Patriotisme ou vie privée?

Par Wendy Gross et Michelle Kisluk
Illustration : Susanna Denti

Lorsqu’il s’agit de protéger les renseignements personnels, le Patriot Act des États-Unis peut entrer en conflit avec la LPRPDE

Le traitement des renseignements personnels doit être conforme à la législation canadienne sur la protection des renseignements personnels (PRP). À titre d’exemple, il faut obtenir le consentement des personnes pour communiquer tout renseignement à un tiers.

Si ces renseignements sont transmis à une société des États-Unis ou à une société canadienne contrôlée par des intérêts américains, ou sont conservés ou traités par une telle société, celle-ci risque d’être contrainte de les communiquer sans que les personnes concernées soient averties ni qu’elles y consentent. Le risque que les autorités américaines aient accès à ces renseignements n’est pas nouveau, mais l’introduction de la législation anti-terroriste des États-Unis a fait naître des inquiétudes à propos de la plus grande facilité d’accès, en secret, aux renseignements personnels, et de l’interaction de cette législation avec les lois canadiennes sur la PRP.

Le Patriot Act a été présenté à la suite des événements du 11 septembre 2001 et augmente la capacité des autorités américaines de faire des perquisitions, d’ordonner la communication de documents ou leur saisie. Les répercussions de cette loi sur les entreprises canadiennes et la sécurité des renseignements personnels des Canadiens concernent très directement les entreprises qui gèrent des renseignements personnels de Canadiens et qui les partagent avec des entités liées à des intérêts américains, ou les leur transfèrent.

Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les organisations qui exercent des activités commerciales obtiennent le consentement des personnes pour la cueillette, l’utilisation ou la communication de leurs renseignements personnels. En Alberta, en Colombie-Britannique (C.-B.) et au Québec, des législations provinciales du même ordre s’appliquent en lieu et place de la LPRPDE. La communication de renseignements personnels à un tiers sans le consentement de la personne constitue en général une violation de ces lois.

Lorsque des renseignements personnels détenus par une organisation sont transférés à un tiers pour traitement, l’organisation a la responsabilité de protéger ces renseignements pendant qu’ils sont entre les mains du tiers. Elle s’acquitte de cette responsabilité en incluant, par exemple, dans les contrats d’externalisation, des dispositions qui limitent l’utilisation ou la communication des renseignements par le tiers.

Le commissaire à l’accès à l’information et à la PRP de la C.-B. a rédigé un rapport quant aux répercussions du Patriot Act sur la décision du gouvernement de la province de confier à une société liée à des intérêts américains des services de soins de santé destinés aux membres de son syndicat de fonctionnaires. D’après les conclusions du commissaire, le Patriot Act pourrait être utilisé pour forcer la communication de renseignements à une société liée à des intérêts américains dans le cadre d’un contrat d’externalisation, et ce, en violation des obligations du gouvernement de la province en vertu de la législation sur la protection de la vie privée dans le secteur public provincial. Cette situation concerne la législation du secteur public, mais le Patriot Act pourrait également s’appliquer aux renseignements transférés par des entités du secteur privé canadien à des organisations liées à des intérêts américains.

Les autorités américaines pouvaient déjà accéder aux renseignements personnels de Canadiens sous la garde ou le contrôle d’organisations liées à des intérêts américains mais, selon la Clinique d’intérêt public et de politique d’Internet du Canada, le Patriot Act a élargi la portée de ces procédures. Il a entraîné la modification du Foreign Intelligence Surveillance Act (FISA) afin que le FBI puisse demander au tribunal secret institué en vertu du FISA de rendre des ordonnances exigeant la production d’éléments tangibles dans le cadre d’enquêtes visant à se protéger contre le terrorisme international ou les activités clandestines de renseignement. Le Patriot Act a aussi atténué les exigences pour l’obtention d’ordonnances en vertu du FISA. Ces modifications, parmi d’autres, ont éveillé la crainte que le Patriot Act ne permette au gouvernement des États-Unis de s’engager dans des expéditions de pêche au renseignement de grande ampleur.

Compte tenu du secret qui entoure les activités du tribunal institué aux termes du FISA, peu d’information transpire sur la façon dont ces dispositions sont appliquées. De surcroît, le caractère secret des ordonnances est renforcé par l’interdiction faite à l’organisation en cause de divulguer le fait qu’elle a reçu ou communiqué des renseignements en vertu de telles ordonnances.

Lorsque des renseignements personnels de Canadiens sont transférés aux États-Unis, ils sont soumis à la législation américaine, notamment le Patriot Act. La question de savoir si, en vertu de celui-ci, il est possible d’obliger une société mère américaine à communiquer des renseignements détenus par une filiale canadienne n’a pas encore été tranchée. D’après le rapport du commissaire de la C.-B., il existe une «possibilité raisonnable» que le tribunal établi en vertu du FISA ordonne la production de documents sous la garde ou le contrôle d’une société américaine, par exemple une société mère ayant accès aux dossiers de sa filiale canadienne. Si une société liée à des intérêts américains communique des renseignements aux autorités américaines sans le consentement des Canadiens concernés, elle risque d’enfreindre la législation canadienne sur la PRP.

La LPRPDE prévoit à cet égard certaines exceptions, notamment : lorsqu’une organisation doit se conformer à l’ordonnance d’un tribunal de produire ces renseignements; lorsque les renseignements sont communiqués à une institution gouvernementale en réponse à une demande d’information liée à la sécurité nationale ou aux affaires internationales; lorsque le but de la communication des renseignements est l’application d’une loi canadienne ou étrangère. La LPRPDE ne limite pas expressément ces exceptions aux institutions gouvernementales ou aux ordonnances de tribunaux canadiens. Selon certains, si ces exceptions permettent la communication de renseignements sans consentement à des autorités étrangères, les ordonnances rendues en vertu du Patriot Act ne violent pas la LPRPDE. Par contre, si ces exceptions ne s’appliquent pas aux demandes d’autorités gouvernementales étrangères, le fait de se conformer à de telles ordonnances constitue une violation de la LPRPDE. À l’incertitude qui entoure le Patriot Act, s’ajoute le fait que l’application de ces exceptions à des ordonnances ou à des institutions étrangères n’a pas encore été clarifiée par la LPRPDE ni par le commissaire à la protection de la vie privée.

Le besoin de clarification de l’interaction entre la LPRPDE et le Patriot Act apparaît dans de nombreux cas. Par exemple, les renseignements personnels d’un client, détenus par le bureau canadien d’un cabinet d’experts-comptables international, dans une base commune de données accessible aux collègues travaillant pour une société liée à des intérêts américains, pourraient être considérés comme étant sous la garde de celle-ci et, à ce titre, la société pourrait recevoir l’ordre de produire ces renseignements aux autorités américaines.

Dans les provinces où la législation sur la protection de la vie privée s’applique aux employés d’une organisation, ou dans le cadre de certaines activités fédérales où la LPRPDE s’applique aux renseignements des employés, y compris les activités des banques et des sociétés de télécommunications, la communication aux autorités américaines de renseignements personnels des employés, sans que ces derniers y aient consenti ou en aient été informés, peut poser des problèmes. Par exemple, un comptable qui externalise le traitement de la paye de son entreprise vers une société liée à des intérêts américains rend peut-être les renseignements personnels des employés accessibles aux autorités américaines, et cette situation peut entraîner une infraction à la loi sur la PRP applicable par l’employeur.

D’autres lois peuvent empêcher de se conformer à une ordonnance rendue en vertu du FISA, par exemple la Loi sur la conservation des documents commerciaux (Ontario), adoptée en réponse à la législation «extraterritoriale agressive» des États-Unis. Cette loi interdit la sortie des documents commerciaux de l’Ontario, sauf exception, notamment lorsque cela est prévu par une loi de l’Ontario ou du Parlement du Canada, ou en application de cette loi. Il n’est toutefois pas certain que cette loi puisse empêcher la communication de documents si une ordonnance provenant des É.-U. l’exige. Il semble que les tribunaux américains n’accordent pas beaucoup d’égards à cette loi en partie à cause du laxisme de son application. En outre, pour soutenir que la communication des renseignements est impossible en vertu de la loi, il faudrait dévoiler l’existence d’une ordonnance en vertu du FISA et donc violer le Patriot Act.

Le caractère secret du Patriot Act complique l’évaluation de l’efficacité des mesures prises pour que les données détenues par des sociétés liées à des intérêts américains demeurent hors de portée des autorités des États-Unis. Certaines mesures peuvent cependant être prises pour renforcer la protection des données et réduire au minimum l’exposition des organisations canadiennes en vertu de la législation canadienne sur la PRP.

Selon le Commissariat à la protection de la vie privée du Canada, une société canadienne qui confie le traitement d’informations à une société établie aux États-Unis, où elles sont soumises aux lois américaines, devrait informer ses clients que leurs renseignements pourront être mis à la disposition du gouvernement américain ou de ses agences. Les clients auraient ainsi l’option de refuser de donner leurs renseignements personnels. Cette mesure pourrait déboucher sur le refus de clients de faire affaire avec une organisation. Par ailleurs, une telle approche pourrait devenir un cauchemar logistique pour l’organisation si les clients l’autorisent à leur fournir des services, mais refusent que certains renseignements personnels soient communiqués à des entreprises liées à des intérêts américains.

La convention de services cadre conclue entre le gouvernement de la C.-B. et son fournisseur de services propose d’autres méthodes. Les conditions de la convention ont été approuvées par la Cour supérieure de la C.-B. lors du rejet de la demande d’annulation de la convention par le syndicat des fonctionnaires. Nul ne sait toutefois si ces mesures mettront les données hors de portée du champ d’application du Patriot Act et des autorités des É.-U. Les dispositions de la convention prévoient une structure fiduciaire en vertu de laquelle la province obtiendrait les parts de la filiale de la C.-B. fournissant les services d’externalisation dans le cas d’un risque de communication de renseignements. On note aussi des restrictions s’appliquant à l’utilisation et au contrôle de l’équipement et des dispositifs électroniques par les employés, des amendes en cas de violation de la confidentialité, la formation des employés et la disposition selon laquelle toutes les données demeurent la propriété de la province.

Tant qu’on n’aura pas plus d’information sur l’utilisation des pouvoirs conférés par le Patriot Act, il sera difficile de savoir jusqu’à quel point les inquiétudes des sociétés canadiennes sont fondées et quelles mesures doivent être prises. Parallèlement, en veillant à ce que les clients sachent quand et dans quelle mesure leurs renseignements risquent d’être mis à la disposition des autorités américaines, et en explorant d’autres façons de protéger par contrat les données, les CA canadiens et leurs cabinets peuvent se protéger dans une certaine mesure des infractions à la loi sur la protection des renseignements personnels.

*Le Patriot Act fait l’objet d’un débat au Congrès des É.-U; les informations ci-dessus étaient exactes lors de la mise sous presse.