire si l’organisation qui reçoit les renseignements s’engage
à assurer leur protection. Les organisations qui transfèrent des renseignements
personnels doivent employer des « moyens contractuels ou autres » pour
s’assurer qu’une entreprise située dans un autre pays offre aux renseignements
personnels un niveau de protection comparable à celui qu’ils recevraient
au Canada si les lois de l’autre pays n’offrent pas une protection comparable.
Les organisations situées au Canada sont, elles aussi, tenues de recourir
à des mesures de sécurité pour protéger les renseignements personnels contre
toute communication non autorisée. Dans certains cas, cela pourrait vouloir
dire qu’elles devront s’abstenir de communiquer des renseignements personnels
en dehors du Canada afin d’éviter qu’ils ne soient communiqués à un gouvernement
étranger.
Il faut aussi garder à l’esprit que la LPRPDÉ ne s’applique pas à toutes
les organisations du secteur privé au Canada. Elle s’applique à la plupart
des organisations commerciales situées au Canada, sauf lorsqu’une loi provinciale
équivalente est en vigueur. Si une loi provinciale équivalente est en vigueur,
cette loi régira les pratiques de traitement des renseignements qui doivent
être observées par les organisations commerciales du secteur privé régies
par le droit provincial.
Par ailleurs, la LPRPDÉ ne porte que sur les organisations commerciales.
Les organisations qui n’exercent pas d’activités commerciales ne sont pas
concernées. Dans de tels cas, la LPRPDÉ ne fait nullement obstacle au transfert
de renseignements personnels à l’étranger.
Comme la LPRPDÉ ne s’applique pas aux dossiers de personnel des organisations
commerciales régies par le droit provincial, ces renseignements peuvent
être transférés par-delà les frontières sans restriction, à moins qu’il
n’existe une loi provinciale correspondante sur la protection des renseignements
personnels dans le secteur privé (comme c’est le cas au Québec, et bientôt
en Alberta et en Colombie-Britannique). Cela signifie que les dossiers
d’employés de certaines des entreprises les plus importantes du Canada
peuvent traverser les frontières internationales sans que l’on ait à se
soucier véritablement de l’utilisation que l’on fait de cette information
une fois qu’elle a franchi les frontières.
2. Par des organisations situées au Canada qui transfèrent les renseignements
personnels en vertu d’une loi à des gouvernements étrangers
Parfois, une loi particulière a préséance sur la LPRPDÉ et autorise les
organisations commerciales à communiquer à des gouvernements étrangers
les renseignements personnels se rapportant à des Canadiens et des Canadiennes.
Ainsi, les modifications apportées en 2001 à la Loi sur l’aéronautique
autorisent les transporteurs aériens du Canada à communiquer à un État
étranger certains renseignements qu’ils détiennent sur des personnes se
trouvant à bord ou devant se trouver à bord de l’aéronef et qui sont requis
par les lois de l’État étranger.
3. Par des organismes gouvernementaux situés au Canada qui transfèrent
les renseignements personnels à des gouvernements étrangers
La loi canadienne autorise souvent des organismes gouvernementaux à partager
avec des gouvernements ou organismes étrangers des renseignements personnels
qui sont détenus au Canada (par le gouvernement ou par le secteur privé),
et cela même sans le consentement de l’intéressé. Plusieurs procédures
de partage des renseignements sont décrites ici.
La Loi fédérale sur la protection des renseignements personnels autorise
la communication de renseignements personnels en dehors du Canada, même
sans le consentement de la personne à laquelle se rapportent les renseignements.
Ainsi, la Loi permet que les renseignements personnels qui relèvent d’une
institution fédérale (par exemple les renseignements recueillis pour la
délivrance des passeports) soient communiqués à des fins particulières,
en vertu d’un accord ou d’un arrangement conclu entre le gouvernement du
Canada et le gouvernement d’un État étranger. Les fins en question comprennent
l’administration ou l’application d’une loi, ou l’exécution d’une enquête
licite.
Un « accord » du genre est le Traité d’entraide juridique (TEJ) conclu entre
le Canada et les États-Unis (le Canada a signé des traités semblables avec
33 pays, notamment le Royaume-Uni, l’Australie et la France, et deux traités
multilatéraux renferment aussi des dispositions d’entraide juridique).
Le traité Canada-États-Unis, qui a pris effet en 1990, est un important
instrument à la disposition de l’un des deux gouvernements qui voudrait
obtenir des éléments de preuve se trouvant sur le territoire de l’autre.
Les autorités américaines pourraient, par exemple, rechercher des renseignements
détenus par les gouvernements provinciaux, territoriaux ou fédéral, par
des personnes au Canada ou par des entreprises au Canada, et se rapportant
à un large éventail d’infractions. Elles pourraient invoquer le traité
pour obtenir les renseignements en question. De nombreux traités fiscaux
et autres desquels fait partie le Canada autorisent aussi le transfert
de renseignements personnels du Canada à des gouvernements et organismes
étrangers.
Si les autorités américaines veulent obtenir des renseignements personnels
relevant du gouvernement fédéral ou d’un gouvernement provincial, ou encore
d’une entreprise ou personne située au Canada, il leur suffira de présenter
une demande au gouvernement du Canada en invoquant le Traité Canada-États-Unis
d’entraide juridique. Le ministère fédéral de la Justice du Canada pourra
alors demander à une cour de justice au Canada de délivrer un mandat de
perquisition forçant la communication des renseignements. Une fois les
renseignements obtenus, le ministère de la Justice transmet les renseignements
au gouvernement des États-Unis. L’article 7 de la LPRPDÉ autorise l’entreprise
à communiquer les renseignements personnels qui sont nécessaires pour donner
effet à un subpœna ou à un mandat délivré par une cour de justice, ou pour
donner effet à une ordonnance judiciaire.
D’autres lois autorisent parfois tel ou tel transfert de renseignements.
La Loi sur le recyclage des produits de la criminalité et le financement
des activités terroristes, modifiée en 2004, en est un exemple. Cette loi
autorise le Centre d’analyse des opérations et déclarations financières
du Canada (le CANAFE) à traiter et analyser les rapports d’institutions
financières et d’autres entités désignées qui portent sur des opérations
financières douteuses. L’objet de ce texte législatif est d’enrayer le
blanchiment d’argent et le financement des activités terroristes. Le CANAFE
a accès aux bases de données nationales sur la sécurité, ainsi qu’à celles
qui concernent l’application des lois. Les activités du CANAFE requièrent
manifestement la cueillette et l’utilisation de renseignements financiers
personnels. Par ailleurs, le CANAFE est autorisé à conclure des accords
avec des institutions ou organismes semblables d’États étrangers, en vue
de l’échange de renseignements se rapportant à son mandat.
Un autre exemple de texte autorisant le transfert de renseignements personnels
par le gouvernement en dehors du Canada est la Loi sur le ministère de
l’Immigration et de la Citoyenneté. Cette loi autorise le ministre à conclure
avec des gouvernements étrangers et des organisations internationales des
accords ou des arrangements qui requièrent de recueillir, d’utiliser et
de communiquer des renseignements personnels se rapportant aux programmes
dont le ministre est responsable.
La Loi sur le Service canadien du renseignement de sécurité autorise le
Service (appelé le SCRS), s’il a l’autorisation du ministre compétent,
à conclure des arrangements ou à collaborer avec le gouvernement d’un État
étranger, une institution de cet État ou une organisation internationale
d’États. À l’évidence, une telle coopération nécessitera parfois le transfert
de renseignements personnels concernant des Canadiens et des Canadiennes.
Dans de nombreux cas où des ministères ou organismes fédéraux communiquent
des renseignements personnels à l’étranger, il pourrait n’exister aucun
texte ou instrument particulier qui soit applicable, mais simplement un
protocole d’accord conclu avec un organisme gouvernemental dans un autre
pays et autorisant la communication de renseignements personnels.
Un rôle important du Commissariat à la protection de la vie privée consiste
à évaluer les répercussions de tels arrangements sur la protection de la
vie privée et à examiner les pratiques en vigueur afin de déterminer si
les termes de tel ou tel protocole sont ou non respectés dans les faits.
Ces vérifications et ces examens de l’incidence sur la vie privée sont
des fonctions essentielles du Commissariat.
4. Par les organismes gouvernementaux qui transfèrent des renseignements
personnels en vue de leur traitement par des entreprises situées à l’étranger
Les organismes du gouvernement canadien transfèrent aussi parfois des renseignements
personnels sur des Canadiens et des Canadiennes à des entreprises situées
dans d’autres pays en vue de leur traitement — un autre sous-produit de
nos économies mondialisées et interdépendantes. Le fait de s’en rapporter
à une entreprise de l’extérieur pour le traitement de renseignements personnels
est communément appelé « impartition » ou « sous-traitance ».
5. Par la population canadienne elle-même
Les Canadiens et les Canadiennes, en tant que voyageurs, touristes et consommateurs,
donnent eux-mêmes une somme considérable de renseignements personnels à
des gouvernements étrangers ou à des entreprises étrangères.
Les voyageurs canadiens sont tenus de fournir des renseignements aux agents
de l’immigration lorsqu’ils entrent dans un pays étranger, et cela en produisant
leurs passeports, leurs visas ou d’autres documents que le pays en question
jugera opportun de leur demander. Les Canadiens et les Canadiennes peuvent
aussi devoir fournir des renseignements personnels à des entreprises lorsqu’ils
traitent avec elles. Ainsi, le fait de solliciter des services d’assistance-logiciel
peut obliger le client à fournir des renseignements à une entreprise à
l’étranger qui fournit les services en question.
La USA Patriot Act
Une fois que des renseignements personnels sur les Canadiens et les Canadiennes
sont transférés en dehors du Canada, que ce soit par un organisme gouvernemental
canadien, par une organisation privée ou par les Canadiens et les Canadiennes,
les lois du pays auquel les renseignements ont été transférés s’appliqueront.
Ces lois dicteront à quel moment les organismes gouvernementaux, telles
les autorités policières, les instances de sécurité ou les autorités fiscales,
pourront obtenir l’accès auxdits renseignements personnels. Le même principe
est également applicable au Canada. Les entreprises étrangères qui exercent
des activités au Canada doivent se conformer aux lois canadiennes. Parfois,
la loi étrangère pourra autoriser l’accès aux renseignements personnels
de Canadiens et de Canadiennes dans des cas que de nombreux Canadiens et
Canadiennes pourraient juger inadmissibles ou inappropriés. C’est la raison
pour laquelle le Commissariat à la protection de la vie privée participe
activement à des tribunes internationales où sont examinées les règles
s’appliquant à la circulation transfrontalière des renseignements personnels,
que ce soit à des fins commerciales ou administratives, afin que les normes
élevées de protection des renseignements dont bénéficient généralement
les Canadiens et les Canadiennes continuent de s’appliquer, dans la mesure
du possible, en dehors du Canada.
La USA Patriot Act, adoptée en 2001 par le Congrès des États-Unis, n’est
qu’un exemple de loi étrangère qui autorise l’accès aux renseignements
personnels détenus aux États-Unis sur les Canadiens et les Canadiennes.
La USA Patriot Act renforce l’accès du Federal Bureau of Investigations
(FBI) aux dossiers détenus par les entreprises aux États-Unis. Cette loi
modifie la Foreign Intelligence Surveillance Act de 1978 d’une manière
qui autorise le directeur du Federal Bureau of Investigations (FBI) à demander
à un tribunal des États-Unis d’ordonner la communication de registres,
de papiers, de documents et autres objets en vue d’une enquête destinée
à assurer une protection contre le terrorisme international ou les activités
clandestines de renseignement.
Si un juge rend l’ordonnance demandée, l’entreprise qui en est l’objet
est forcée de fournir les renseignements, lesquels pourraient comprendre
les renseignements personnels qu’elle détient sur des Canadiens et des
Canadiennes. Par ailleurs, l’entreprise n’aurait pas le droit de révéler
à d’autres personnes que le FBI a demandé ou obtenu lesdits renseignements.
Autrement dit, les entreprises ne peuvent pas révéler aux intéressés le
fait que des renseignements personnels les concernant ont été demandés
ou obtenus en vertu de l’ordonnance.
La USA Patriot Act est relativement nouvelle, mais ses fondements ne le
sont pas. La USA Patriot Act est simplement un exemple de loi pouvant donner
au gouvernement des États-Unis ou à ses organismes l’accès aux renseignements
personnels de Canadiens et de Canadiennes qui ont été transférés vers les
États-Unis. La recherche effectuée par le Commissariat à la protection
de la vie privée, et nos échanges avec le ministère de la Justice, montrent
que la USA Patriot Act n’est pas susceptible de servir à obtenir des renseignements
personnels de Canadiens et de Canadiennes qui seraient en la possession
des États-Unis. Il est beaucoup plus probable que ce sont les moyens existants
d’obtenir de tels renseignements qui continueront d’être employés, par
exemple les « subpœnas de grand jury », les « lettres de sécurité nationale »
et les mandats de perquisition ordinaires délivrés dans les enquêtes criminelles.
En outre, les organismes du gouvernement américain peuvent s’en remettre
à d’autres procédures officielles pour obtenir des renseignements concernant
les Canadiens et les Canadiennes qui seraient en la possession du gouvernement
ou du secteur privé au Canada. Des accords de longue date en matière d’échange
de renseignements, conclus entre les organismes de sécurité et d’application
de la loi des deux pays, ainsi que le mécanisme de l’entraide juridique,
sont les moyens les plus susceptibles d’être employés pour obtenir l’accès
à des renseignements détenus au Canada.
Les gouvernements de par le monde exercent depuis longtemps le droit d’accéder
aux renseignements détenus par les organisations se trouvant sur leur territoire.
Plusieurs lois canadiennes permettent aussi aux organismes policiers et
aux organismes de sécurité ainsi qu’aux ministères fédéraux généralement
d’obtenir l’accès aux renseignements personnels détenus au Canada. En bref,
les organismes du gouvernement canadien peuvent obtenir les renseignements
personnels détenus au Canada se rapportant à des étrangers, tout comme
le gouvernement d’un pays étranger peut obtenir les renseignements personnels
détenus dans ce pays et se rapportant à des Canadiens et des Canadiennes.
Par ailleurs, les organismes canadiens de police et de sécurité peuvent
obtenir les renseignements détenus à l’étranger et se rapportant à des
étrangers, en recourant aux procédures d’entraide juridique et en invoquant
les accords d’échange de renseignements.
Quelles lois nationales s’appliquent aux renseignements personnels?
Le débat engagé sur les effets de la USA Patriot Act a mis en lumière la
confusion qui existe à propos des obligations juridiques d’organisations
qui sont visées par des ordonnances rendues en vertu de la loi américaine
et les contraignant à communiquer des renseignements qu’elles détiennent.
Les propos qui suivent décrivent la position de la commissaire à la protection
de la vie privée du Canada sur ces aspects.
1. Organisations exerçant des activités dans un pays étranger
Les organisations qui exercent des activités dans un pays étranger et qui
détiennent dans ce pays des renseignements personnels sur des Canadiens
et des Canadiennes doivent se conformer aux lois de ce pays. Par exemple,
si une organisation fait l’objet d’une ordonnance l’obligeant à communiquer
des renseignements personnels, elle devra communiquer les renseignements
en question.
Cette règle a d’importantes répercussions sur la décision d’une entreprise
au Canada sujette à la LPRPDÉ de « sous-traiter » le traitement de ses données
à des organisations basées à l’étranger. Ainsi, si une entreprise canadienne
sous-traite à une entreprise américaine le traitement de renseignements
personnels, les renseignements personnels en question pourraient devenir
accessibles en vertu des lois américaines. La question cruciale en matière
administrative est celle de savoir si l’entreprise canadienne devrait sous-traiter
le traitement de renseignements personnels lorsque, par la sous-traitance,
lesdits renseignements seront assujettis aux lois américaines. À tout le
moins, une entreprise au Canada qui sous-traite de cette manière le traitement
de données devrait informer ses clients que les données pourraient devenir
accessibles au gouvernement des États-Unis ou à ses organismes en vertu
d’ordonnances rendues par les tribunaux de ce pays.
2. Organisations commerciales exerçant leurs activités au Canada et non
dans un pays étranger
Les organisations au Canada qui sont régies par la LPRPDÉ (c’est-à-dire
la plupart des organisations commerciales du Canada) ou par des lois provinciales
équivalentes, comme c’est le cas au Québec, et bientôt en Colombie-Britannique
et en Alberta, doivent se conformer à la LPRPDÉ ou à la loi provinciale
équivalente. Le cas le plus évident est celui d’une entreprise basée uniquement
au Canada, qui conserve des renseignements personnels uniquement au Canada.
Une ordonnance rendue par un gouvernement étranger ou par un tribunal étranger
(ce qui est très improbable si l’entreprise n’exerce ses activités qu’au
Canada) n’aurait aucune force juridique à l’encontre de l’entreprise. Le
Commissariat à la protection de la vie privée est d’avis que l’entreprise
ne serait pas tenue juridiquement de communiquer les renseignements personnels
au gouvernement étranger et qu’elle contreviendrait à la LPRPDÉ si elle
le faisait sans le consentement des personnes auxquelles se rapportent
les renseignements.
Cependant, tel qu’il est mentionné précédemment, une loi canadienne donnée
peut avoir préséance sur la LPRPDÉ et permettre à des organisations canadiennes
de communiquer des renseignements personnels à un organisme étranger. Les
modifications apportées à la Loi sur l’aéronautique autorisent les transporteurs
aériens au Canada à communiquer à un État étranger certains renseignements
qu’ils détiennent sur des personnes à bord ou devant se trouver à bord
de l’aéronef et qui sont requis par les lois de l’État étranger.
3. Organisations commerciales qui exercent leurs activités à la fois au
Canada et dans un pays étranger
La situation est plus complexe lorsqu’une organisation commerciale visée
par la LPRPDÉ exerce ses activités à la fois au Canada et dans un pays
étranger. Les organisations qui exercent des activités dans le pays étranger
doivent se conformer aux lois de ce pays, tout comme les organisations
qui exercent des activités au Canada doivent se conformer aux lois canadiennes.
Par conséquent, comme on l’a vu précédemment, une organisation qui exerce
des activités aux États-Unis et qui détient aux États-Unis des renseignements
personnels sur des Canadiens et des Canadiennes doit se conformer à une
ordonnance rendue par un tribunal des États-Unis qui l’oblige à communiquer
les renseignements qu’elle détient.
Si l’organisation située dans le pays étranger a au Canada une organisation
apparentée qui détient au Canada des renseignements personnels sur des
Canadiens et des Canadiennes, l’ordonnance rendue par un tribunal étranger
ne peut forcer la communication des renseignements qui sont détenus au
Canada. L’organisation au Canada sera sujette à la LPRPDÉ ou à son équivalent
provincial. Elle n’est pas liée par l’ordonnance rendue dans le pays étranger.
Par ailleurs, elle a l’obligation, selon la LPRPDÉ, de prendre les mesures
de sécurité adéquates pour empêcher la communication non autorisée des
renseignements personnels qu’elle détient. Elle pourrait devoir, par exemple,
recourir à des mesures techniques pour empêcher son organisation apparentée,
dans le pays étranger, d’obtenir à des fins non appropriées accès aux renseignements
personnels détenus au Canada.
4. Impartition du traitement de données par les institutions du gouvernement
fédéral canadien
Si une institution du gouvernement fédéral engage une entreprise installée
dans un pays étranger pour qu’elle traite les renseignements personnels
se trouvant dans ce pays et se rapportant à des Canadiens et des Canadiennes,
les lois de ce pays s’appliqueront aux renseignements personnels. Une ordonnance
rendue par un tribunal de ce pays pourrait forcer l’entreprise à communiquer
lesdits renseignements.
Malheureusement, la Loi sur la protection des renseignements personnels
canadienne, qui a aujourd’hui plus de 20 ans, n’oblige pas les institutions
fédérales à mettre en place des mesures efficaces de sécurité pour empêcher
que ne soient utilisés à mauvais escient les renseignements personnels
concernant des Canadiens et des Canadiennes et qui ont été transférés par-delà
les frontières (cependant, d’autres textes législatifs ou accords contractuels
pourraient, d’une certaine manière, protéger les renseignements). C’est
là une raison supplémentaire, parmi beaucoup d’autres, de procéder à un
examen approfondi de la Loi sur la protection des renseignements personnels.
Que peuvent faire les Canadiens et les Canadiennes pour protéger leurs
renseignements personnels?
Les Canadiens et les Canadiennes jouissent d’une norme raisonnable de protection
de leurs renseignements personnels. Ils ne veulent pas que cette protection
disparaisse lorsque leurs renseignements personnels sont transférés par-delà
les frontières, et ils ne souhaitent pas que les gouvernements ou les organisations
au Canada transfèrent leurs renseignements personnels par-delà les frontières
si de tels renseignements risquent d’être communiqués indûment, que ce
soit à des fins de sécurité ou à des fins commerciales.
La mesure dans laquelle les renseignements personnels de Canadiens et de
Canadiennes devraient être mis à la disposition de gouvernements étrangers
est une question complexe qui continue de susciter de nombreuses interrogations.
Cependant, les Canadiens et les Canadiennes peuvent prendre des mesures
pour protéger leurs renseignements personnels contre une communication
inappropriée à des gouvernements étrangers :
-
en déposant des plaintes concernant le traitement de leurs renseignements
personnels (en particulier dans les arrangements d’impartition) au Commissariat
à la protection de la vie privée du Canada ou aux commissaires provinciaux
et territoriaux, selon l’organisation dont la conduite est à l’origine
de la plainte;
-
en invoquant les dispositions de la LPRPDÉ sur la dénonciation, si une
organisation affiliée à une entreprise canadienne et qui opère aux États-Unis,
cherche à obtenir des renseignements personnels détenus uniquement au Canada,
en vertu d’une ordonnance de la Cour. Ces dispositions protégeraient l’anonymat
des employés qui informent le Commissaire à la protection de la vie privée
du Canada qu’une entreprise entend transférer des renseignements à l’étranger
en violation de la LPRPDÉ. Les dispositions protègent aussi les employés
contre les représailles de leurs employeurs, que ce soit le harcèlement,
le congédiement ou la rétrogradation;
-
en faisant savoir aux organisations au Canada qui recueillent des renseignements
personnels sur les Canadiens et les Canadiennes que le traitement des renseignements
personnels en dehors du Canada suscite des interrogations;
-
en se prévalant des droits qui sont conférés en matière de renseignements
par la LPRPDÉ, et par les lois provinciales de même nature applicables
au secteur privé, lois qui obligent les organisations à observer des pratiques
équitables en matière de renseignements, et notamment à obtenir des consentements
à l’utilisation des renseignements;
-
en rappelant aux entreprises situées au Canada leur obligation juridique
de mettre en place des mesures de sécurité adéquates afin d’empêcher leurs
filiales ou leurs affiliées situées dans un autre pays d’obtenir secrètement
l’accès à des renseignements personnels détenus au Canada dans le but de
se conformer à une ordonnance judiciaire rendue dans le pays étranger;
-
en faisant savoir à leurs élus qu’ils sont préoccupés par le risque d’une
divulgation excessive de renseignements personnels aux gouvernements étrangers
ou à des entreprises étrangères;
-
d’une manière générale, en se montrant plus attentifs à ce qui risque d’arriver
à leurs renseignements personnels lorsque de tels renseignements traversent les
frontières, ainsi qu’à l’importance de normes internationales claires et
exécutoires sur les échanges de renseignements dans les pays démocratiques.
Il n’y a aucun substitut à une population informée qui exige de sa classe
politique et de ses dirigeants d’entreprise les normes les plus élevées
en matière de protection des renseignements personnels. Bien que ce ne
soit pas une panacée pour les atteintes à la vie privée, une mobilisation
de la population offre le moyen de forcer les gardiens des renseignements
personnels à se montrer plus vigilants dans l’observation des normes en
la matière.
Que peuvent faire les entreprises?
Les entreprises qui sont sujettes à la LPRPDÉ ou aux lois provinciales
semblables doivent se conformer auxdites lois. Il importe que la direction
des organisations sujettes à de telles lois comprenne ses responsabilités
selon les lois en question — par exemple, l’obligation, énoncée dans la
LPRPDÉ, de garantir la sécurité des renseignements personnels. La LPRPDÉ
stipule que les renseignements personnels doivent être protégés par des
garanties de sécurité qui conviennent à la sensibilité des renseignements.
Les dirigeants d’entreprise reconnaissent de plus en plus qu’il est essentiel
pour eux de préserver un niveau élevé de confiance du public dans la manière
dont ils traitent les renseignements personnels, s’ils tiennent véritablement
à la loyauté de leur clientèle. Les dirigeants d’entreprise savent également
fort bien que les renseignements personnels qu’ils détiennent constituent
d’importants actifs qui doivent être protégés contre tout abus.
Que peut faire le gouvernement du Canada?
Dès 1987, les parlementaires canadiens ont fait valoir leurs réserves concernant
les transferts de renseignements personnels par-delà les frontières. Cette
année-là, un comité parlementaire chargé d’examiner la Loi sur l’accès
à l’information et la Loi sur la protection des renseignements personnels
prenait la mesure dans laquelle les renseignements personnels traversaient
les frontières. Il concluait ainsi :
Des données personnelles concernant des Canadiens sont couramment transférées
et stockées à l’extérieur du pays par les autorités fédérales ou provinciales
et par le secteur privé. […] Les Canadiens ont besoin de plus d’information
sur les flux transfrontières de données personnelles dans des domaines
aussi variés que les transactions bancaires, les systèmes de renseignements
financiers, les services de cartes de crédit, les soins de santé, les syndicats,
les dossiers du personnel et de la paye, les réservations aériennes et
les activités générales du gouvernement. […] Le Comité a résisté à la tentation
de demander au Commissaire à la protection de la vie privée de mener une
étude spéciale sur la question, conformément à l’article 60 de la Loi sur
la protection des renseignements personnels, et de la présenter au Parlement,
puisque les ressources et la compétence nécessaires à une telle entreprise
sont disséminées dans tout le gouvernement. En effet, un certain nombre
d’institutions fédérales de premier plan, particulièrement le ministère
des Affaires extérieures et le ministère de la Justice, ont déjà des responsabilités
importantes en ce qui concerne la protection de la vie privée et d’autres
aspects importants des flux transfrontières de données. Malheureusement,
on n’a pas accordé suffisamment d’attention ni de ressources à ces responsabilités
au cours des dernières années. (Une question à deux volets : Comment améliorer
le droit d’accès à l’information tout en renforçant les mesures de protection
des renseignements personnels, mars 1987, page 80).
La réponse du gouvernement du Canada au rapport du comité était prometteuse
:
-
Tout comme le Comité, le gouvernement convient qu’il y a lieu d’examiner
cette question et il a déjà commencé à rechercher des moyens de déterminer
s’il existe un problème de ce genre. Si une telle situation survenait,
le gouvernement déterminerait de quelle façon y faire face. (Gouvernement
du Canada, Accès et renseignements personnels : les prochaines étapes,
1987, page 15)
Malheureusement, la promesse contenue dans la réponse du gouvernement ne
semble pas avoir été suivie par des actes. Aujourd’hui, dix-sept ans plus
tard, après l’arrivée de l’Internet et du cybergouvernement, et après que
toutes les démocraties libérales ont martelé qu’elles étaient résolues
à combattre le terrorisme et la criminalité d’envergure planétaire, il
semblerait à propos, opportun et justifié d’examiner la gouvernance des
transferts internationaux de renseignements personnels. Il faudrait qu’un
tel exercice tienne compte des trois années d’application de la LPRPDÉ,
de l’examen auquel ce texte devra être soumis en 2006 selon ses propres
termes, et de l’éventuelle réforme de la Loi sur la protection des renseignements
personnels, si l’on veut avoir l’assurance que les pratiques du gouvernement
fédéral en matière de données personnelles s’accordent avec les normes
les plus rigoureuses.
Le gouvernement canadien, sous l’égide d’un comité de sous-ministres adjoints
pour la protection des renseignements personnels, examine actuellement
la solidité et l’exhaustivité du cadre fédéral en la matière, lequel s’étendrait
à la fois aux activités du secteur public et à celles du secteur privé
relevant de la compétence fédérale. En marge des travaux de ce comité,
le Commissariat à la protection de la vie privée du Canada recommandera
que la gamme complète des moyens d’action, notamment la sensibilisation
du public, les accords contractuels et les solutions technologiques, soit
examiné afin de mieux protéger les flux de renseignements personnels, à
la fois à l’intérieur du Canada et en dehors de nos frontières.
Que fait le Commissariat à la protection de la vie privée du Canada?
En 2003-2004, le Commissariat à la protection de la vie privée du Canada
a effectué un examen préliminaire des accords d’échange de renseignements
(accords parfois appelés « protocoles d’accord ») conclus entre le Canada
et les États-Unis. Les protocoles d’accord de 18 ministères et organismes
fédéraux ont été étudiés. L’examen a permis de constater que la plupart
de ces arrangements conclus entre les deux pays étaient silencieux sur
des questions importantes, par exemple l’utilisation non autorisée, la
communication, la conservation et l’élimination des données personnelles.
La moitié seulement des protocoles contenaient une mise en garde — c’est-à-dire
une clause indiquant que les renseignements reçus en vertu de l’accord
ne seront pas communiqués à un tiers sans le consentement écrit préalable
de la partie qui a communiqué les renseignements.
L’examen a aussi permis de constater que seul un petit nombre de ces accords
(des accords que l’on peut compter par centaines dans certains ministères)
contenaient une disposition de vérification, et qu’aucun d’eux n’avait,
en réalité, été soumis à une vérification. Ces constatations initiales
donnent à penser que l’échange de renseignements personnels entre les deux
pays se fait de manière très informelle, avec peu de surveillance pouvant
permettre de s’assurer que les principes relatifs à l’équité dans le traitement
des renseignements (définis, par exemple, dans la LPRPDÉ) sont observés
par les gouvernements respectifs.
Au cours des prochaines années, plusieurs occasions se présenteront pour
un examen rigoureux et équilibré, ainsi que pour une discussion publique
informée, des flux extraterritoriaux de renseignements personnels. Le Commissariat
à la protection de la vie privée du Canada participera à ces activités
autant que cela sera possible. Les activités suivantes sont envisagées
:
-
une vérification prévue en 2004-2005 des activités de transfert de renseignements
personnels entre le Canada et les États-Unis;
-
des pourparlers continus avec les représentants du ministère canadien de
la Sécurité publique et de la Protection civile et ceux du Département
de la Sécurité intérieure des États-Unis, sur les pratiques des entités
fédérales en matière de renseignements personnels;
-
la mise en place d’un comité parlementaire sur la sécurité nationale;
-
l’examen de la LPRPDÉ qui doit avoir lieu en 2006, en application des termes
de cette loi;
-
une réforme éventuelle de la Loi sur la protection des renseignements personnels.
Le Commissariat participera également activement aux prochains examens
de la législation antiterroriste et des initiatives de prestation de services,
tel le gouvernement en direct (par exemple, le transfert électronique des
dossiers médicaux et des initiatives semblables).
Le Commissariat poursuivra aussi son dialogue avec les chefs de file de
l’industrie et les associations professionnelles pour s’assurer qu’ils
comprennent pleinement les obligations que leur imposent les lois sur la
protection des renseignements personnels dans le secteur privé. Il cherchera
également à mieux comprendre la pratique de la communication transfrontalière
de renseignements. Le Commissariat envisage aussi d’engager un dialogue
avec le secteur privé au cours des prochains mois sur l’étendue et l’à-propos
de ces transferts de renseignements.
Conclusion
Les circonstances dans lesquelles les renseignements personnels détenus
par le secteur privé au Canada devraient être transférés à des organisations
situées dans d’autres pays constituent une importante question qui requiert
un examen plus approfondi.
Le gouvernement du Canada devrait, quant à lui, réexaminer les circonstances
dans lesquelles il permet que les renseignements personnels des Canadiens
et des Canadiennes soient traités en dehors du Canada. Le Commissariat
reconnaît que cet examen requiert davantage qu’une simple considération
des intérêts des Canadiens et des Canadiennes en matière de protection
de leurs renseignements personnels. Il nécessitera aussi une prise en compte
des importants avantages économiques qui peuvent découler de l’impartition,
et une prise en compte des obligations du Canada, aux termes de ses accords
commerciaux, qui peuvent se rapporter aux flux transfrontières de renseignements
personnels.
La Commission d’enquête sur les actions des responsables canadiens relativement
à Maher Arar éclairera peut-être la question de la communication transfrontalière
de renseignements personnels sur les Canadiens et les Canadiennes lorsque
la sécurité nationale est en cause. D’autres ministères et organismes des
gouvernements doivent procéder à un examen semblable du transfert de renseignements
personnels sur les Canadiens et les Canadiennes aux gouvernements et organismes
étrangers. Il leur incombe d’expliquer aux Canadiens et aux Canadiennes
la nature de ces transferts. Les Canadiens et les Canadiennes ont besoin
de comprendre véritablement la mesure dans laquelle leurs renseignements
personnels sont transférés par-delà les frontières, et la mesure dans laquelle
les renseignements personnels qui les concernent peuvent être mis, et sont
mis, à la disposition des gouvernements étrangers et des organisations
étrangères.
Les Canadiens et les Canadiennes ne sont pas les seuls à se demander ce
qui arrive aux renseignements qu’ils donnent à leurs gouvernements ou au
secteur privé, en cette ère de circulation mondiale instantanée des données,
d’échanges internationaux vigoureux, de préoccupations accrues en matière
de sécurité nationale, et d’activités accrues d’impartition. Le Commissariat
à la protection de la vie privée du Canada a déjà évoqué auprès de ses
homologues internationaux les questions discutées ici. Le Commissariat
juge très important d’encourager l’adoption de normes internationales adéquates
pour le transfert des renseignements personnels par-delà les frontières.
Si les Canadiens et les Canadiennes espèrent préserver les valeurs fondamentales
qu’ils chérissent dans une démocratie, notamment la protection de leur
vie privée, ils doivent eux aussi s’interroger. La sécurité de nos renseignements
personnels est une entreprise collective. Les commissaires à la protection
de la vie privée ne peuvent faire le travail à eux seuls. Les Canadiens
et les Canadiennes doivent reconnaître qu’ils ont la responsabilité civique
de s’informer. Qui utilise leurs renseignements personnels, et à quelles
fins? Dans un environnement où les valeurs de la vie privée sont de plus
en plus assiégées, où d’aucuns voient comme un luxe le droit à la vie privée,
il n’est pas excessif d’inviter nos citoyens et nos citoyennes à défendre
leur droit à la vie privée. En fait, il est indispensable de les y encourager.
| 
Fil RSS
