voir le bulletin au format PDF
Protection de l’information et de la vie privée
Les lois du Canada et du Québec en matière de protection de la vie privée :
un guide sur l’impartition du traitement des renseignements personnels
Par Karl Delwaide
En octobre 2005, le Commissaire à la vie privée du Canada a rendu ses conclusions d’enquête en vertu
de la « LPRPDÉ 1, no 313
2 » : Un avis expédié aux clients d’une banque suscite des inquiétudes à
propos de la USA PATRIOT Act.
Une banque canadienne exigeait de ses clients qu’ils consentent au traitement des renseignements liés à leur
carte de crédit par un tiers fournisseur situé aux États-Unis pour pouvoir continuer d’utiliser leur carte de
crédit.
1) Au Canada
Cette exigence a donné lieu à de nombreuses plaintes liées aux dispositions de la USA PATRIOT Act qui
prévoient le renforcement de certains outils américains de renseignement, de surveillance et de collecte
d’information par les autorités en la matière et une réduction sensible des contraintes de procédure pour les
organismes américains chargés de l’application de la loi. Des préoccupations concernant la protection de la
vie privée (et des renseignements personnels) ont été soulevées, y compris le droit d’un organisme canadien
de transférer des renseignements personnels sur des citoyens canadiens à un établissement de traitement de
données établi aux États-Unis. On craint notamment que des renseignements personnels deviennent plus
facilement accessibles aux États-Unis (par les autorités américaines) alors qu’ils devraient être protégés (et
non accessibles) en vertu des lois canadiennes sur la protection des renseignements personnels, comme la
LPRPDÉ.
La commissaire-adjointe à la protection de la vie privée du Canada a rendu les conclusions suivantes dans
cette affaire :
a) La LPRPDÉ n’interdit pas le recours à un tiers fournisseur de services établi à l’étranger;
b) La LPRPDÉ oblige cependant les organisations établies au Canada qui ont recours à des tiers
fournisseurs de services à mettre en place des mesures qui garantissent un niveau de
protection comparable à ce qu’elles offrent elles-mêmes;
c) La banque avait signé avec le tiers fournisseur de services un contrat qui prévoyait des
garanties de confidentialité et de sécurité des renseignements personnels (conformément au
principe 4.1.3. de la LPRPDÉ);
Printem
p
s 2006 Fasken Martineau DuMoulin S.E.N.C.R.L.
,
s.r.l.
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. PROTECTION DE L’INFORMATION ET DE LA VIE PRIVÉE 2
d) Le contrat autorise la surveillance, la supervision et la vérification des services fournis;
e) La banque conserve la garde et le contrôle des renseignements traités par un tiers fournisseur
de services;
f) Lorsque les renseignements personnels des clients sont entre les mains d’un tiers fournisseur
de services établi dans un pays étranger, ils sont assujettis aux lois de ce pays et nul contrat
ou disposition contractuelle ne peut l’emporter sur ces lois;
g) En outre, même si l’on devait examiner la question de la « protection comparable » sous
l’angle des lois antiterroristes des États-Unis par rapport à celles du Canada, il est clair qu’il
existe un risque juridique comparable que des organismes gouvernementaux aient accès aux
renseignements personnels de Canadiennes et de Canadiens détenus par une organisation et
par son fournisseur de services — qu’il soit canadien ou américain — par le biais des lois
américaines ou des lois canadiennes;
h) Cependant, une société établie au Canada qui impartit le traitement de renseignements aux
États-Unis devrait, au minimum, faire savoir à ses clients que ces renseignements peuvent
être mis à la disposition du gouvernement des États-Unis ou des organismes qui en relèvent
en vertu d’une ordonnance légale émise dans ce pays;
i) La LPRPDÉ ne peut empêcher les autorités américaines d’avoir accès légalement aux
renseignements personnels de Canadiennes et de Canadiens que possèdent des organisations
au Canada ou aux États-Unis, pas plus qu’elle ne peut obliger les sociétés canadiennes à
mettre fin à l’impartition de services à des fournisseurs établis à l’étranger;
j) La LPRPDÉ exige cependant des organisations qu’elles fassent preuve de transparence au
sujet de leurs méthodes de traitement des renseignements personnels et que, grâce à des
moyens contractuels, elles protègent dans toute la mesure du possible les renseignements
personnels de clients qui sont entre les mains de tiers fournisseurs de services établis à
l’étranger.
Une organisation canadienne doit-elle obtenir le consentement de ses clients avant d’impartir le traitement
des données à une organisation américaine? La réponse est « non ».
La position adoptée par le Commissaire à la vie privée établit que les organisations ne sont pas obligées de
permettre aux clients d’exercer une option de refus dans les cas où la tierce partie fournit des services qui
sont liés directement aux buts premiers pour lesquels les renseignements personnels ont été recueillis.
Ce qui importe est la « transparence » : l’organisation doit informer les clients du risque que les autorités
américaines aient légalement accès à leurs renseignements personnels en raison de l’endroit où ils sont
traités. Assistons-nous ainsi à la naissance d’un « devoir de transparence » indépendant?
2) La situation du Québec3
La décision de la commissaire-adjointe à la vie privée du Canada est généralement compatible avec la
législation du Québec en matière de protection des renseignements personnels. L’article 20 de la Loi sur la
protection des renseignements personnels dans le secteur privé se lit comme suit :
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. PROTECTION DE L’INFORMATION ET DE LA VIE PRIVÉE 3
« 20. Dans l’exploitation d’une entreprise, un renseignement personnel n’est accessible,
sans le consentement de la personne concernée, à tout préposé, mandataire ou agent de
l’exploitant qui a qualité pour le connaître qu’à la condition que ce renseignement soit
nécessaire à l’exercice de ses fonctions ou à l’exécution de son mandat. »
Cet article représente une exception au principe du consentement. Lorsque des tiers interviennent, tels que
des mandataires ou des agents, la Commission d’accès à l’information (CAI), l’organisme chargé de la
supervision de la Loi sur la protection des renseignements personnels dans le secteur privé, a imposé, par
l’entremise de son pouvoir décisionnel4, des mesures très strictes qui renforcent le texte de l’article 20 de la
Loi québécoise. Lorsqu’une entreprise transfère des renseignements à un tiers (un mandataire ou un agent)5,
la CAI a exigé que cela soit accompli au moyen d’un contrat écrit contenant les dispositions suivantes :
a) la portée du mandat;
b) les buts pour lesquels le mandataire (ou l’agent) utiliserait les renseignements (l’objet du dossier);
c) la catégorie de personnes qui aurait accès aux renseignements;
d) l’obligation d’assurer la confidentialité des renseignements.
Il convient d’insister sur l’importance d’un tel contrat écrit à la lumière de l’article 17 de la Loi québécoise :
« 17. La personne qui exploite une entreprise au Québec et qui communique à l'extérieur
du Québec des renseignements relatifs à des personnes résidant au Québec ou qui confie à
une personne à l'extérieur du Québec la tâche de détenir, d'utiliser ou de communiquer
pour son compte de tels renseignements doit prendre tous les moyens raisonnables pour
s'assurer:
1° que les renseignements ne seront pas utilisés à des fins non pertinentes à l'objet du
dossier ni communiqués à des tiers sans le consentement des personnes concernées sauf
dans des cas similaires à ceux prévus par les articles 18 et 23;
2° dans le cas de listes nominatives, que les personnes concernées aient une occasion
valable de refuser l'utilisation des renseignements personnels les concernant à des fins de
prospection commerciale ou philanthropique et de faire retrancher, le cas échéant, ces
renseignements de la liste. ».
Ainsi, lorsque le transfert de renseignements personnels sur les résidents du Québec6 s’effectue hors du
Québec, l’entreprise qui communique ces renseignements doit s’assurer essentiellement que l’entreprise qui
recevra ceux-ci prendra des mesures de protection similaires à celles de la Loi québécoise. Cela s’effectue
soit en s’assurant qu’une législation comparable s’applique à la protection des renseignements personnels ou
sinon, par engagement contractuel.
3) Conclusion
Il est à prévoir que le nombre de transferts de renseignements, notamment de renseignements confidentiels,
augmentera. Les organisations canadiennes, y compris les filiales de sociétés américaines, sont susceptibles
de regrouper le traitement des renseignements à un seul endroit. Les conclusions d’enquête en vertu de la
LPRPDÉ, no 313 et la décision du Québec rendue par la CAI dans l’affaire Jean Coutu
7 (jumelée aux
Fasken Martineau DuMoulin S.E.N.C.R.L., s.r.l. PROTECTION DE L’INFORMATION ET DE LA VIE PRIVÉE 4
exigences de l’article 17 de la Loi québécoise) renferment les éléments qui permettent de procéder
valablement et avec succès à un tel regroupement du traitement des données à caractère personnel.
Karl Delwaide, associé du bureau de Montréal et président du groupe de pratique national Protection de
l’information et de la vie privée de Fasken Martineau DuMoulin, agit à titre de conseiller juridique et d’avocat
plaidant, particulièrement dans les affaires de réglementation gouvernementale et publique. Il possède une
expertise des questions touchant la protection des renseignements détenus ou gérés par une entreprise, qu'ils
soient d'ordre financier, commercial ou stratégique, et des questions touchant la protection de la vie privée et des
renseignements personnels et de leur utilisation, notamment sur Internet.
On peut joindre Me Karl Delwaide au 514 397 7563 ou à l’adresse [email protected].
____________________________
1) Loi sur la protection des renseignements personnels et des documents électroniques, L.C. 2000, c. 5 (« LPRPDÉ »);
2) Voir : http://www.privcom.gc.ca/cf-dc/2005/313_20051019_f.asp;
3) Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du
Québec, par Karl Delwaide et Antoine Aylwin, Association du Barreau canadien, Vancouver, C.-B., le 16 août 2005. Voir
: http://www.privcom.gc.ca/information/pub/dec_050816_f.asp;
4) Voir Deschênes c. Groupe Jean Coutu, (2000) C.A.I. 216;
Voir : www.cai.gouv.qc.ca/07_decisions_de_la_cai/01_pdf/jurisprudence/980842jl.pdf;
5) Le projet de loi 86, qui a été déposé à l’Assemblée nationale du Québec, propose d’étendre cette exception à d’autres tiers
fournisseurs de services (contrats de services);
6) Le Projet de loi 86 propose d’enlever l’exigence relative aux “résidents du Québec”;
7) Voir note 4.
1
/
4
100%
