Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États Unis

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2006-333

(Principes 4.1.3 et 4.8 de l’Annexe 1)

Le Commissariat à la protection de la vie privée du Canada a reçu les plaintes de deux personnes concernant leur fournisseur de systèmes de sécurité. De l’avis des plaignants, le fournisseur a utilisé un formulaire de consentement inapproprié pour l'échange des renseignements personnels de ses clients avec la société mère située aux États‑Unis. Les deux plaignants se sont également inquiétés de la possibilité que des organisations américaines chargées de l’application des lois puissent accéder à leurs renseignements personnels en vertu de la USA PATRIOT Act.

La commissaire adjointe à la protection de la vie privée a conclu que le fournisseur n’était pas tenu d’obtenir le consentement de ses clients dans cette situation et que la forme du consentement à utiliser dans ce cas était donc sans objet. Elle a indiqué qu'elle approuvait que le fournisseur avait pris les mesures appropriées afin d’informer ses clients de ses pratiques relatives au traitement de renseignements personnels et a jugé que la société mère respectait les mêmes normes de protection de données que le fournisseur canadien. En ce qui concerne la question de la circulation transfrontalière, la commissaire adjointe a repris les commentaires formulés dans des conclusions précédentes similaires.

Voici la description du déroulement de l’enquête et les conclusions rendues par la commissaire adjointe.

Résumé de l’enquête

En octobre 2004, le fournisseur de systèmes de sécurité a informé ses clients canadiens qu’il avait l’intention de communiquer leurs coordonnées à  la société mère américaine dans certaines situations particulières. Dans un avis à l'intention de ses clients, le fournisseur a indiqué avoir mis sur pied un réseau de surveillance nord‑américain réunissant les centres de surveillance pour la clientèle du Canada et des États‑Unis. Il a également indiqué qu’en cas de catastrophe, comme une tempête de verglas ou une panne d’électricité qui affecterait un centre de surveillance situé au Canada, les signaux d’alarme seraient acheminés vers un autre centre en Amérique du Nord. 

Selon le fournisseur, les seuls renseignements personnels pouvant être communiqués à un centre de surveillance américain sont les renseignements nécessaires pour assurer les services de surveillance et de sécurité voulus, comme l’adresse de la résidence ou de l’entreprise du client, son numéro de téléphone et la liste de personnes à contacter en cas d’urgence. Il n’y a communication d’aucun renseignement financier ou d’information sur la solvabilité.

Dans l’avis qui leur a été communiqué, les clients ont été informés que s’ils ne souhaitent pas que ces renseignements soient communiqués à la société américaine, ils devaient en aviser le responsable de leur bureau local de vente et de service avant une date déterminée. L’avis établissait également qu’en l’absence d’indication contraire, le fournisseur tiendrait pour acquis que le client consentait et agirait de façon conséquente.

Sur les quelque 389 000 avis envoyés, 3 000 clients canadiens ont répondu qu’ils ne souhaitaient pas que leurs renseignements personnels soient communiqués à la société américaine. Le fournisseur canadien a donc mis leur compte à part des autres de façon à ce tout signal d’alarme qui proviendrait de la maison de ces clients soit traité exclusivement pas des centres de surveillance canadiens.

Le fournisseur a indiqué qu’il travaillait depuis quelques années à l’amélioration de l’infrastructure technologique de ses activités de surveillance et qu’il avait fait construire des centres de surveillance au Canada et aux États-Unis. S’il a décidé d’établir des liens entre les centres canadiens et les centres américains, c’est pour améliorer les services à la clientèle et pour réduire les délais de rétablissement lorsqu’il y a une augmentation subite de signaux d’alarme, ou lorsqu’il y a des interruptions opérationnelles. Le fournisseur a indiqué que tous les centres, qu’ils soient au Canada ou aux États-Unis, utilisent la même technologie ainsi que les mêmes systèmes, procédures et processus opérationnels.

Le fournisseur a donné des exemples de cas durant lesquels la capacité des centres de surveillance canadiens à fournir un service efficace à la clientèle pouvait être compromise, comme dans certaines conditions hivernales difficiles. Il a affirmé que la possibilité d’acheminer des signaux d’alarme et d’urgence à un centre américain améliore le service qu’il est censé fournir à ses clients.

Selon le fournisseur, transmettre certains renseignements personnels de clients dans ces circonstances ne constitue pas une « communication » de renseignements aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques. Il s’agit simplement de l’impartition d’une partie de ses services à la société mère située aux États-Unis, en conformité avec les lois. Le fournisseur a soutenu que le consentement n’était pas nécessaire dans ce contexte. Les services fournis par la société américaine font partie intégrante des services du fournisseur canadien.

Même s’il croit qu’il n’était pas tenu d’obtenir le consentement de ses clients, le fournisseur a tout de même décidé de donner la possibilité à ses clients canadiens de refuser que leurs renseignements personnels soient communiqués à la société américaine, tout en les informant qu’ils pouvaient toutefois s’attendre à une baisse de la qualité du service. Selon le fournisseur, la possibilité offerte à ses clients de refuser l’offre était appropriée. Les clients ont ainsi pu choisir entre deux niveaux de service – l’un, plus sûr, qui comporte la communication de renseignements personnels à la société américaine; l’autre, qui équivaut simplement au statu quo, mais qui assure aux clients que leurs renseignements personnels demeurent au Canada. Le « consentement implicite » que visait le fournisseur en communiquant son avis avait trait aux niveaux de services; l’objectif n’était pas d’obtenir le consentement des clients en vue d’une nouvelle utilisation ou de la communication de leurs renseignements personnels.  

Le fournisseur a également fourni au Commissariat des renseignements détaillés sur les mesures de sécurité prévues par la société mère américaine pour protéger les renseignements personnels des clients.

La possibilité que les autorités américaines accèdent aux renseignements personnels de la population canadienne a été fréquemment soulevée depuis l’adoption de la USA PATRIOT Act. Avant l’adoption de cette loi, les autorités américaines pouvaient déjà, de différentes façons, accéder aux dossiers détenus par des sociétés situées aux États-Unis en vue de la collecte de renseignements étrangers.

La nouveauté, depuis l’adoption de la USA PATRIOT Act, c’est que certains outils permettant la surveillance policière et les renseignements ainsi que la collecte d’information ont aujourd’hui une plus grande portée et que les obstacles de procédure auxquels se heurtaient les agences d’application des lois aux États-Unis sont moins nombreux. En vertu de l’article 215 de la USA PATRIOT Act, le Federal Bureau of Investigation (FBI) peut désormais accéder aux dossiers qui se trouvent aux États-Unis en demandant une ordonnance de la Foreign Intelligence Surveillance Court. Toute entreprise visée par une ordonnance délivrée en vertu de l’article 215 n’est pas autorisée à révéler que le FBI a demandé ou obtenu des renseignements.

Le risque de communication de renseignements personnels à des autorités gouvernementales ne touche pas que les organisations américaines. Au Canada, en raison des préoccupations relatives à la sécurité nationale et de la lutte au terrorisme, les organisations peuvent faire l’objet d’ordonnances similaires et devoir communiquer des renseignements personnels qu’elles détiennent aux autorités canadiennes.

En plus de ces mesures, des ententes bilatérales officielles ont été conclues entre des organismes gouvernementaux canadiens et américains en vue d’une coopération mutuelle et du partage de renseignements, au besoin. Ces mécanismes sont toujours en vigueur.

Conclusions

Rendues le 11 mai 2006

Application  : Conformément au principe 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. Également, conformément au principe 4.8, une organisation doit faire en sorte que des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels soient facilement accessibles à toute personne. 

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

• En ce qui concerne la pertinence de la forme du consentement prévu par le fournisseur canadien, la commissaire adjointe est d’avis que le fournisseur n’était pas tenu d’obtenir le consentement de ses clients dans la situation en cause. 
• Lorsqu’ils ont accepté le service offert, les clients ont consenti à fournir des renseignements personnels au fournisseur canadien. Celui‑ci transmet maintenant cette information à la société mère afin de veiller à la continuité du service en cas d’interruption.
• La commissaire adjointe a noté que, par conséquent, les renseignements demeurent utilisés aux mêmes fins qu’au départ; la seule différence, c’est qu’en cas d’interruption de service des centres canadiens, une autre organisation peut prendre le relais. Ainsi, le fournisseur n’entend pas utiliser les renseignements à des fins autres que celles auxquelles les clients ont d’abord consenti. Par conséquent, la commissaire adjointe a jugé qu’il n’était pas nécessaire d’obtenir de nouveau le consentement des clients et que la question de la forme du consentement était donc sans objet.
• Elle a indiqué que le fournisseur canadien avait tout de même informé ses clients qu’ils pouvaient refuser que leurs renseignements personnels soient communiqués à la société américaine tout en les informant qu’ils pouvaient toutefois s’attendre à une baisse de la qualité du service.
• Puisque le fournisseur canadien a envoyé à ses clients un avis pour leur expliquer ce qu’il advenait de leurs renseignements personnels, la commissaire adjointe a jugé que le fournisseur a respecté les obligations énoncées au principe 4.8, c’est‑à‑dire qu’il a fait en sorte de rendre facilement accessibles à toute personne des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
• La commissaire adjointe a conclu que le fournisseur canadien n’a ni communiqué les renseignements personnels de ses clients ni utilisé ces renseignements à des fins nouvelles, mais elle a indiqué que le fournisseur devait malgré tout se conformer à des obligations relativement à la protection des renseignements personnels de ses clients. Elle a invoqué le principe 4.1.3, selon lequel une organisation doit, par voie contractuelle ou autre (mot souligné par la commissaire adjointe), fournir une protection au moins équivalente aux renseignements qui sont en cours de traitement par une tierce partie.
• Puisqu’il s’agit d’une situation où il y a échange d’information entre une société mère et l’une de ses sociétés affiliées, il n’était pas nécessaire d’établir un contrat distinct entre les deux parties, mais plutôt d’établir des normes de protection des données respectées de la même façon par l’une et l’autre.
• Après avoir examiné des présentations de la société américaine, la commissaire adjointe a constaté que la société possédait un réseau privé fermé et qu’elle avait adopté des mesures et une stratégie exhaustive sur la protection des renseignements personnels de ses clients.
• Par conséquent, la commissaire adjointe a conclu que les pratiques du fournisseur canadien étaient conformes au principe 4.1.3, car le fournisseur utilise une voie « autre » pour fournir un degré comparable de protection aux renseignements.

La commissaire adjointe a donc conclu que les plaintes sont non fondées.

Autres considérations

Dans la foulée de commentaires formulés dans des conclusions précédentes au sujet des répercussions de la circulation transfrontalière de renseignements personnels, la commissaire adjointe a indiqué que lorsque les renseignements personnels de clients sont confiés à des fournisseurs de services étrangers, ces renseignements sont assujettis aux lois du pays où ils se trouvent, et ni un contrat ni une disposition contractuelle ne peut éviter cela.  Bref, une organisation située au Canada qui partage les renseignements personnels de ses clients à une société mère située aux États-Unis n’est pas en mesure d’empêcher les autorités américaines d’accéder légalement à ces renseignements. 

La commissaire adjointe a ajouté qu'en étudiant la question de « protection comparable » par rapport aux lois américaines et canadiennes de lutte au terrorisme, il est clair qu’il subsiste un risque que des organismes gouvernementaux accèdent aux renseignements personnels de Canadiennes et de Canadiens détenus par toute organisation et ses fournisseurs de services – qu’ils soient canadiens ou américains – grâce à des dispositions légales canadiennes ou américaines.

La commissaire adjointe a conclu que la Loi ne peut pas empêcher une entreprise canadienne de transmettre les renseignements personnels de ses clients à une société mère située dans un autre pays. Toutefois, la Loi oblige les organisations à communiquer de façon transparente leurs pratiques de traitement des renseignements personnels ainsi qu’à protéger, par voie contractuelle et dans la mesure du possible, les renseignements personnels de leurs clients confiés à des fournisseurs de services étrangers. Le Commissariat a pour mandat de veiller à ce que les organisations respectent ces exigences. Dans le cas des plaintes présentées, les exigences ont été satisfaites.