Commerce électronique au Canada

Clarification de l’application du droit canadien de la protection des renseignements personnels au transfert transfrontalier de ces renseignements du Canada vers les États-Unis

Kris Klein
Septembre 2008

Les opinions exprimées dans ce document sont celles de l'auteur et ne représentent pas nécessairement celles d'Industrie Canada ou du Gouvernement du Canada.

PDF (80 Ko, 16 pages)

Comment télécharger un lecteur PDF
Pour consulter la version PDF (format de document portable), vous devez avoir un lecteur PDF sur votre ordinateur. Si vous n'en avez pas déjà un, il existe de nombreux lecteurs PDF que vous pouvez télécharger gratuitement ou acheter dans Internet :

Adobe Reader
Foxit Reader (en anglais seulement)
Xpdf (en anglais seulement)
eXPert PDF Reader (en anglais seulement)

Sommaire

Il existe une grande confusion au regard de l'application du droit canadien de la protection des renseignements personnels au transfert de ces renseignements du Canada aux États Unis. Le présent document clarifie ce qui est permis et ce qui ne l'est pas en ce qui concerne le transfert de renseignements personnels à l'extérieur du Canada aux fins de traitement.

Le droit fédéral Canadien n'interdit pas au secteur privé canadien de transférer des renseignements personnels aux États Unis. La Loi sur la protection des renseignements personnels et les documents électroniques¹ (la LPRPDE), la loi fédérale sur la protection des renseignements personnels qui s'applique au secteur privé fédéral au Canada, prévoit clairement que les organisations qui se conforment à ses exigences peuvent transférer des renseignements aux États Unis si un motif commercial le justifie. Des conclusions de la Commissaire à la protection de la vie privée confirment d'ailleurs ce fait.
Le droit fédéral Canadien n'interdit pas aux institutions financières canadiennes de transférer des renseignements personnels aux États Unis. Les lois canadiennes et les décisions de la Commissaire établissent clairement que les institutions financières peuvent transférer des renseignements personnels à l'extérieur du Canada sans obtenir un consentement additionnel de leurs clients si elles avisent ceux ci au sujet de leurs pratiques en matière de renseignements et demeurent responsables de la protection des renseignements.
Le droit Canadien n'interdit pas au gouvernement fédéral de transférer des renseignements personnels aux États Unis. Tout comme la LPRPDE, la Loi sur la protection des renseignements personnels², la loi fédérale sur la protection des renseignements personnels qui s'applique au secteur public fédéral au Canada, n'interdit pas non plus le transfert international de renseignements personnels. Le Conseil du Trésor du Canada reconnaît que la pratique est essentielle et économiquement efficiente dans de nombreux cas, et le gouvernement est d'avis que le transfert est permis dans la mesure où les institutions fédérales prennent certaines mesures pour protéger adéquatement les renseignements personnels.
Sauf dans certaines circonstances en Colombie Britannique et en Nouvelle Écosse, les lois provinciales Canadiennes n'interdisent pas le transfert de renseignements personnels aux États Unis. Les organismes du secteur public et leurs fournisseurs de services du secteur privé situés dans la plupart des provinces canadiennes peuvent transférer des renseignements personnels à l'extérieur du Canada. Alors que la Colombie Britannique et la Nouvelle Écosse ont adopté des lois qui limitent la capacité des organismes publics d'obtenir les services de sous traitants, les lois de toutes les autres provinces permettent clairement le transfert de renseignements personnels. De plus, même en Colombie Britannique et en Nouvelle Écosse, l'accès d'un tiers fournisseur de services à des renseignements au Canada ne fait l'objet d'aucune restriction³, de sorte qu'il est toujours possible de profiter des économies et de l'efficience des ententes de services et de soutien.

Introduction

Dans un monde où la circulation des renseignements personnels est capitale pour les entreprises et les gouvernements, la limitation du transfert de renseignements personnels augmente les coûts, diminue la productivité, freine l'innovation, ralentit la croissance et nuit aux échanges commerciaux. Par conséquent, les secteurs privé et public ont intérêt à ce que les renseignements personnels circulent librement et de manière sécuritaire, de manière à, notamment, favoriser la croissance économique. L'Organisation de coopération et de développement économiques (l'OCDE) a reconnu cet intérêt dans ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, selon lesquelles « [d]es restrictions imposées à ces flux pourraient entraîner de graves perturbations dans d'importants secteurs de l'économie […] »⁴.

Les gouvernements canadien et américain ont aussi reconnu officiellement l'importance de la libre circulation des renseignements entre les deux pays. Dans leur Déclaration sur la libre circulation de l'information et du commerce en Amérique du Nord⁵, ils ont souligné que « [l]a circulation transfrontalière des données est à la base de toutes les transactions commerciales internationales ».

Malheureusement, lorsqu'il est question du transfert de renseignements personnels du Canada aux États Unis, il y a une grande confusion concernant les prétendues interdictions, par opposition aux interdictions réelles, qui sont prévues par le droit canadien de la protection des renseignements personnels. Le présent document clarifie ce qui est permis et ce qui ne l'est pas au regard du transfert de renseignements personnels à l'extérieur du Canada aux fins de traitement⁶. Il passe en revue ce que le droit canadien prévoit relativement à la circulation transfrontalière des renseignements personnels et – ce qui est tout aussi important – ce qu'il ne prévoit pas. Il traite également des directives du gouvernement canadien et des conclusions de la Commissaire à la protection de la vie privée au sujet des transferts de renseignements personnels à des endroits situés à l'extérieur du Canada. Bien que le cadre juridique et les directives du gouvernement dont il sera question s'appliquent à tout transfert de renseignements personnels à l'extérieur du Canada, le document s'intéresse particulièrement aux transferts de renseignements personnels du Canada aux États Unis.

La confusion découle en grande partie de la croyance erronée que les lois canadiennes sur la protection des renseignements personnels obligent les organisations canadiennes à protéger les renseignements personnels contre l'accès légal d'un gouvernement étranger à ces renseignements. La plupart des pays, dont le Canada, ont adopté des lois qui permettent aux organismes gouvernementaux d'avoir accès aux renseignements personnels de leur administration à des fins de sécurité nationale et d'application de la loi. Malgré le fait que certaines de ces lois peuvent conférer aux gouvernements un accès plus large que la USA PATRIOT Act (c'est le cas notamment au Royaume-Uni), les transferts qui peuvent être assujettis à cette loi sont la plus grande source de confusion et d'information erronée. La Commissaire à la protection de la vie privée l'a reconnu lorsqu'elle a expliqué qu'il est conforme aux lois en vigueur aux États Unis, au Canada et ailleurs de permettre aux gouvernements de recueillir des renseignements personnels dans le cadre d'activités relatives au renseignement : « Les gouvernements de par le monde exercent depuis longtemps le droit d'accéder aux renseignements détenus par les organisations se trouvant sur leur territoire. Plusieurs lois canadiennes permettent aussi aux organismes policiers et organismes de sécurité ainsi qu'aux ministères fédéraux généralement d'obtenir l'accès aux renseignements personnels détenus au Canada. » La Commissaire a ajouté que, au Canada, de tels renseignements peuvent être obtenus en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes⁷, de la Loi sur le ministère de la Citoyenneté et de l'Immigration⁸ et de la Loi sur le Service canadien du renseignement de sécurité⁹,¹⁰.

En cette ère de circulation mondiale et de traitement automatisé des données, les entreprises et les organismes gouvernementaux canadiens, comme ceux des autres pays, doivent faire face à des pressions de plus en plus fortes pour qu'ils se servent des technologies de l'information afin de limiter les coûts et d'accroître l'efficacité. Une grande partie des principaux fournisseurs de technologies de l'information sont des sociétés mondiales qui ont leur siège social aux États Unis. La confusion qui entoure, sur le marché, la question de savoir si des organisations canadiennes peuvent transférer leurs données aux États Unis aux fins de traitement nuit à la capacité des entreprises canadiennes de faire des affaires avec ces sociétés américaines. En conséquence, les entreprises canadiennes qui pensent, à tort, qu'elles doivent garder tous les renseignements personnels au Canada sont contraintes de supporter des coûts d'exploitation plus élevés.

Il ressort clairement cependant d'un examen minutieux et exhaustif du droit canadien que, bien que les organisations doivent remplir certaines conditions, les lois canadiennes sur la protection des renseignements personnels n'interdisent généralement pas le transfert transfrontalier de renseignements personnels du Canada vers un pays étranger, dont les États Unis.

1. Le droit fédéral Canadien n'interdit pas au secteur privé canadien de transférer des renseignements personnels aux États Unis.

Presque toutes les activités commerciales au Canada sont assujetties à une réglementation sur la protection des renseignements personnels si elles comportent la collecte, l'utilisation ou la communication de renseignements personnels¹¹. La LPRPDE est la loi nationale qui s'applique aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels dans le cadre d'activités commerciales. Cependant, la LPRPDE ne s'applique pas si l'activité en cause est visée par l'un des trois régimes provinciaux¹² de protection des renseignements personnels applicables au secteur privé; des régimes qui ont été jugées essentiellement similaires à la LPRPDE.

Rien dans la LPRPDE ne semble interdire le transfert de renseignements personnels à l'extérieur du Canada. En fait, cette loi permet expressément le transfert de renseignements personnels. Ainsi, le paragraphe 4.1.3 de l'annexe de la Loi prévoit que des mesures de protection appropriées doivent être en place lorsqu'une organisation transfère des renseignements personnels de façon que celle ci en demeure responsable : « Une organisation est responsable des renseignements personnels qu'elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L'organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. » Fait important, la LPRPDE n'impose pas une obligation semblable à celle qui est prévue par les lois européennes sur la protection des données, lesquelles limitent le transfert international de renseignements personnels uniquement aux administrations dont les lois sur la protection des renseignements personnels ont été déclarées adéquates selon une norme donnée. Il en est ainsi parce que l'organisation qui transfère des renseignements personnels demeure responsable de ceux ci.

Dans les cas de transfert de renseignements personnels à l'extérieur du Canada qu'elle a examinés, la Commissaire a déterminé que le transfert était parfaitement légal parce que l'organisation ayant transféré les renseignements satisfaisait à toutes les obligations nécessaires qui lui étaient imposées. Par exemple, dans le Résumé de conclusions d'enquête en vertu de la LPRPDE #333 (intitulé Une entreprise canadienne communique les renseignements personnels de ses clients à la société mère située aux États Unis)¹³, deux personnes avaient déposé des plaintes concernant leur fournisseur de systèmes de sécurité. Selon les plaignants, la société utilisait un formulaire de consentement inapproprié pour l'échange des renseignements personnels de ses clients avec sa société mère américaine. Les plaignants s'inquiétaient également de la possibilité que des autorités gouvernementales américaines puissent avoir accès à leurs renseignements personnels en vertu de la USA PATRIOT Act.

La Commissaire a toutefois déterminé que la société avait pris les mesures appropriées pour informer ses clients de ses pratiques relatives au traitement des renseignements personnels et qu'elle n'était pas tenue d'obtenir un consentement additionnel de ses clients. De plus, l'organisation protégeait suffisamment les renseignements après leur transfert à la société aux États Unis puisque celle ci avait, par contrat, l'obligation de protéger les renseignements personnels autant que devait le faire la société canadienne. En d'autres termes, l'organisation qui avait transféré les renseignements demeurait responsable de ceux ci, le transfert était raisonnable et il était fondé sur le consentement et un avis suffisant.

La Commissaire est arrivée à la même conclusion dans une affaire subséquente¹⁴, où la plainte visait un fournisseur d'accès Internet qui avait recours à un tiers aux États Unis pour fournir le service. La Commissaire a dit notamment :

La Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi ») n'interdit pas aux organisations d'impartir leurs activités à l'étranger. […]

Les organisations doivent faire preuve de transparence en ce qui concerne leurs pratiques relatives au traitement des renseignements personnels. Une entreprise au Canada qui impartit le traitement de renseignements personnels à une entreprise dans un autre pays doit informer ses clients du fait que leurs renseignements peuvent être mis à la disposition du gouvernement de ce pays ou de ses organismes en vertu d'une ordonnance légale rendue dans ledit pays.

En ce qui concerne la question du consentement du client, le Commissariat est d'avis que le transfert de renseignements à un tiers fournisseur de services constitue une « utilisation » aux fins de la Loi. Les organisations obtiennent le consentement des clients pour l'utilisation de leurs renseignements personnels dans le cadre de l'offre de services ou de produits lorsque les personnes demandent un service ou un produit pour la première fois. Bien que les fournisseurs de services puissent changer, si l'objectif de l'utilisation des renseignements personnels par le fournisseur actuel est resté le même, les organisations ne sont pas tenues d'obtenir le renouvellement du consentement du client pour pouvoir utiliser les renseignements.

Ainsi, à la lumière du libellé de la LPRPDE et de l'interprétation qu'en fait la Commissaire à la protection de la vie privée, il ne fait aucun doute que les transferts à l'extérieur du Canada sont permis. Évidemment, le transfert ne fait pas disparaître l'obligation fondamentale imposée par la loi d'agir de manière raisonnable et transparente lors de la collecte, de l'utilisation et de la communication de renseignements personnels¹⁵,¹⁶.

2. Le droit fédéral Canadien n'interdit pas aux institutions financières canadiennes de transférer des renseignements personnels aux États Unis.

La croyance erronée selon laquelle le droit de la protection des renseignements personnels canadien interdit le transfert de renseignements personnels aux États Unis est particulièrement répandue dans le secteur financier au Canada. Cette croyance ne concorde ni avec le droit ni avec les opinions du gouvernement sur la question. Dans la Déclaration sur la libre circulation de l'information et du commerce en Amérique du Nord¹⁷, les gouvernements canadien et américain ont affirmé : « Les services financiers, comme les banques et les compagnies d'assurances, dépendent énormément de la circulation des données […] Lorsque cette activité se produit entre frontières nationales, il est important que les pays travaillent ensemble pour s'assurer que des régimes de réglementation différents n'empêchent pas la circulation transfrontalière des données et le commerce international. »

Ni la LPRPDE ni les lois particulières régissant les banques n'interdisent le transfert de renseignements personnels aux États Unis ou à un autre pays¹⁸. Des lois visant spécifiquement les banques, comme la Loi sur les banques¹⁹ et la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes²⁰, imposent diverses obligations en matière de rapports à des organisations particulières, mais aucune d'entre elles ne limite la capacité d'une organisation de transférer des renseignements personnels à l'extérieur du Canada, notamment aux États Unis.

La Commissaire à la protection de la vie privée a étudié la question de la capacité du secteur financier de transférer des renseignements personnels. Dans chaque cas, elle a conclu que le droit canadien permet le transfert de renseignements personnels à d'autres pays. Il importe de souligner que, comme nous le verrons plus en détail plus loin, l'une de ses conclusions fondamentales veut que la personne concernée doive avoir été avisée clairement de la possibilité que ses renseignements personnels soient transférés à l'extérieur du Canada. Si un tel avis figure sur le formulaire de consentement ou dans la politique sur la protection des renseignements personnels, aucun consentement additionnel n'est requis. L'organisation n'est pas tenue d'obtenir à nouveau le consentement de ses clients pour pouvoir transférer leurs renseignements personnels à un autre pays.

Le Résumé de conclusions d'enquête en vertu de la LPRPDE #313 (intitulé Un avis expédié aux clients d'une banque suscite des inquiétudes à propos de la USA PATRIOT Act et souvent appelé l'affaire VISA CIBC)²¹ portait précisément sur la possibilité, pour le gouvernement américain, d'obtenir des renseignements personnels transférés à l'extérieur du Canada. Les plaignants alléguaient qu'il était déraisonnable de permettre que les renseignements puissent être saisis par un gouvernement étranger. Dans cette affaire, une banque avait avisé ses clients qu'elle confiait à une société tiers une partie du traitement des comptes de carte de crédit et que cette société se trouvait aux États Unis. Il ne faisait aucun doute que des renseignements personnels de nature financière avaient été transférés aux États Unis.

Après avoir examiné le contrat conclu entre la banque et le tiers et avoir pris connaissance des différentes clauses portant sur la protection des renseignements personnels, la Commissaire a conclu que la LPRPDE « ne peut obliger les sociétés canadiennes à mettre fin à l'impartition de services à des fournisseurs établis à l'étranger ». La LPRPDE exige plutôt des organisations canadiennes qu'elles fassent preuve de transparence au sujet de leurs méthodes de traitement des renseignements personnels et que, grâce à des clauses contractuelles, elles demeurent responsables en protégeant les renseignements personnels de ses clients qui sont entre les mains de tiers fournisseurs de services établis à l'étranger.

En ce qui concerne la question de savoir si le transfert de renseignements personnels aux États Unis est une activité qui exige que l'organisation obtienne de nouveau le consentement de ses clients, la Commissaire a dit clairement que ce consentement n'est pas requis pour le transfert de renseignements personnels à l'extérieur du pays, notamment aux États Unis. Elle a conclu :

La position adoptée par le Commissariat établit que les sociétés ne sont pas obligées de permettre aux clients d'exercer une option de refus dans les cas où la tierce partie fournit des services qui sont liés directement aux buts premiers pour lesquels les renseignements personnels ont été recueillis. Un client donne son consentement à l'usage principal qui est fait de ses renseignements personnels quand, initialement, il signe la formule de demande ou quand il continue de recourir au service après avoir été informé de changements importants à l'entente de services²². [Non souligné dans l'original.]

Ainsi, toute entreprise canadienne qui transfère des renseignements personnels à l'extérieur du Canada aux fins de traitement peut se fonder sur le consentement initial donné par ses clients et n'est pas tenue de demander à nouveau leur consentement si les conditions suivantes sont remplies : (i) les clients ont été avisés de la possibilité que leurs renseignements personnels soient transférés à l'extérieur du Canada; (ii) le traitement des renseignements personnels est directement lié aux fins pour lesquelles l'organisation les a recueillis à l'origine. En outre, la Commissaire s'est assurée que l'organisation avait un motif commercial valable pour transférer les renseignements personnels à l'extérieur du Canada.

La Commissaire a aussi, dans l'affaire Swift²³, reconnu le droit des institutions financières de stocker des renseignements personnels à l'extérieur du Canada. Elle a écrit :

Dans le cadre de ses activités commerciales, SWIFT sauvegarde toutes ses données dans plusieurs bases de données, dont l'une est aux États-Unis. En règle générale, la Loi n'interdit pas à une organisation qui exerce une activité commerciale au Canada de stocker ses données à l'extérieur du pays, à condition qu'elle respecte les exigences de la Loi. Selon les observations et les preuves présentées par SWIFT, il est évident qu'elle répond à des besoins commerciaux légitimes en conservant des bases de données de secours à l'extérieur du Canada. [Non souligné dans l'original.]

En outre, dans une autre affaire liée à l'affaire SWIFT, la Commissaire à la protection de la vie privée a examiné le rôle joué par des banques canadiennes dans le transfert de renseignements personnels à une organisation qui traitait les renseignements à l'extérieur du Canada²⁴. Les avis donnés par les banques à leurs clients au sujet de leurs pratiques en matière de traitement des renseignements personnels à l'extérieur du Canada étaient adéquats, ce qui confirme qu'il n'était pas nécessaire que les banques obtiennent à nouveau le consentement de leurs clients relativement au transfert de leurs renseignements personnels à l'extérieur du Canada. À cet égard, toutes les politiques sur la protection des renseignements personnels des banques concernées (sur support papier ou électronique) avisaient leurs clients qu'elles utilisaient les services de tiers pour le traitement des données et que certains d'entre eux pouvaient être situés à l'extérieur du Canada. Les avis différaient légèrement d'une banque à l'autre, mais tous indiquaient essentiellement que, pendant que les renseignements des clients se trouvaient à l'extérieur du Canada, ils étaient assujettis aux lois de ce pays.

En résumé, la question du transfert de renseignements personnels à l'extérieur du Canada, notamment aux États Unis, a été examinée avec soin par la Commissaire à la protection de la vie privée du Canada, notamment en ce qui concerne les cas particuliers touchant le secteur financier. La conclusion de la Commissaire est claire : les institutions financières peuvent transférer des renseignements personnels à l'extérieur du Canada sans obtenir un nouveau consentement de leurs clients si elles avisent ces derniers de leurs pratiques en matière de renseignements et demeurent responsables de la protection des renseignements.

3. Le droit Canadien n'interdit pas au gouvernement fédéral de transférer des renseignements personnels aux États Unis.

La Loi sur la protection des renseignements personnels en vigueur au Canada, qui s'applique au gouvernement fédéral, ne limite pas le traitement des renseignements personnels par un tiers situé à l'extérieur du Canada. Le Conseil du Trésor du Canada²⁵ a adopté une politique exigeant que chaque institution fédérale prenne des mesures visant à garantir qu'elle est « conforme à la Loi sur la protection des renseignements personnels lors de la conclusion de contrats avec des organisations du secteur privé ou l'établissement d'accords ou d'ententes avec des organisations du secteur public »²⁶. La politique mentionne une seule fois la circulation transfrontalière des renseignements personnels et exige seulement que les institutions fédérales « [v]eill[ent] à ce que des dispositions appropriées en matière de protection des renseignements personnels soient incluses dans les contrats ou les ententes pouvant donner lieu à une circulation intergouvernementale ou transfrontalière de renseignements personnels »²⁷.

L'énoncé de politique du Conseil du Trésor fait suite à une étude réalisée en 2004 et au rapport qui l'a suivi, intitulé Rapport sur l'Évaluation des questions de protection de la vie privée liées à la USA PATRIOT Act²⁸. Le rapport renferme un document d'orientation sur le processus de passation des marchés. Ces documents ont comme thème général une reconnaissance que la circulation transfrontalière des renseignements personnels est permise. Pour assurer le bon déroulement de cette circulation, le document d'orientation recommande que les institutions fédérales souhaitant confier à des sous traitants des activités qui englobent le transfert de renseignements personnels veillent à ce que des mesures de protection appropriées soient en place en ajoutant au contrat conclu avec le fournisseur de services des clauses contractuelles sur le sujet. Mentionnons les mesures de protection suivantes :

l'institution fédérale a le droit de vérifier et d'inspecter le fournisseur de services;
le fournisseur de services conserve les données séparément des autres données qu'il détient;
le fournisseur de services convient de signaler toute atteinte à la protection des données;
le fournisseur de services convient de restreindre l'accès aux données;
le fournisseur de services reconnaît que les renseignements continuent de relever de l'institution fédérale et que celle ci peut les obtenir sur demande;
le fournisseur de services reconnaît qu'il ne peut divulguer les renseignements que dans les cas prévus par le contrat;
le fournisseur de services convient de ne pas avoir recours à des sous traitants sans d'abord aviser l'institution fédérale et obtenir son approbation²⁹.

Aucune de ces dispositions n'exige que le fournisseur de services garde les renseignements personnels au Canada.

La Commissaire à la protection de la vie privée a joué un rôle dans l'élaboration du document d'orientation du Conseil du Trésor. À l'époque, elle a reconnu l'importance, pour le gouvernement, de pouvoir continuer à avoir recours à la sous traitance :

Le mois dernier, le Secrétariat du Conseil du Trésor du Canada a publié une stratégie visant à répondre aux préoccupations suscitées par la USA PATRIOT Act et la circulation transfrontalière des données. Le Commissariat a été consulté pour l'élaboration du document. […] La réalisation d'une analyse des risques doit aussi permettre de déterminer tout élément pouvant menacer la vie privée et mener à la prise de mesures pour atténuer les menaces détectées. Le cryptage des données, la réalisation d'évaluations des facteurs relatifs à la vie privée, l'installation de pare-feu et l'inclusion de dispositions vigoureuses aux contrats permettront de régler les problèmes la plupart du temps, sauf dans les cas les plus délicats. Ainsi, au lieu d'interdire formellement toute impartition, il me semblerait plus appropriée et pratique d'adopter ce type d'approche – adaptée à chacune des situations – pour solutionner les problèmes liés à la protection de la vie privée³⁰. [Non souligné dans l'original.]

4. Sauf dans certaines circonstances en Colombie Britannique et en Nouvelle Écosse, les lois provinciales Canadiennes n'interdisent pas le transfert de renseignements personnels aux États Unis.

Les principes applicables à l'administration fédérale s'appliquent aussi aux provinces, et ni les lois provinciales régissant le secteur privé ni celles régissant le secteur public n'interdisent le transfert de renseignements personnels à l'extérieur du Canada, notamment aux États Unis, sous réserve de deux exceptions.

Ces deux exceptions concernent la Colombie Britannique et la Nouvelle Écosse. Toutefois, même dans ces provinces, les restrictions ont trait seulement aux lois applicables à des organismes publics, ne sont pas absolues et font l'objet de plusieurs exceptions. Par exemple, les restrictions n'empêchent pas une organisation américaine d'avoir accès à des renseignements personnels conservés en Colombie Britannique ou en Nouvelle Écosse tant que ces renseignements demeurent au Canada. Ainsi, un fournisseur de services américain peut effectuer du travail pour un organisme public dans ces provinces s'il n'a accès aux renseignements personnels qu'accessoirement aux services fournis. Alors que le transfert de renseignements personnels à l'extérieur du Canada peut être limité, il est permis de donner à un fournisseur de services non canadien un accès accessoire à des renseignements personnels.

Un régime différent existe au Québec. Dans cette province, la loi exige des organismes gouvernementaux provinciaux et des entités du secteur privé qu'ils veillent à ce que les renseignements personnels jouissent d'une protection équivalente à celle offerte par les lois sur la protection des renseignements personnels en vigueur dans la province avant de les communiquer à l'extérieur de la province ou de les confier à une organisation située à l'extérieur de la province afin d'être détenus, utilisés ou communiqués. Si l'organisme public ou l'entité du secteur privé considère que les renseignements ne bénéficieront pas d'une protection équivalente, il doit refuser de les communiquer ou de les confier à l'organisation dans le but que celle ci les détienne, les utilise ou les communique en son nom. Cette disposition n'a jamais été interprétée comme si elle limitait le transfert de renseignements aux États Unis.

Les lois sur la protection des renseignements personnels des autres provinces n'interdisent pas le transfert de renseignements personnels à l'extérieur du Canada, notamment aux États Unis. Il y a cependant dans certaines provinces, en Alberta par exemple, des documents d'orientation ou de politique semblables aux lignes directrices du Conseil du Trésor dont il a été question précédemment³¹.

Conclusion

Malgré l'assurance donnée à maintes reprises par le gouvernement canadien que des renseignements personnels peuvent être transférés à l'extérieur du Canada, on continue de croire à tort que le droit canadien interdit le transfert de renseignements personnels aux États Unis. Comme il a été mentionné précédemment cependant, les lois sur la protection des renseignements personnels en vigueur au Canada reconnaissent l'importance de la circulation transfrontalière des données et permettent cette circulation, sous réserve de quelques exceptions. Ces lois accordent aussi une grande importance à la protection des renseignements personnels. En conséquence, les entreprises et les organismes gouvernementaux canadiens sont libres d'entretenir des relations commerciales qui comportent le traitement de renseignements aux États Unis à la condition qu'il soit raisonnable de le faire et qu'ils agissent de manière transparente, qu'ils fournissent des avis et qu'ils s'assurent que des mesures de protection sont en place.

À l'appui de ces notions, les deux gouvernements ont mentionné dans leur Déclaration sur la libre circulation de l'information et du commerce en Amérique du Nord : Le commerce international dépend de la circulation fluide et ininterrompue de l'information entre les entreprises, les pays et les frontières. Les réseaux fonctionnent comme des canalisations acheminant de l'information commerciale et traitant des données pour mener des processus d'affaires et des activités. Internet a révolutionné les activités de production et de distribution, créant des chaînes d'approvisionnement mondiales dans presque tous les secteurs de l'économie. Il a numérisé l'activité économique mondiale. De plus, la multiplicité des processus d'affaires au niveau mondial est devenue un outil précieux pour accroître la productivité et l'efficience des entreprises ainsi que pour réaliser des gains économiques dans de nombreux secteurs, contribuant à accroître la compétitivité en Amérique du Nord.

La circulation transfrontalière des données est à la base de toutes les transactions commerciales internationales³². Dans le présent document, nous avons clarifié le fait que la circulation transfrontalière des données – qui bénéficie aux entreprises des deux côtés de la frontière, favorise les échanges commerciaux et offre des possibilités de croissance – est permise en droit canadien. Comme il a été indiqué précédemment, les transferts sont assujettis à des mesures de contrôle et à des exigences contractuelles raisonnables, mais ils ne sont pas interdits de manière absolue. Ce n'est que dans certaines circonstances précises concernant des renseignements publics et des institutions publiques en Colombie Britannique et en Nouvelle Écosse que des restrictions (mais non une interdiction totale concernant l'accès) s'appliquent aux transferts de ces renseignements à l'extérieur du Canada.

¹ L.C. 2000, ch. 5.

² L.R.C. 1985, ch. P-21.

³ Freedom of Information and Protection of Privacy Act, R.S.B.C. 1996, ch. 165, article 30.1, et Personal Information International Disclosure Protection Act, S.N.S. 2006, ch. 3, article 5.

⁴ Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel, 23 septembre 1980.

⁵ Le Mexique est aussi un signataire de la Déclaration. Celle ci a été signée en février 2008, dans le cadre du Partenariat nord américain pour la sécurité et la prospérité conclu entre le Canada, les États Unis et le Mexique.

⁶ Le présent document traitera principalement des cas où des organisations envisagent d’établir une relation dans le cadre de laquelle les renseignements personnels sont transférés aux fins de traitement. La différence entre le transfert et la communication réside dans le fait que, dans le premier cas, on considère que l’organisation qui a recueilli les renseignements personnels à l’origine ne fait que les utiliser et que celle qui les transfère en demeure responsable. Comme nous le verrons, dans la mesure où le consentement donné à l’utilisation des renseignements est suffisamment large pour englober le traitement de ces renseignements, aucun consentement additionnel n’est requis au regard de leur transfert à ces fins de traitement. Finalement, l’expression « transfert de renseignements personnels » désigne, dans le présent document, la notion de « transfert aux fins de traitement » qui ressort du principe 4.1.3. de l’annexe de la LPRPDE.

⁷ L.C. 2000, ch. 17.

⁸ L.C. 1994, ch. 31.

⁹ L.R.C. 1985, ch. C-23.

¹⁰ En ligne : Voir Communication transfrontalière de renseignements sur les Canadiens et les Canadiennes – Répercussions de la USA PATRIOT Act, Mémoire du Commissariat à la protection de la vie privée du Canada présenté au Commissariat à l’information et à la protection de la vie privée de la Colombie Britannique, 18 août 2004.

¹¹ Il y a une exception importante : les organisations qui font des affaires dans les provinces où aucune loi sur la protection des renseignements personnels ne s’applique au secteur privé ne sont assujetties à aucune loi particulière relative au traitement des renseignements personnels concernant les employés si l’activité de l’organisation se limite à la gestion de la relation d’emploi (c. à d. l’organisation n’a pas vendu les renseignements personnels concernant ses employés à, par exemple, une entreprise de marketing. Ce type d’activité serait visée par la LPRPDE.).

¹² Ceux de la Colombie-Britannique, de l’Alberta et du Québec.

¹³ En ligne

¹⁴ Résumé de conclusions d’enquête en vertu de la LPRPDE no 394 (intitulé L’impartition des services de courriel de canada.com à une entreprise établie aux États-Unis suscite des questions parmi les abonnés)

¹⁵ Voir, par exemple, le paragraphe 5(3) de la LPRPDE.

¹⁶ Voir, par exemple, l’article 7 de la LPRPDE.

¹⁷ Le Mexique est aussi un signataire de la Déclaration. Celle ci a été signée en février 2008, dans le cadre du Partenariat nord américain pour la sécurité et la prospérité conclu entre le Canada, les États Unis et le Mexique.

¹⁸ Les lois très semblables relatives à la protection des renseignements personnels dans le secteur privé qui ont été adoptées par la Colombie Britannique, l’Alberta et le Québec peuvent aussi être pertinentes. Comme il est expliqué plus en détail, aucune de ces lois n’interdit le transfert de renseignements personnels aux États Unis ou à un autre pays.

¹⁹ L.C. 1991, ch. 46.

²⁰ L.C. 2000, ch. 17.

²¹ En ligne

²² Résumé de conclusions d’enquête en vertu de la LPRPDE #313 (intitulé Un avis expédié aux clients d’une banque suscite des inquiétudes à propos de la USA PATRIOT Act).

²³ Rapport de conclusions, 2 avril 2007. En ligne SWIFT (Society for Worldwide Interbank Financial Telecommunication) fournit des services et un logiciel de messagerie à plus de 7 900 institutions financières dans plus de 200 pays. Les messages sont habituellement utilisés relativement aux paiements transfrontaliers, à la compensation et au règlement de valeurs mobilières, ainsi qu’aux services de trésorerie et de commerce. Certains messages contiennent des renseignements personnels, comme le nom, l’adresse, le numéro de compte et le montant du transfert. Tous les messages sont stockés dans des bases de données qui sont semblables en Europe et aux États Unis. Après le 11 septembre 2001, les États Unis ont commencé à délivrer des subpoenas à SWIFT relativement à certaines données détenues par le centre d’exploitation de SWIFT situé aux États Unis. SWIFT a confirmé que des renseignements personnels provenant d’institutions financières canadiennes ou transférées à de telles institutions se trouvaient probablement dans les données communiquées aux États Unis.

²⁴ Résumé de conclusions d’enquête en vertu de la LPRPDE #365 (intitulé Responsabilité d’institutions financières canadiennes dans la communication de renseignements personnels par SWIFT aux autorités des États-Unis). En ligne

²⁵ L’organisme gouvernemental chargé de la mise en œuvre de la politique à l’échelle du gouvernement.

²⁶ Alinéa 6.2.10 de la Politique du Conseil du Trésor sur la protection de la vie privée. En ligne

²⁷ Alinéa 6.2.11 de la Politique du Conseil du Trésor sur la protection de la vie privée. En ligne.

²⁸ En ligne

²⁹ En ligne

³⁰ Allocution prononcée par la Commissaire à la protection de la vie privée le 5 mai 2006, intitulé Le point de vue du Canada sur la protection des données – Protection des données et sécurité : un débat transnational. En ligne

³¹ Voir, par exemple, le document du commissaire à la protection de la vie privée de l’Alberta intitulé Public Sector Outsourcing and Risks to Privacy Report, qui traite de la circulation transfrontalière des données dans le secteur public. ".

³² Le Mexique est aussi un signataire de la Déclaration. Celle ci a été signée en février 2008, dans le cadre du Partenariat nord américain pour la sécurité et la prospérité conclu entre le Canada, les États Unis et le Mexique.