Écrit par Stephen D. Burns and Daniel P. Furst

Les gouvernements fédéral et provinciaux du Canada changent la façon dont le secteur public canadien externalise le traitement de l’information. Par conséquent, chaque organisation qui offre des services de traitement de données ou d’impartition semblables aux gouvernements, aux ministères, aux organismes et aux sociétés d’État du Canada devrait examiner attentivement : (i) ses propositions et ses contrats pour s’assurer qu’ils ont été mis à jour pour tenir compte des changements apportés aux diverses lois, aux énoncés de politique et aux modèles d’ententes sur l’accès à l’information et la protection des renseignements personnels du Canada dans le secteur public; et (ii) leurs opérations et leurs offres de services pour s’assurer qu’ils sont conformes aux nouvelles lois, déclarations de politique et exigences contractuelles.

Bien que leurs objectifs soient similaires, il existe des variations importantes dans la portée et la nature des approches adoptées par les gouvernements fédéral et provinciaux du Canada pour faire face à la menace perçue que certaines lois étrangères, telles que la Loi sur l’unité et le renforcement de l’Amérique en fournissant les outils appropriés nécessaires pour intercepter et entraver le terrorisme¹(USA PATRIOT Act), peut réduire considérablement la protection et la confidentialité des renseignements du Canada lorsqu’ils sont traités à l’étranger ou par une entité contrôlée par une entité étrangère ou affiliée à elle.

Avant de décrire les approches actuellement adoptées par les gouvernements du Canada, de la Colombie-Britannique et de l’Alberta, il est utile d’examiner d’abord la genèse et la portée de la USA PATRIOT Act.

USA PATRIOT Act

À la suite des attentats du 11 septembre 2001 contre New York et Washington, D.C., le Congrès américain a adopté une série d’amendements à diverses lois américaines connues collectivement sous le nom de USA PATRIOT Act. À bien des égards, semblable à la Loi sur le Service canadien du renseignement de ^sécurité2, la USA PATRIOT Act accorde de vastes pouvoirs aux organismes américains pour acquérir (souvent en secret) des renseignements personnels détenus par des entreprises américaines et des sociétés étrangères affiliées à des sociétés américaines, même à l’extérieur du territoire des États-Unis. Divers syndicats et d’autres groupes se sont dits préoccupés par le fait que les filiales canadiennes de sociétés mères américaines pourraient être considérées comme des sociétés liées aux États-Unis assujetties à la USA PATRIOT Act, de sorte que leurs dossiers puissent être accessibles au gouvernement américain en vertu de la USA PATRIOT Act. Bien qu’il n’y ait aucun cas connu de matérialisation d’un tel risque et bien qu’il existe diverses ententes de coopération mutuelle en place entre les organismes d’application de la loi du Canada et des États-Unis en vertu desquelles les comportements criminels et terroristes peuvent faire l’objet d’une enquête et l’échange de renseignements pertinents, le problème persiste, ce qui a suscité des préoccupations dans de nombreuses administrations canadiennes quant à l’opportunité de sous-traiter les renseignements personnels recueillis au Canada à des sous-traitants de données aux États-Unis (ou dans d’autres administrations ayant des renseignements semblables la législation).

Comme dans le cas de la protection de la vie privée dans le secteur privé, les gouvernements fédéral et provinciaux du Canada adoptent chacun leur propre approche pour régler les problèmes soulevés par la USA PATRIOT Act et des lois étrangères similaires. Par exemple, le Secrétariat fédéral du Conseil du Trésor a récemment publié un document d’orientation stratégique intitulé « Taking Privacy into Account Before Making Contracting Decisions »³ (« Policy Document ») et un document de stratégie intitulé « Privacy Matters: The Federal Strategy to Address Concerns About the USA PATRIOT Act and Transborder Data Flows »⁴ (« Strategy Paper »). De plus, l’Alberta a proposé des modifications à sa Freedom of Information and Protection of Privacy Act⁵ (« Alberta FOIPPA ») et la Colombie-Britannique a déjà modifié sa Freedom of Information and Protection of Privacy Act⁶ (« BC FOIPPA »).

Chacun de ces gouvernements a choisi une approche différente à l’égard des défis perçus de la USA PATRIOT Act. Le gouvernement fédéral semble avoir choisi l’approche la plus douce, avec un document d’orientation plutôt qu’une modification législative. La réponse de la Colombie-Britannique a été la plus sévère, adoptant des modifications législatives qui ont conduit à des résultats inattendus et parfois indésirables et l’Alberta a cherché à modérer les problèmes de l’approche de la Colombie-Britannique tout en adoptant une solution législative.

La réponse du gouvernement fédéral

Le Secrétariat du Conseil du Trésor du Canada a publié le document de stratégie et le document de politique très attendus le 28 mars 2006, le premier expliquant la stratégie qui sous-tend la réponse fédérale et le second fournissant des conseils et une orientation aux organismes du gouvernement fédéral en ce qui concerne leurs activités de sous-traitance dans le cadre desquelles l’information est traitée ou consultée par des organismes du secteur privé.

Document de stratégie

Le document de stratégie explique la décision du gouvernement fédéral de ne pas apporter de modifications à la Loi sur la protection des renseignements personnels parce qu’une telle mesure pourrait encourager d’autres gouvernements étrangers à faire de même, étouffant ainsi les avantages économiques pour le Canada du travail imparti à des fournisseurs canadiens.

Le gouvernement fédéral considère l’impartition comme un « moyen essentiel d’offrir des services plus souples et mieux adaptés aux Canadiens ». ⁷ Dans un commentaire qui pourrait avoir été adressé aux provinces qui ont modifié ou envisagent de modifier leurs lois sur l’accès à l’information et la protection de la vie privée dans le secteur public, le document de stratégie explique que le gouvernement fédéral doit respecter les accords commerciaux internationaux qui ne lient pas les gouvernements provinciaux. ⁸ Pour ce qui est de l’impact économique, le Canada serait l’un des quatre pays du monde qui ont le plus profité de l’impartition à l’étranger. ⁹

Dans le cadre de la stratégie du gouvernement fédéral, une évaluation des activités de passation de marchés entreprises par les 160 institutions fédérales assujetties à la Loi sur la protection des renseignements personnels du gouvernement fédéral a été entreprise. Dans le cadre de cette évaluation, le comité interministériel chargé de l’examen a classé tous les ministères fédéraux comme présentant un risque faible, moyen ou élevé d’exposition potentielle de renseignements personnels à la USA PATRIOT Act et à des lois étrangères similaires, et a déterminé que les ministères les plus à risque étaient :

• Postes Canada;
• Agence canadienne d’inspection des aliments;
• ministère de la Justice;
• Affaires étrangères Canada;
• Industrie Canada;
• Commerce international Canada; et
• Travaux publics et Services gouvernementaux Canada. ¹⁰

Les organisations qui fournissent ou cherchent à fournir des activités d’impartition à ces organismes seront bien avisées d’être particulièrement sensibles aux questions de protection de la vie privée soulevées à l’égard de ces activités et d’aborder clairement et de respecter ou de dépasser les exigences et les attentes de l’agence en matière de protection de la vie privée et de sécurité des données.

L’examen a également mis en évidence le fait que de nombreuses institutions fédérales ont déjà utilisé des clauses restrictives précises dans leurs contrats pour régler les problèmes de protection de la vie privée et de sécurité des données qui peuvent survenir dans le contexte de certaines activités d’impartition. Le rapport a révélé que certaines des mesures les plus efficaces déjà en place comprenaient : ¹¹

• la séparation des renseignements personnels traités en vertu du contrat des autres documents détenus par l’entrepreneur;
• des pistes de vérification pour surveiller de près la façon dont l’information est traitée;
• la limitation du droit d’accès en fonction de profils d’utilisateurs spécifiques;
• l’approbation par le gouvernement de toute sous-traitance;
• la restitution ou la destruction approuvée de tous les documents à la fin d’un contrat;
• la signature d’accords de non-divulgation; et
• l’utilisation de la technologie de cryptage permettant uniquement aux représentants du gouvernement de voir les données déchiffrées.

De plus, le rapport indiquait que de nombreuses institutions fédérales élargiront leurs pratiques actuelles pour inclure ^également12

• : l’inclusion d’une nouvelle étape dans la liste de vérification de la demande de soumissions pour les marchés de services qui demande l’examen des risques directs et indirects liés aux renseignements personnels et exclusifs;
• le recours à des équipes multidisciplinaires pour examiner les ententes de passation de marchés proposées;
• la surveillance de tous les contrats dans lesquels des entreprises étrangères ont accès à des renseignements personnels ou à d’autres renseignements de nature délicate;
• l’ajout d’exigences contractuelles selon lesquelles une partie ou la totalité du travail doit être effectuée au sein de l’établissement (surtout lorsqu’il s’agit de renseignements sur la santé) ou au Canada;
• s’assurer par contrat que les renseignements personnels ou d’autres renseignements protégés ou classifiés ne sont communiqués à des tiers que lorsque cela est justifié;
• consulter les services juridiques pour tous les contrats futurs où des renseignements personnels ou sensibles seront échangés ou fournis à des tiers afin d’envisager l’inclusion de dispositions qui empêchent la divulgation en vertu de toute législation étrangère;
• la modification des formulaires contractuels pour permettre aux autorités contractuelles de mieux évaluer les risques;
• l’exploration de solutions technologiques pour protéger la circulation de l’information; la modification des plans de formation afin d’accroître l’évaluation des risques à l’échelle du Ministère; et
• l’élaboration d’approches de gestion des risques liées aux renseignements commerciaux et personnels afin d’atténuer les risques associés aux lois étrangères, qui seront à leur tour intégrées au cadre de gestion des risques organisationnels de l’institution.

Document de politique

Le document de politique a été délivré à toutes les institutions du gouvernement fédéral assujetties à la Loi sur la protection des renseignements personnels et fournit des conseils à ceux-ci, et il guidera les fonctionnaires fédéraux à l’avenir. Il comprend un processus étape par étape pour identifier, évaluer et soupeser les facteurs de risque d’atteinte à la vie privée afin d’aider à prendre des décisions éclairées sur la passation^{de marchés 13} que tout fournisseur de services est bien avisé de prendre également en compte lors de l’élaboration de sa réponse à une DP ou à un projet d’accord. Le processus étape par étape comprend :

Étape 1.0 :

Analyser si un marché proposé est conforme à la Loi sur la protection des renseignements personnels, aux politiques du Conseil du Trésor sur la protection des renseignements personnels, s’il satisfait à un critère d’atteinte à la vie privée et si l’évaluation des facteurs relatifs à la vie privée (EFVP) ou l’EFVP préliminaire appropriée a été effectuée;

Étape 2.0 :

Évaluer les risques d’atteinte à la vie privée en tenant compte des lois des pays étrangers et de l’application possible des accords commerciaux internationaux;

Étape 3.0 :

Intégrer la protection de la vie privée dans les contrats à l’étape de la DP et de l’ER; et

Étape 4.0 :

Pour les DP et les contrats comportant des renseignements personnels, atténuer les risques en tenant compte des questions suivantes :

• établir un contrôle sur les renseignements personnels,
• des dispositions de confidentialité et des limites d’accès et d’utilisation à des fins liées au contrat,
• exiger des vérifications et la tenue à jour de la documentation pour faciliter les vérifications;
• séparer les renseignements personnels fournis par le gouvernement d’autres renseignements,
• ajouter des conditions pour les divulgations non liées au contrat,
• inspecter les locaux des entrepreneurs
• en exigeant un avis de violation et
• exiger des sous-traitants qu’ils se conforment aux dispositions du contrat principal relatives à la protection de la vie privée.

De plus, le document de politique contient quelques exemples de dp et de clauses contractuelles pour les situations à risque élevé¹⁴ et une liste de vérification en 33 points de la protection de la vie privée des points à prendre en compte au cours des étapes préliminaires de planification et de mise en œuvre du processus de passation de marchés gouvernementaux. ¹⁵

En mettant l’accent sur une solution contractuelle plutôt que législative, le gouvernement fédéral a cherché à trouver un équilibre entre les exigences concurrentes de la protection des renseignements du Canada contre les gouvernements étrangers et la protection de l’industrie canadienne de l’impartition contre les représailles étrangères si le Canada exigeait que tous les renseignements ne soient traités qu’au Canada et seulement par des organisations sous contrôle canadien.

Cela dit, comme l’approche fédérale consiste à s’attaquer aux risques perçus de la USA PATRIOT Act par le biais de leurs contrats avec leurs fournisseurs de services, les organisations qui cherchent à fournir des services d’impartition au gouvernement fédéral sont bien avisées de tenir compte des pratiques exemplaires actuelles et élargies identifiées dans le document de stratégie et le document de politique fédéral, et de mettre à jour leurs réponses aux demandes de propositions, des ententes et des activités pour les régler.

Heureusement, les constatations et la stratégie du document de stratégie et du document de politique fédéraux indiquent où et comment le gouvernement fédéral concentrera son attention sur cette question.

Note de la rédaction : La partie II de cet article traitera des réponses de la Colombie-Britannique et de l’Alberta à la USA PATRIOT Act et de son effet sur l’impartition du secteur public.

1 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001, Pub. L No. 107-56, 115 Stat. 272 (2001). 2 Loi sur le Service canadien du renseignement de sécurité, L.R.C. 1985, ch. C-23, telle que modifiée. 3 Disponible à l’adresse : . 4 Disponible à l’adresse : . 5 Projet de loi 20 : Loi de 2006 modifiant la Loi sur l’accès à l’information et la protection de la vie privée, adoptée à l’état de deuxième lecture et examinée par le Comité plénier le 10 avril 2006, disponible à l’adresse suivante : . 6 Projet de loi 73 : Freedom of Information and Protection of Privacy Amendment Act, 2004, S.B.C. 2004, ch. 64. 7 Précité, note 4, à la p. 11. 8 Précité, note 4, à la p. 12. 9 Rapport sur l’investissement dans le monde 2004 – Le virage vers les services, publié par la Conférence des Nations Unies sur le commerce et le développement, disponible à l’adresse suivante : . Les autres principaux bénéficiaires de l’externalisation à l’étranger sont l’Irlande, Israël et l’Inde. 10 Précité, note 4, annexe A. 11 Ibid., p. 21. 12 Ibid., p. 21 à 22.