Renseignements juridiques associés à la LPRPDE

Litiges récents

Affaire no 08-8003

DEVANT LA UNITED STATES COURT OF APPEALS FOR THE TENTH CIRCUIT

ACCUSEARCH, INC., faisant affaire sous le nom de Abika.com, et JAYPATEL,

défendeurs/appelants

c.

LA FEDERAL TRADE COMMISSION,

demanderesse/intimée

Appel du jugement de la United States District Court pour le district du Wyoming dans l’affaire no 06CV0105D, l’honorable William F. Downes

MÉMOIRE DÉPOSÉ À TITRE D’AMIE DE LA COUR PAR JENNIFER STODDART, COMMISSAIRE À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, À L’APPUI DE L’INTIMÉE ET EN CONFIRMATION DE LA DÉCISION DE LA COUR DE DISTRICT

Edward R. McNicholas
SIDLEY AUSTIN LLP
1501 K Street, N.W.
Washington, DC 20005
Téléphone : 202-736-8010
eMcNicholas@sidley.com

Avocat aux États-Unis pour l’amie de la Cour, la commissaire à la protection de la vie privée du Canada

Conformément à l’article 26.1 des Federal Rules of Appellate Procedure, l’avocat de l’amie de la Cour, la commissaire à la protection de la vie privée du Canada, déclare que la commissaire est une haute fonctionnaire indépendante du Parlement du Canada.

La demanderesse-intimée a consenti au dépôt du présent mémoire. Les défendeurs-appelants s’opposent à son dépôt.

Conformément à l’article 29 des Federal Rules of Appellate Procedure, l’amie de la Cour a produit, avec son mémoire, une requête demandant à la Cour d’autoriser le dépôt du mémoire.

Le mémoire a été rédigé par Daniel Caron, avocat canadien de la commissaire, par l’avocate principale Lisa Campbell et par l’avocate générale Patricia Kosseim, tous du Commissariat à la protection de la vie privée du Canada, en collaboration avec l’avocat de la commissaire aux États-Unis et de l'avocat inscrit au dossier pour ce mémoire, Edward McNicholas, qui est membre du Barreau de la Cour.
Les avocats canadiens sont membres en règle de leur Barreau provincial respectif au Canada, mais ils ne sont pas autorisés à exercer le droit devant les tribunaux des États-Unis.
L’avocat inscrit au dossier aux États-Unis à l?égard du présent mémoire reconnaît et assume la responsabilité professionnelle afférente au mémoire et il a lui-même contribué de façon importante à sa préparation.

DÉCLARATION DE DIVULGATION PAR UNE SOCIÉTÉ

DÉCLARATION RELATIVE AU CONSENTEMENT

DÉCLARATION RELATIVE AUX AVOCATS CANADIENS

LISTE DE JURISPRUDENCE ET DE TEXTES FAISANT AUTORITÉ

DÉCLARATION D’INTÉRÊT DE L’AMIE DE LA COUR

INFORMATIONS GÉNÉRALES SUR L’ENQUÊTE DE LA COMMISSAIRE CONCERNANT ACCUSEARCH

ARGUMENTATION

  1. LA COLLECTE, L’UTILISATION ET LA COMMUNICATION NON AUTORISÉES DE RENSEIGNEMENTS PERSONNELS CAUSENT PRÉJUDICE
  2. LA COLLECTE, L’UTILISATION ET LA COMMUNICATION NON AUTORISÉES DE RENSEIGNEMENTS PERSONNELS PAR DES ORGANISATIONS SITUÉES AUX ÉTATS-UNIS ONT DES EFFETS EXTRATERRITORIAUX SUR DES PERSONNES PHYSIQUES AU CANADA

CONCLUSION

CERTIFICAT DE PRÉSENTATION NUMÉRIQUE

CERTIFICAT DE CONFORMITÉ

ATTESTATION DE SIGNIFICATION

JURISPRUDENCE
  • Ben Ezra, Weinstein, & Co. v. America Online Inc.,
    206 F.3d 980 (10th Cir. 2000)
  • Chicago Lawyers' Committee. for Civil Rights UnderLaw, Inc. v. Craigslist,
    519 F.3d 666 (7th Cir. 2008)
  • Conboy v. AT&T Corp.,
    241 F.3d 242 (2d Cir. 2001)
  • Doe v. MySpace, Inc.,
    ____ F.3d.____, 2008 WL 2068064 (5th Cir., 16 mai 2008)
  • Fair Housing Council v. Roommates.Com, LLC,
    521 F.3d 1157 (9th Cir. 2008)
  • Lanphere & Urbaniak v. Colorado,
    21F.3d. 1508 (10th Cir. 1994)
  • PreferredNat'lIns. Co. v. Docusearch, Inc.,
    149N.H. 759, 829 A.2d 1068 (2003)
  • RandiA.J. v. Long Island Surgi-Center,
    842N.Y.S.2d 558 (N.Y. App. Div. 2007)
  • Remsburg v. Docusearch, Inc.,
    149 N.H. 148, 816 A.2d 1001 (2003)
  • In re Trans Union Corp. v. FTC,
    245 F.3d 809 (D.C. Cir. 2001)
  • U.S. West, Inc. v. FCC,
    182 F.3d 1224 (10th Cir. 1999)
LOIS
  • Communications DecencyAct, 47 U.S.C., alinéa 230a)
  • Cal. Civil Code, alinéa 1798.81.5c)
JURISPRUDENCE CANADIENNE
  • Lawson c. Accusearch Inc., [2007] 4 R.C.F. 314 (C.F.)
  • Malcolm c. Fleming, [2000] B.C.J. No. 2400 (B.C.S.C.)
  • Poirier c. Wal-Mart Canada Corp., [2006] B.C.J. No. 1725 (B.C.S.C.) (QL).
  • R. c. Dyment, [1988] 2 R.C.S. 417
  • Srivastava c. Hindu Mission of Canada (Quebec) Inc., [2001] J.Q. no 1913 (C.A.Q.)
LOIS CANADIENNES
  • Loi sur la protection des renseignements personnels (L.R.C.1985, ch. P-21)
  • Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)(L.C.2000, ch. 5)
AUTRES DOCUMENTS CANADIENS
DOCTRINE
  • Samuel D. Warren & Louis D. Brandeis, The Right to Privacy,
    4 Harv. L. Rev. 193 (1890)
AUTRES DOCUMENTS FAISANT AUTORITÉ

Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, est une haute fonctionnaire indépendante du Parlement du Canada. Le présent mémoire expose le point de vue du Commissariat, mais ne représente pas la position officielle du gouvernement canadien.

La commissaire à la protection de la vie privée du Canada surveille le respect de la Loi sur la protection des renseignements personnels (L.R.C. 1985, ch. P-21) et de la Loi sur la protection des renseignements personnels et les documents électroniques (L.C. 2000, ch. 5, ci-après désignée comme la LPRPDE) du Canada. Ces deux lois fédérales portent sur les pratiques de traitement des renseignements personnels utilisées respectivement par des institutions gouvernementales fédérales et par un vaste éventail d’organisations du secteur privé.

La LPRPDE présente une pertinence particulière dans le cadre du présent mémoire. En vertu de cette loi, la commissaire à la protection de la vie privée du Canada a pour mission de protéger les renseignements personnels recueillis, utilisés ou communiqués dans le cours d’activités commerciales, notamment les renseignements personnels qui circulent d’une province à l’autre ou d’un pays à l’autre dans le cadre de transactions commerciales. À titre de défenseure du droit à la vie privée et dans son rôle d'ombudsman, la commissaire tente de régler les plaintes déposées par des personnes ou de son propre chef contre des organisations du secteur privé. Pour ce faire, elle dispose de divers moyens visant à promouvoir le respect de la législation relative à la protection de la vie privée, notamment la sensibilisation du grand public, la recherche, les vérifications, les enquêtes et, dans certaines circonstances, le recours à la procédure judiciaire. Quatre éléments clés concernant la LPRPDE présentent un intérêt particulier pour le droit des États-Unis en général et, plus précisément, pour la présente affaire :

  1. La LPRPDE protège toutes les personnes physiques dont des renseignements personnels sont recueillis, utilisés ou communiqués par des organisations assujetties à la LPRPDE en raison des liens réels et substantiels qui les rattachent au Canada. Cette protection vise les renseignements personnels non seulement des Canadiens, mais aussi de toutes les personnes physiques touchées, y compris des citoyens américains et des étrangers en général.
  2. La LPRPDE correspond aux normes du droit canadien, reconnues comme étant comparables aux normes de protection de données de l’Union européenne. Le 20 décembre 2001, la Commission européenne a rendu une décision selon laquelle la LPRPDE offre un niveau de protection adéquat aux termes du paragraphe 25(2) de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l?égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, 23.11.1995, aux pages 31 à 50, la Commission autorisant en conséquence le transfert de renseignements personnels entre les États membres de l’Europe et le Canada, en vue de leur traitement. Fait à souligner, l’Union européenne n’a pas reconnu un tel niveau de protection aux lois régissant la protection de la vie privée aux États-Unis, de sorte que les entreprises des États-Unis doivent déployer des efforts parfois élaborés pour se conformer aux règles de circulation des renseignements personnels entre l’Espace économique européen et les États-Unis.
  3. La LPRPDE a pour objet de protéger les données personnelles de manière à tenir compte de la réalité du commerce actuel, de plus en plus marqué par les transactions virtuelles électroniques, rendues possibles grâce aux progrès rapides dans la technologie de l’information. Plus précisément, l’article 3 de la LPRPDE prévoit que l’objet de cette partie est de « fixer, dans une ère où la technologie facilite de plus en plus la circulation et l?échange de renseignements, des règles régissant la collecte, l’utilisation et la communication de renseignements personnels d’une manière qui tient compte du droit des individus à la vie privée à l?égard des renseignements personnels qui les concernent et du besoin des organisations de recueillir, d’utiliser ou de communiquer des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances ».
  4. La LPRPDE comprend une autre disposition qui permet aux organisations de transférer des renseignements personnels à des tierces parties en vue de leur traitement, y compris à des tierces parties dans d’autres juridictions, pourvu que l’organisation en cause fournisse, par voie contractuelle ou autre, un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie (LPRPDE, principe 4.1.3).

Un jugement de la Cour confirmant que les organisations des États-Unis ne peuvent pas librement échanger des renseignements personnels sans consentement renforcera de façon significative la protection de la vie privée aux États-Unis. Il donnera également aux organisations établies au Canada le niveau d’assurance requis pour continuer à impartir des activités aux organisations des États-Unis et à faire autrement affaire avec elles. La certitude et la prévisibilité qu’apporte le fait de savoir que le Canada et les États-Unis ont en commun certaines normes essentielles en matière de protection des renseignements personnels contribueront à soutenir et à faciliter les relations dans le domaine des échanges commerciaux.

La question est d’autant plus importante que la frontière entre le Canada et les États-Unis est particulièrement poreuse en ce qui touche la circulation transfrontalière de données personnelles. La technologie de l’information se développe rapidement et elle a une incidence profonde sur la capacité d'une personne physique à contrôler la façon dont d’autres personnes, dans d’autres juridictions, utilisent des renseignements personnels qui la concernent. Non seulement l’absence de frontière de l’Internet a-t-elle élargi les marchés accessibles aux entreprises commerciales, elle permet aussi à des organisations étrangères de recueillir, d’utiliser et de communiquer facilement des renseignements personnels concernant des Canadiens aussi bien que des Américains, avec ou sans leur consentement. La prolifération des échanges de relevés de téléphone confidentiels constitue un exemple flagrant de ce phénomène grandissant.

La commissaire à la protection de la vie privée du Canada a elle-même été victime de la collecte, de l’utilisation et de la communication inappropriées de renseignements personnels par un courtier en données établi aux États-Unis. En novembre 2005, un journaliste au service d’un magazine canadien a acheté de Locatecell.com des relevés d’appels téléphoniques effectués par la commissaire à la protection de la vie privée, relevés que Locatecell.com avait elle-même illégalement obtenus de trois sources établies au Canada – en l’occurrence, trois des plus importantes entreprises de télécommunications canadiennes. À cette époque, Locatecell.com appartenait à une société dont le siège était au Tennessee et elle exerçait ses activités depuis la Floride au moyen d’un numéro de téléphone de la Caroline du Nord. En enquêtant sur les trois entreprises canadiennes de télécommunications en cause, le Commissariat à la protection de la vie privée du Canada a découvert que le commerce de Locatecell consistait fournir à des clients, contre paiement, l’accès à des renseignements personnels sur d’autres personnes, généralement sans le consentement des personnes concernées. Voir Commissaire à la protection de la vie privée du Canada, Résumé de conclusions d’enquête en vertu de la LPRPDE #372, Les communications aux courtiers en données exposent les faiblesses de mesures de sécurité en télécommunications.

Dans cette affaire, le courtier en données des États-Unis a eu recours à l?« ingénierie sociale », qu'on appelle aussi « utilisation de faux-fuyants », pour tromper des représentants du service à la clientèle de trois entreprises canadiennes de télécommunications et les amener à communiquer des relevés d’appels de clients, ces représentants croyant à tort qu’ils traitaient avec le véritable titulaire du compte en question, ce qui n?était pas le cas. À la suite de poursuites subséquentes engagées contre les exploitants de Locatecell.com, tant par les entreprises de télécommunications que par les autorités responsables de d’application de la loi, Locatecell.com s’est vue imposer des amendes et des injonctions lui interdisant de tenter à nouveau d’obtenir les renseignements privés concernant la clientèle d’entreprises de télécommunications. Voir, par exemple, Cingular Wireless, LLC, v. Data Find Solutions, Inc., No. 1:05-CV-03269 (N.D. Ga. 2007) (ordonnance du 9 novembre 2006 accordant des dommages-intérêts); Cellco Partnership v. Data Find Solutions, Inc., No. 3:06-CV-00 326 (D.N.J. 2007) (ordonnance du 20 avril 2007 portant jugement sur consentement et injonction permanente); Attorney General v. Data Finds Solutions, Inc., 06AC-CC00067 (Cole Cty. Mo. Cir. Ct. 2007) (ordonnance du 23 juillet 2007 accordant des dommages-intérêts).

La commissaire soumet le présent mémoire parce que la décision de la Cour aura des répercussions directes non seulement sur le droit à la vie privée des personnes protégées par le droit canadien, qu’elles soient canadiennes, américaines ou d’une autre nationalité, mais aussi sur la réputation commerciale d’entreprises canadiennes qui sont victimes de ces tactiques illicites. La reconnaissance, par la Cour, de l’illégalité de ces pratiques et du tort qu’elles causent favorisera aussi la coopération internationale entre les organismes de réglementation du Canada et des États-Unis en rehaussant l’homogénéité dans l’approche des deux administrations voisines. L’existence de normes de base communes et d’approches homogènes dans l’application de ces normes facilitera en bout de ligne la circulation transfrontalière de données personnelles liées aux échanges commerciaux, essentielle à l?économie nord-américaine de l’information. Ces éléments fourniront l’assurance nécessaire aux organisations qui envisagent l’impartition de services de traitement de données sur le territoire de nos voisins du Sud et stimulera la confiance dont les personnes physiques ont besoin pour faire des affaires par Internet.

En juin 2004, le Commissariat à la protection de la vie privée du Canada (« CPVP ») a reçu une plainte de la directrice de la Clinique d’intérêt public et de politique d’Internet du Canada selon laquelle Accusearch, Inc. (« Accusearch ») avait recueilli, utilisé et communiqué les renseignements personnels de Canadiennes et de Canadiens à leur insu et sans leur consentement, et avait recueilli, utilisé et communiqué les renseignements personnels de Canadiennes et de Canadiens à des fins inappropriées. La plaignante se fondait sur les éléments de preuve qu’elle avait recueillis après avoir commandé à Abika.com deux recherches sur elle-même : une recherche sur un casier judiciaire et un profil psychologique. On lui a fait payer environ 100 $ US et on ne lui a demandé aucune preuve d’identité afin de vérifier qui elle était et de s’assurer qu’il y avait eu consentement.

Selon la plainte portée contre Accusearch, sur laquelle le CPVP enquête, Accusearch recueille, utilise et communique des renseignements personnels à des fins inappropriées, à l'insu et sans le consentement des personnes concernées et sans vérifier l’identité du demandeur. Certains des renseignements recueillis sont hautement sensibles; par exemple des dossiers médicaux, des rapports de police et des relevés téléphoniques. La communication de ce type de renseignements personnels, contre paiement, sans le consentement de la personne concernée pourrait contrevenir au droit canadien et au droit américain.

Lors d’une enquête préliminaire, le CPVP a appris qu’Abika.com offrait un certain nombre de services dans un but lucratif, notamment : (i) des services de vérification des antécédents, y compris des casiers judiciaires, des dossiers du tribunal, des antécédents scolaires, des rumeurs, l’adresse actuelle et les adresses antérieures sur 20 ans, des rapports de police, des droits de propriété, des états de service, des privilèges fiscaux, des jugements civils, des antécédents de conducteur d’automobile, de même que des relevés de compte de téléphone ou de cellulaire; (ii) des profils psychologiques, y compris les traits de personnalité, les préférences en tant que consommateur, de même que les préférences sentimentales; (iii) le couplage de courriels ou de messages instantanés à des adresses ou des numéros de téléphone, ou de nouvelles adresses électroniques à des anciennes; (iv) des numéros de téléphone ou de cellulaire confidentiels; (v) des détails sur les appels d’arrivée ou sortants provenant de n’importe quel numéro de téléphone; (vi) des recherches sur les plaques d’immatriculation pouvant conduire au nom, à l’adresse, aux antécédents de conducteur d’automobile et à la situation sur le plan des assurances.

Au cours de cette enquête préliminaire, le CPVP a communiqué avec Accusearch afin d’obtenir les coordonnées de ses sources canadiennes, et Accusearch a refusé de les révéler. Ne pouvant compter sur la collaboration d’Accusearch aux États-Unis, ni exercer son pouvoir de contraindre à la production d?éléments de preuve à l’extérieur du Canada, la commissaire adjointe à la protection de la vie privée n'a pu recueillir les renseignements nécessaires pour établir des liens réels et substantiels avec le Canada. Par conséquent, n’ayant pas compétence pour poursuivre l’enquête, la commissaire adjointe a fermé le dossier. Voir la Lettre de la commissaire adjointe à la protection de la vie privée du Canada (LPRPDE), Questions- clés : Courtier en données en ligne, en date du 18 novembre 2005

La plaignante a toutefois demandé le contrôle judiciaire de la décision de mettre un terme au dossier d’enquête (ce que permet le droit canadien, mais non le droit américain). Dans Lawson c. Accusearch Inc., [2007] 4 R.C.F. 314 (C.F.), la Cour fédérale du Canada a statué qu’en dépit des difficultés pratiques, la commissaire a compétence pour enquêter sur une organisation établie à l?étranger quand celle-ci a un lien réel et substantiel avec le Canada, ce qui, selon la Cour, était effectivement le cas en l’espèce. Dans cette affaire, la plaignante était une citoyenne canadienne résidant et travaillant au Canada, la transmission et la réception des renseignements personnels avaient eu lieu entre les États-Unis et le Canada et, même si l’on ne pouvait lier les données en question à des sources canadiennes, la Cour a conclu qu’une bonne partie des renseignements devait provenir du Canada. Conséquemment, la plainte contre Accusearch a été renvoyée devant le CPVP pour enquête, laquelle est actuellement en cours.

Au Canada, le droit à la vie privée repose sur le concept fondamental que les personnes méritent d'exercer un certain contrôle sur la façon dont les organisations recueillent, utilisent et communiquent les renseignements personnels qui les concernent. Cette notion de droit à la vie privée, laquelle tire son origine du droit fondamental à l’autonomie et se trouve au c’ur de la liberté dans un État moderne, a été inspirée par la doctrine américaine et adoptée par la Cour suprême du Canada. (R. c. Dyment, [1988] 2 R.C.S. 417, le juge Lamer, par. 17 (paraphrasant Alan F. Westin, Privacy and Freedom (1970) aux p. 349 et 350)).

Les mêmes principes relatifs à l?équité dans le traitement de l'information, largement acceptés, sont au centre des lois sur la protection de la vie privée au Canada et aux États-Unis, de même qu’en Europe, en Australie et dans plusieurs autres parties du monde. Ces principes, qui ont pour la première fois été formulés en 19731 par le U.S. Department of Health, Education and Welfare, figurent maintenant dans les Lignes directrices régissant la protection de la vie privée et les flux transfrontièrs de données de caractère personnel2 de l’Organisation de coopération et de développement économiques.

Peu importe la façon dont le régime juridique conceptualise la protection de la vie privée et la façon dont les garanties précises y sont exprimées, il ne doit faire aucun doute que la collecte, l’utilisation ou la communication de renseignements personnels sans consentement peuvent avoir des effets tangibles et préjudiciables, surtout compte tenu des risques sans cesse croissants de vol d’identité et de fraude.

La prétention d’Accusearch selon laquelle aucun préjudice n’a découlé du fait qu’elle a transmis des relevés téléphoniques ne tient pas compte de la gravité des préjudices subis par les victimes de vol d’identité et de fraude. En fait, Accusearch laisse entendre qu’elle devrait bénéficier, pour les gestes qu’elle a posés, d’une immunité et d’une garantie relatives à la liberté d’expression. Accepter ces arguments créerait cependant un écart important entre le niveau de protection accordé à la vie privée au Canada et celui reconnu par les États-Unis, et pourrait nuire sérieusement à la circulation transfrontalière des données, essentielle au commerce électronique.

Cette affaire ne vise pas seulement à déterminer si Accusearch s’est livrée à des pratiques commerciales déloyales. Essentiellement, elle porte sur la capacité des Canadiens et des Américains à protéger leur identité et sur le respect qu’il convient de leur accorder quant à la façon dont les organisations, au Canada et aux États-Unis, recueillent, utilisent et communiquent les renseignements personnels qui les concernent, notamment les relevés téléphoniques confidentiels.

I. LA COLLECTE, L’UTILISATION ET LA COMMUNICATION NON AUTORISÉES DE RENSEIGNEMENTS PERSONNELS CAUSENT PRÉJUDICE.

L’utilisation abusive de renseignements personnels peut donner lieu à un préjudice concret que les organismes de réglementation doivent pouvoir empêcher afin de protéger les consommateurs. Compte tenu de la capacité actuelle de ce qu’il est convenu d’appeler les « infomédiaires » à mettre en corrélation des renseignements obtenus de nombreuses sources variées, et de la multitude d’organisations qui ont recours à ces courtiers en données, les renseignements personnels – qu’ils soient ou non exacts – peuvent être versées dans plusieurs autres bases de données accessibles à autrui sans autorisation, ce qui peut avoir des effets préjudiciables graves.

Dans les faits, les atteintes à la vie privée ont toujours donné lieu, et devaient donner lieu, à des recours en dommages-intérêts. On trouve même dans l’influent article de Warren et Brandeis le commentaire explicite suivant :

[traduction] [l]es recours pour atteinte au droit à la vie privée s’inspirent également de ceux qui sont exercés en droit de la diffamation et en droit de la propriété littéraire et artistique, à savoir : 1. Une action en dommages-intérêts dans tous les cas. Même en l’absence de dommages-intérêts spéciaux, une indemnité substantielle pourrait être accordée pour préjudice d’affection, comme dans l’action pour calomnie et libelle. 2. Une injonction, peut-être dans une catégorie très limitée de cas.

Samuel D. Warren et Louis D. Brandeis, The Right to Privacy, 4 Harv. L. Rev. 193, 219 (1890) (note omise). Cela dit, la possibilité d’engager des poursuites pour atteinte à la vie privée est tout à fait compatible avec le droit des délits depuis longtemps établi, même à l?époque, en common law. En fait, le principal délit en matière de protection de la vie privée, l’intrusion dans l’intimité, repose essentiellement sur l’idée que la violation de l’intimité est en soi juridiquement réparable, et partant, que le droit reconnaît la protection de l’essence même de la vie privée, présente dans l’intimité. Cependant, les torts causés par les atteintes à la vie privée n’ont augmenté qu’avec l’arrivée des nouvelles formes de vol d’identité, inconnues en common law.3

Dans les circonstances, le plaidoyer d’Accusearch selon lequel elle n’a fait que fournir des renseignements inoffensifs est dénué de réalisme. Une affaire qui constitue un exemple particulièrement marquant des préjudices très réels dont il est question est celle concernant Docusearch, Inc., un courtier en information de la Floride, qui a vendu des renseignements personnels, acquis par l’intermédiaire d’un sous-contractant par un faux-semblant, à quelqu’un qui s’est ensuite servi des renseignements pour assassiner une femme. Par conséquent, la Cour suprême du New Hampshire a statué, dans Remsburg c. Docusearch, Inc., 149 N.H. 148, 816 A.2d 1001 (2003), que les courtiers en information et les détectives privés peuvent être tenus responsables des préjudices causés par la vente de renseignements personnels, et elle a souligné deux risques en particulier qui sont liés à la communication non autorisée de renseignements : le harcèlement et le vol d’identité. Comme l’a reconnu cette cour :

[traduction] Les menaces que constituent le harcèlement et le vol d’identité nous amènent à conclure que le risque de comportement criminel est suffisamment prévisible pour qu’il incombe à un détective de faire preuve de diligence raisonnable lorsqu’il communique les renseignements personnels d’un tiers à un client. Et nous concluons en ce sens. Cela est d’autant plus vrai lorsque, comme en l’espèce, le détective ne connaît pas le client ou ne sait pas dans quel but le client cherche à obtenir ces renseignements.

Remsburg, 149 N.H., à la page 155, 816 A.2d., à la page 1008.

De même, dans plusieurs affaires récentes, les tribunaux canadiens ont accordé des dommages-intérêts à des personnes dont la vie privée a été violée en considération de la nature tangible des préjudices subis malgré les difficultés pour attribuer une valeur pécuniaire à ces préjudices. Par exemple, dans Malcolm c. Fleming, un demandeur s’est vu accorder 15 000 $ en dommages-intérêts généraux pour atteinte à la vie privée résultant de l’enregistrement vidéo effectué subrepticement dans plusieurs pièces d’une maison, y compris dans la salle de bains, ainsi que 35 000 $ à titre de dommages-intérêts punitifs. Voir Malcolm c. Fleming, [2000] B.C.J. no 2400 (C.S.C.-B.). Dans Srivastava c. Hindu Mission of Canada (Quebec) Inc., on a remédié à la mise sous écoute électronique du téléphone du temple afin d’enregistrer clandestinement les conversations de son prêtre par l’octroi de 15 000 $ en dommages-intérêts pour violation de la vie privée et de 5 000 $ supplémentaires à titre de dommages exemplaires. Voir Srivastava c. Hindu Mission of Canada (Quebec) Inc., [2001] J.Q. no 1913 (C.A.Q.). Dans Poirier c. Wal-Mart Canada Corp., le juge Arnold-Bailey a examiné la jurisprudence relative aux délits civils d’atteinte à la vie privée en droit provincial et aux délits analogues en common law et il a constaté que l?éventail des dommages-intérêts pour atteinte à la vie privée allait de 300 $ à 35 000$. Voir Poirier c. Wal-Mart Canada Corp., [2006] B.C.J. no 1725, au paragraphe 105 (C.S.C.-B.) (QL).

Accusearch prétend se fonder sur des décisions qu’elle interprète comme statuant que les parties privées qui réclament des dommages pécuniaires ne peuvent, en général, présumer de l’existence de préjudices indemnisables résultant du transfert non autorisé de renseignements personnels. Voir, p. ex., Conboy c. AT&T Corp., 241 F.3d 242 (2d Cir. 2001). Cependant, la FTC ne fait pas reposer cette affaire sur de telles présomptions de préjudice. Le vol d’identité est une activité frauduleuse de plus en plus courante qui est de plus en plus lucrative, qui traverse facilement les frontières et qui fait de nombreuses victimes. Ce sont notamment les personnes qui subissent des préjudices financiers et une atteinte à leur dignité lorsque leur identité et leurs données personnelles sont volées à leur insu; les entreprises dont la réputation est entachée en raison du vol de données sur les clients; les institutions commerciales et financières qui sont responsables de minimiser les risques ou d’indemniser les pertes subies; ainsi que les contribuables dont la confiance en leur gouvernement est ébranlée lorsque de fausses identités sont utilisées pour obtenir du gouvernement des documents ou des prestations.

Ceci dit, les préjudices que cause l’appropriation illicite de renseignements personnels ne dépendent pas forcément de ce que certaines conséquences se concrétisent : en soi, l'atteinte à la vie privée peut être considérée dans certaines circonstances comme un préjudice justifiant une indemnisation. Voir Randi A.J. v. Long Island Surgi-Center, 842 N.Y.S.2d 558 (N.Y. App. Div. 2007), aux pp. 566-567 (où un centre médical ayant communiqué des renseignements confidentiels au sujet d’un avortement à la mère d’une patiente, alors que cette dernière avait expressément demandé qu’on s’abstienne de la joindre à la maison, a été condamné à verser des dommages-intérêts punitifs.) Ainsi que la Cour suprême du New Hampshire l’a reconnu dans le cadre d’un litige incident au différend impliquant Docusearch, certains des délits civils de common law en matière de protection de la vie privée ne requièrent pas de preuve d’un préjudice au delà de la simple atteinte à la vie privée. Preferred Nat?l Co. v. Docusearch, Inc., 149 N.H. 759, aux pp. 766-767, 829 A.2d 1068, 1075 (2003). Par exemple, [traduction] « le demandeur, dans une action pour intrusion dans l'intimité, n’a pas à prouver d’autre préjudice que l’intrusion elle-même ». Ibid. (où l’on cite le commentaire du Restatement (Second) of Torts, art. 652H, à la p. 402 (1977) : [traduction] « [Q]uisubit une intrusion alors qu’il est seul ou reclus – peut obtenir des dommages-intérêts pour la privation de l?état de réclusion. ») De plus, comme l’indiquent clairement ces textes faisant autorité, la fraude n’est pas un élément requis pour établir qu’il y a eu violation du droit d’une personne à la vie privée. On peut porter atteinte à ce droit à la vie privée chaque fois que des renseignements personnels sont recueillis, utilisés ou communiqués à l’insu et sans le consentement de la personne concernée et (ou) sans pouvoir invoquer d’autorisation d’exception prévue à la loi.

II. LA COLLECTE, L’UTILISATION ET LA COMMUNICATION NON AUTORISÉES DE RENSEIGNEMENTS PERSONNELS PAR DES ORGANISATIONS SITUÉES AUX ÉTATS-UNIS ONT DES EFFETS EXTRATERRITORIAUX SUR DES PERSONNES PHYSIQUES AU CANADA.

Des préjudices peuvent être causés par la collecte, l’utilisation et la communication non autorisées de renseignements personnels par des organisations américaines qui se livrent activement à la vente de renseignements personnels concernant des individus se trouvant au Canada. Il est particulièrement difficile pour les autorités canadiennes de lutter contre les effets qu’a ce genre d’activités sur le droit à la vie privée lorsque les données sont vendues à d’autres par l’entremise d’Internet.

L’argument qu’a tenté de faire valoir Accusearch, à savoir que la protection de ses actions était nécessaire afin [traduction] « de promouvoir la liberté d’expression et le libre commerce dans Internet » (mémoire, p. 16) fait abstraction du caractère illégal des moyens grâce auxquels ces renseignements sont obtenus. Les actes des organisations américaines qui vendent ou communiquent des renseignements personnels peuvent causer du tort non seulement aux Américains, mais également aux citoyens d’autres pays, dont le Canada, ce qui, en définitive, mine la confiance des consommateurs envers Internet. Les entreprises qui ont recours à la fraude pour mettre la main sur des dossiers personnels ne font pas qu’enfreindre la loi, elles minent la confiance que les consommateurs ont à l’endroit du marché légitime que propose Internet et face à la sécurité des données sensibles qui les concernent.

La Cour devrait rejeter tout argument qui donne à penser qu’elle devrait interpréter la Communications Decency Act, 47 U.S.S. art. 230(a) (loi sur la décence dans les communications), de façon à soustraire la conduite d’Accusearch à l’application de la loi et, ce faisant, à transformer les États-Unis en un territoire sans lois où les infomédiaires n’ont pas à répondre des conséquences prévisibles de leurs actes. D’autres tribunaux américains ont récemment indiqué, de façon non équivoque, que le Congrès n’avait pas voulu que règne une telle absence de règles. Dans l’arrêt Fair Housing Council v. Roommates.Com, LLC, 521 F.3d 1157, 1169-72 (9th Circ. 2008) (formation plénière), la cour d’appel du neuvième circuit a précisément rejeté le genre d’immunité généralisée que suggère l’interprétation défendue par Accusearch. Au lieu de cela, elle a statué que la Communications Decency Act n’excluait pas la possibilité d’intenter une action contre un site en ligne qui concevait des formules permettant et facilitant la recherche de colocataires selon des critères potentiellement discriminatoires, telle que la recherche en fonction de critères raciaux. Ibid. Ce faisant, la cour a souligné que son interprétation de la Communications Decency Act était entièrement compatible avec l’arrêt Ben Ezra, Weinstein, & Co. v. America Online Inc., 206 F.3d 980 (10th Cir. 2000), dans lequel la Cour a reconnu que la défenderesse, qui avait relayé des cours du marché inexacts, avait droit à l’immunité puisqu’elle [traduction] « n?était pas la cause des erreurs dans les cours des valeurs et n’avait ni encouragé ni sollicité d’autres personnes afin qu’elles produisent des données erronées ». Fair Housing Council v. Roommates.Com, LLC, 521 F.3d, à la p. 1172, note 33 (pour une explication de Ben Ezra 206F.3d., à la p. 985, note 5). Le fait de reconnaître que l’immunité prévue par la CDA comporte des limites en présence d’activités en soi criminelles ne contredit pas le respect intégral que commande la CDA pour un telle immunité dans les cas beaucoup plus fréquents d’utilisation en majeure partie légale d’un service sur le Web, tel que l’affichage de renseignements sur le site MySpace. Voir Doe v. MySpace Inc, Inc., ____F.3d._____, 2008 WL 2068064 (5th Cir., 16 mai 2008) (où la cour a statué que l’immunité prévue par la CDA exclut la possibilité d’intenter une action pour négligence fondée sur la présence de faux renseignements dans MySpace); voir aussi Chicago Lawyers? Committee for Civil Rights Under Law, Inc., v. Craigslist, Inc., 519 F.3d. 666, aux pp. 671-672 (7th Cir. 2008) (où la cour a reconnu que l’immunité prévue par la Communications Decency Act s’appliquait à Craigslist, qui n’avait ni encouragé ni appuyé les comportements illégaux). Toutefois, dans ce dernier cas, le seul moyen dont disposait les tiers pour obtenir les relevés téléphoniques était de tromper ou de frauder les compagnies de télécommunication.

Accusearch tente également de s’appuyer sur U.S. West, Inc., v. FCC, 182 F.3d. 1224 (10th Cir. 1999), à la p. 1235, pour faire valoir que ses droits à la liberté d’expression sont en cause. Dans U.S. West, la Cour a reconnu que la réglementation fédérale ne pouvait limiter inutilement le droit d’une compagnie de téléphone de s’adresser ouvertement et de manière non trompeuse à ses propres clients. Ibid. S’il est vrai que les remarques incidentes formulées dans U.S. West, Inc. laissent entendre que le certain [traduction] « niveau général d’inconfort qu’entraîne le fait de savoir que des gens peuvent facilement avoir accès à des renseignements à notre sujet ne démontre pas forcément l’existence d’un intérêt étatique substantiel » (U.S. West, Inc., 182 F.3d., à la p. 1235), la FTC a produit en l’espèce une preuve importante des préjudices réels subis par les consommateurs, lesquels dépassent largement ceux qui étaient en cause dans U.S. West, Inc. En outre, la Cour a reconnu que le gouvernement avait fortement intérêt à protéger la vie privée contre de tels préjudices, qui sont réels. Voir Lanphere & Urbaniak v. Colorado, 21 F.3d. 1508, aux pp. 1514-1515 (10th Cir. 1994). De la même façon, la cour d’appel du district de Columbia a jugé que la protection des renseignements personnels ne compromettait pas nécessairement la liberté d’expression. Voir p. ex. : In re: Trans Union Corp. v. FTC, 245 F.3d. 809 (D.C. Cir. 2001) (où la cour d’appel a confirmé la validité des restrictions limitées imposées par la Fair Credit Reporting Act en matière d’utilisation des dossiers de crédit et a rejeté les contestations fondées sur le premier amendement).

Si on confirmait le principe voulant que les courtiers en données ne disposent d’aucune immunité ni d’aucun droit de nature constitutionnelle lorsqu’il s’agit de tirer profit, directement ou indirectement, de l'extorsion et d'autres utilisations illicites de données personnelles, ce genre d’activité s’en trouverait adéquatement découragé, et ce, sans porter atteinte à l’immunité des entreprises qui, comme les fournisseurs d’accès Internet, se contentent de relayer des données pour le compte d’autrui.

Le respect de la protection de la vie privée des consommateurs améliorera la circulation des renseignements dans Internet au lieu de lui nuire. Plus particulièrement, grâce à un tel résultat, les entreprises canadiennes respectueuses des lois pourraient plus facilement confier à d’autres le traitement des données et faire affaire en ligne avec ces entités. En vertu de la LPRPDE, les organisations sont responsables des renseignements personnels qui relèvent d’elles et cette responsabilité demeure même à l?égard des renseignements personnels qu’elles transfèrent à des tiers chargés de leur traitement, indépendamment du territoire où ces tiers exercent leurs activités. Ces organisations doivent s’assurer, au moyen de contrats ou autrement, que les tiers en question offrent un degré de protection comparable avant même d’envisager de leur transférer des données personnelles. De telles normes sont aussi présentes dans les lois aux États-Unis. Voir p. ex. : Cal. Civil Code § 1798.81.5(c) (code civil de la Californie : [traduction] « L’entreprise qui communique des renseignements personnels concernant un résident de la Californie aux termes d’un contrat passé avec un tiers non affilié exige de ce tiers qu’il s’engage, par contrat, à mettre en ’uvre et à maintenir en place des procédures et des pratiques en matière de sécurité qui soient raisonnables et appropriées compte tenu de la nature des renseignements, afin de protéger les renseignements personnels contre l’accès, la destruction, l’utilisation, la modification ou la communication non autorisés. »)

Les judicieux principes relatifs à l’information que consacrent tant le droit canadien que le droit américain exigent donc que les organisations soient au courant des pratiques en matière d?échange de données des sociétés avec lesquelles elles font affaire ainsi que des lois et des politiques du ressort dans lequel elles mènent des activités. L’approbation judiciaire d’une application vigoureuse de la loi par la FTC pour protéger les renseignements personnels hausserait le degré d’assurance dont ont besoin les sociétés canadiennes qui font affaire avec les États-Unis. Et cela servirait l’intérêt public des deux pays, en facilitant la circulation internationale de données, en favorisant des approches uniformes et des normes prévisibles, et en facilitant la collaboration entre organismes de réglementation.

De fait, le volume des échanges internationaux de biens entre le Canada et les États-Unis est plus important qu’entre n’importe quels deux autres pays au monde4. La libéralisation des échanges a grandement accru la circulation de biens et de services entre les États-Unis et le Canada. Par voie de conséquence, la circulation transfrontalière de renseignements personnels a aussi beaucoup augmenté. Entre les deux pays – et d’ailleurs, à l?échelle internationale ?, l’ampleur et la rapidité et le nombre d’entités qui ont accès à des renseignements personnels s’accroît à un rythme sans précédent, et qui ne montre aucun signe de ralentissement. Bien que des sociétés puissent être effectivement situées au Canada ou aux États-Unis, le besoin d’avoir accès à des renseignements personnels de l’un ou l’autre pays est devenu beaucoup plus courant. La mondialisation, l’impartition, les progrès technologiques et l’intégration économique contribuent tous à la facilité avec laquelle des renseignements personnels circulent maintenant entre les États-Unis et le Canada. De ce fait, la protection de la vie privée dans les contextes de la collecte, de l’utilisation et de la communication des renseignements personnels d’un individu est une source de préoccupation importante commune aux systèmes juridiques des États-Unis et du Canada.

La protection de la vie privée, à l’instar d’autres questions de politique publique, subit des transformations causées par la mondialisation. Le commerce électronique à l?échelle de la planète pose des défis à tous les gouvernements nationaux qui tentent de protéger la vie privée et les consommateurs. Tout comme la Federal Trade Commission, la commissaire à la protection de la vie privée du Canada se préoccupe grandement des incidences sur la protection de la vie privée de la collecte, de l’utilisation et de la communication systématiques, non autorisées et parfois frauduleuses de renseignements personnels par des organisations qui font du profilage et du commerce de données. Lorsque des renseignements personnels traversent les frontières, les individus peuvent perdre le contrôle de leurs données personnelles, et les organismes de réglementation peuvent perdre la capacité de faire respecter des normes de protection nationales relativement à ces données. Cette convergence des problématiques porte à croire qu’il est mutuellement avantageux pour les États qui tentent de réglementer la circulation de données personnelles d’adopter des approches communes, d?échanger de l'information et de mettre en commun leur expertise en matière d’exécution des lois au-delà des frontières. Les organismes de protection des données et d’autres organismes s’escriment avec des plaintes et des enquêtes qui résultent des activités d’organisations au-delà de nos frontières, mais qui ont des incidences sur les renseignements personnels d’individus dans nos juridictions respectives. S’ils veulent être efficaces dans un contexte où des données circulent à l?échelle mondiale, les organismes de réglementation doivent offrir aux individus des voies de recours efficaces et doivent poursuivre les organisations qui violent des principes très élémentaires de protection de la vie privée et des renseignements personnels peu importe où elles mènent leurs activités.

La confirmation du jugement de la District Court en l’espèce fera clairement savoir que le trafic illicite de renseignements personnels ne sera pas toléré. Il s’ensuivra un plus grand respect des droits des personnes à la protection de leurs renseignements personnels que détiennent les sociétés avec lesquelles elles choisissent de faire affaire et par les gouvernements qui les desservent. Les organisations légitimes seront mieux protégées contre les tentatives illégales de tiers de s’infiltrer dans leurs fonds de données personnelles, ainsi que contre les coûts financiers et les atteintes à leurs réputations que cela suppose. Les relations commerciales entre le Canada et les États-Unis continueront de procurer leurs avantages dans un climat de confiance étayé par la certitude et la prévisibilité liées aux normes élémentaires de protection des données qu’ils ont en commun et par les démarches complémentaires des deux pays dans leur application respective de ces normes.

Pour les motifs qui précèdent, l'amie de la Cour demande à celle-ci de confirmer le jugement de la District Court

Le tout soumis respectueusement,

/s/ Edward R. McNicholas
___________________________

Edward R. McNicholas
sidley austin llp
1501 K Street, N.W.
Washington, DC 20005
Tél. : 202-736-8010
eMcNicholas@sidley.com

Avocat aux États-Unis pour l’amie de la Cour, la commissaire à la protection de la vie privée du Canada

Conformément à l’ordonnance générale de la Cour déposée le 10 août 2007, In re : Electronic Submission of Documents and Conversion to an Electronic Case Management System (Concernant le dépôt de documents par voie électronique et la conversion à un système électronique de gestion des dossiers), no 95-01, le mémoire qui précède, présenté par la commissaire à la protection de la vie privée du Canada en qualité d’amie de la Cour, a été soumis à la Cour par courrier électronique à esubmission@cal_0.uscourts.gov en format de document portable (PDF), avec la requête pour permission de déposer le mémoire. L’original du mémoire et sept (7) copies papier ont également été transmis au greffier de la Cour par l’entremise du service de livraison express « jour suivant» de la poste des États-Unis, accompagnés d’une copie papier de la requête pour permission de déposer.

Conformément à l’ordonnance, l’avocat soussigné atteste par les présentes qu’il n’y a eu aucune épuration des textes pour des motifs liés à la protection de la vie privée et que chaque document déposé par voie électronique est une copie conforme du document déposé auprès du greffier. Il est également attesté qu’une vérification de la présence de virus a été faite pour tous les documents déposés par voie électronique au moyen de la version la plus récente d’un programme commercial de détection des virus, McAfee Viruscan, en utilisant la version 5316.0000, mise à jour le 12 juin 2008, et que, selon ce programme, ces documents sont exempts de virus.

/s/ Edward R. McNicholas
___________________________

Edward R. McNicholas
sidley austin llp
1501 K Street, N.W.
Washington, DC 20005
Tél. : 202-736-8010
eMcNicholas@sidley.com

Le présent mémoire respecte les restrictions relatives à l’impression de caractères parce qu’il est imprimé en Times New Roman de taille 14. Voir Fed. R. App. P. 32(a)(5); 10th Cir.R.32.1.

Tel que l’exige la règle Fed. R. App. P. 32(a)(7)(C), j’atteste que les interlignes du présent mémoire sont proportionnels et que celui-ci renferme5 078 mots, si l’on exclut les parties du mémoire qui font l’objet d’une exemption aux termes de la règle Fed. R. App. P. 32(a)(6). J’ai obtenu ce compte de mots à l’aide du logiciel de traitement de texte Microsoft Word 2003 que je possède.

/s/ Edward R. McNicholas
___________________________

Edward R. McNicholas
sidley austin llp
1501 K Street, N.W.
Washington, DC 20005
Tél. : 202-736-8010
eMcNicholas@sidley.com

Conformément à la règle Fed. R. App. P. 25, j’atteste par les présentes que le 13 juin 2008, j’ai fait parvenir deux copies conformes du mémoire qui précède, présenté par la commissaire à la protection de la vie privée du Canada en qualité d'amie de la Cour, accompagnées de la requête afférente pour permission de déposer le mémoire, par courrier électronique, à lWagman@ftc.gov et à GayWoodhouseLaw@aol.com, ainsi que par l’entremise du service de première classe de la poste des États-Unis, aux adresses suivantes :

Avocat des appelantes

GAY WOODHOUSE
DEBORAHL.RODEN
Gay Woodhouse Law Office, P.C.
P.O. Box 1888
Cheyenne, Wyoming 82003
307-432-9399

Avocat de l’intimée

LAWRENCE De-MILLE WAGMAN
Attorney
Federal Trade Commission
600 Pennsylvania Avenue, NW
Washington, DC 20580
202-326-2448

/s/ Edward R. McNicholas
___________________________

Edward R. McNicholas
sidley austin llp
1501 K Street, N.W. Washington, DC 20005
Tél. : 202-736-8010
eMcNicholas@sidley.com

1U.S. Dep't. of Health, Education and Welfare, Secretary's Advisory Committee on AutomatedPersonal Data Systems, Records, Computers, and the Rights of Citizens viii (1973).

2Organisation de coopération et de développement économiques, Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel.

3En 2006, près de 8 000 victimes ont déclaré des pertes de 16 millions de dollars à PhoneBusters, le centre d’appel antifraude officiel du Canada, http://www.phonebusters.com/francais/statistics_E06.html. Statistiques du Conseil canadien des bureaux d'éthique commerciale à l’appui, le gouvernement canadien a déclaré que le vol d'identité pourrait coûter aux consommateurs, aux banques, aux sociétés de cartes de crédit, aux magasins et aux autres entreprises du Canada plus de 2 milliards de dollars annuellement. Dans un effort pour enrayer cette menace croissante, le gouvernement du Canada a récemment présenté un projet de loi qui se veut une solution au problème du vol d’identité. Voir Ministère de la Justice du Canada, Fiche d’information : Vol d’identié. En effet, on constate une tendance croissante, au Canada et aux États-Unis, au recours au vol d’identité comme moyen de réaliser d’autres types de crimes, comme la fraude et l'activité criminelle organisée.

4Les dossiers de Statistique Canada indiquent qu’en 2007, les exportations du Canada vers les États-Unis et ses importations en provenance de ce pays étaient évaluées respectivement à 355 milliards CAD et à 220 milliards CAD. Les chiffres indiquent que 76 % de toutes les exportations canadiennes sont destinées aux États-Unis et que 65 % de toutes les importations canadiennes proviennent des États-Unis. Voir Statistique Canada, Importations et exportations de biens sur la base de la balance des paiements, selon le pays ou le groupe de pays.