Écrit par Stephen D. Burns and Daniel P. Furst

La réponse de la Colombie-Britannique

En Colombie-Britannique, les questions de protection de la vie privée et des données découlant de la USA PATRIOT Act ont été soulevées lorsque des objections ont été soulevées à l’un des plans du gouvernement provincial visant à sous-traiter l’administration du régime provincial d’assurance-maladie à un entrepreneur lié aux États-Unis.

Dans cette affaire, le Government and Service Employees Union (BCGSEU) de la Colombie-Britannique a intenté une poursuite visant à empêcher l’impartition pour des motifs qui comprenaient une préoccupation selon laquelle l’impartiteur américain était secrètement obligé de divulguer les renseignements personnels des Britanno-Colombiens en vertu de la USA PATRIOT Act. Le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique a enquêté sur la question et a préparé un rapport détaillé en octobre 2004 sur les répercussions de la USA PATRIOT Act sur l’impartition du secteur public en Colombie-Britannique. ¹

Le gouvernement de la Colombie-Britannique a réagi en modifiant la LAIPVP de la Colombie-Britannique. Les modifications apportées à la loi comprenaient de nouvelles infractions provinciales, passibles d’amendes pouvant aller jusqu’à 500 000 $, pour les fournisseurs de services impartiaux qui :

• stockent, accèdent ou communiquent des renseignements personnels d’un organisme du secteur public de la Colombie-Britannique à l’extérieur du Canada, sous réserve de quelques exceptions étroitement définies;
• ne pas aviser le ministre des Services de gestion de toute demande étrangère de divulgation de renseignements personnels détenus par le fournisseur de services; ou
• prendre des mesures disciplinaires, suspendre, rétrograder, harceler ou autrement désavantager un employé qui, agissant de bonne foi et sur la base de croyances raisonnables, se conforme aux obligations d’avis ci-dessus ou agit pour assurer la conformité à la législation de la Colombie-Britannique.

À la suite des modifications apportées à la LDIPVP de la Colombie-Britannique, la Colombie-Britannique a mis en œuvre son plan d’impartition, mais a exigé que l’impartiteur basé aux États-Unis établisse une filiale basée en Colombie-Britannique supervisée par des administrateurs canadiens et s’est engagée à tenir les dossiers pertinents en Colombie-Britannique. Les modifications apportées à la LAIPVP de la Colombie-Britannique ont rendu plus difficile pour les fournisseurs de services impartiaux de se conformer à une ordonnance de divulgation en vertu de la USA PATRIOT Act et ont été conçues, en partie, pour forcer les autorités américaines à demander des renseignements personnels directement au gouvernement de la Colombie-Britannique, par opposition à un ordre secret délivré à l’un des fournisseurs de services d’impartition de la Colombie-Britannique.

Le Commissariat à l’information et à la protection de la vie privée de l’Alberta a produit son propre rapport intitulé « Public-sector Outsourcing and Risks to Privacy » en février 2006,2 et a examiné les changements apportés aux contrats entre les organismes publics de la Colombie-Britannique et les fournisseurs de services d’impartition depuis la modification de la LOI SUR L’ACCÈS À L’INFORMATION de la Colombie-Britannique. Le commissaire a conclu que les nouvelles caractéristiques suivantes apparaissaient dans de tels ^{contrats3 :} les exigences relatives à l’accès distinct aux données; les exigences relatives à la gestion des journaux individuels des utilisateurs; recours davantage aux ententes de non-divulgation (entre les employés des fournisseurs de services et l’organisme public, entre les employés d’un sous-traitant et du fournisseur de services, et entre les employés du sous-traitant et de l’organisme public); les exigences annuelles en matière de serment pour les employés des fournisseurs de services et des sous-traitants; les restrictions à l’accès des employés étrangers aux renseignements personnels, lorsque ces employés travaillent à des activités de transition et de transformation; les limites de l’accès aux données en général, y compris l’accès à distance aux données; les limites internes des entreprises à l’accès aux données, en coupant l’accès extraprovincial; les installations de notification d’alarme pour alerter l’organisme public de la copie ou de l’activité d’accès inhabituel; les interdictions imposées au personnel des fournisseurs de services à l’étranger pour l’accès au Web et au courrier électronique; des restrictions sur le matériel de portabilité des données au personnel désigné seulement; des agents de la protection de la vie privée des fournisseurs de services dédiés pour surveiller la conformité; et des pénalités financières contractuelles en cas de divulgation ou d’atteinte à la vie privée.

Par conséquent, il semble que les fournisseurs de services d’impartition prennent des mesures pour séparer efficacement leurs fonds de renseignements par pays ou province, ou qu’ils stockent physiquement des données à l’étranger, mais de manière cryptée lorsque la clé est conservée sous le contrôle de la filiale canadienne.

Il a été signalé que l’une des conséquences imprévues des modifications apportées à la LAIPVP de la Colombie-Britannique est que les organismes publics de la Colombie-Britannique connaissent maintenant des perturbations dans l’accès aux données par le personnel en affectation à l’extérieur de la province. De plus, en raison de l’interdiction de stocker, d’accéder ou de communiquer des renseignements personnels à l’extérieur du Canada, les coûts économiques ont augmenté , comme dans le cas des services d’assistance 24/7/365 qui ne sont peut-être pas entièrement pratiques au Canada, ou de logiciels hautement spécialisés où il n’y a peut-être qu’un seul service d’assistance dans le monde.

La réponse de l’Alberta

Comme la Colombie-Britannique, l’Alberta a présenté un projet de loi visant à modifier sa législation sur l’accès à l’information et la protection de la vie privée dans le secteur public. Les modifications proposées comprennent ou répondent à bon nombre des recommandations formulées par le commissaire à l’information et à la protection de la vie privée de l’Alberta dans son rapport sur « L’impartition du secteur public et les risques pour la vie privée » publié en février 2006, et en particulier ces modifications, si elles sont adoptées, serviraient à : limiter les types d’ordonnances judiciaires qui permettent la communication de renseignements personnels par un organisme public sans préavis ni consentement; uniquement aux ordonnances rendues par des tribunaux, des personnes ou des organismes ayant compétence en Alberta; limiter les règles de procédure en vertu desquelles un organisme public peut communiquer des renseignements personnels sans préavis ni consentement, uniquement aux règles exécutoires des tribunaux en Alberta qui se rapportent à la production de renseignements; préciser que la LAIPVP de l’Alberta n’a aucune incidence sur le pouvoir d’une cour ou d’un tribunal au Canada d’exiger la production de documents ou le témoignage d’un témoin; et créer une infraction en vertu de la Loi, avec un délai de prescription de deux ans, pour la communication de renseignements personnels sous l’autorité d’un tribunal, d’une personne ou d’un organisme n’ayant pas compétence en Alberta ou d’une règle de justice non contraignante en Alberta.

De plus, le commissaire de l’Alberta a recommandé la création d’une liste de contrôle du gouvernement de l’Alberta ou d’un modèle de contrat d’impartition, qui comprendrait les dispositions suivantes : ⁴ une interdiction de cession ou de sous-traitance du contrat d’impartition sans le consentement écrit de l’organisme public; l’exigence d’une notification par l’impartiteur en cas d’avis des recours du créancier ou de demandes judiciaires de faillite ou de protection contre les créanciers; une exigence de avis sur toute demande d’accès ou de divulgation de renseignements personnels reçus par l’impartiteur; l’obligation d’aviser de toute perte ou de tout accès non autorisé aux renseignements personnels par l’impartiteur ou ses employés; un droit de vérification de la conformité au contrat et à toute loi stipulée comme s’y rapportant (c.-à-d. la FOIPPA de l’Alberta, la Health Information Act, etc.); l’obligation pour l’impartiteur d’avoir en place un système pour surveiller ou vérifier sa propre utilisation et divulgation des renseignements personnels, avec une disposition d’accès permettant à l’organisme public d’examiner ces registres à certaines conditions; et les conséquences stipulées en cas d’atteinte, y compris la déclaration obligatoire de toutes les copies des renseignements personnels et l’aide à la récupération des renseignements personnels perdus ou autrement divulgués.

Quelques conseils pratiques

À la lumière des récents changements dans la façon dont le secteur public canadien externalise le traitement de ses renseignements et des préoccupations des deux ordres de gouvernement concernant l’exposition possible de renseignements personnels à la USA PATRIOT Act ou à des ordres étrangers similaires, nous suggérons que toutes les entreprises qui cherchent à obtenir un contrat d’impartition d’un gouvernement fédéral ou provincial répondent à ces préoccupations dès le départ. En particulier, nous vous suggérons d’aborder la protection de la vie privée et la sécurité des données dans vos propositions et vos contrats, le cas échéant, d’une manière qui montre à la fois une compréhension approfondie des enjeux et des attentes changeantes du gouvernement à l’égard de ses fournisseurs de services.

1 Disponible à: .
2 Disponible à: .
3 Ibid., pp. 29-30.
4 Ibid., p. 34.