Vision, mission, raison d’être et contexte opérationnel – Rapport sur les résultats ministériels 2023-2024

À titre d’agent du Parlement, le commissaire à la protection de la vie privée du Canada relève directement de la Chambre des communes et du Sénat. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a pour mandat de surveiller le respect de la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé, ainsi que de certains aspects de la Loi canadienne anti-pourriel (LCAP). Le Commissariat a pour mission de protéger et de promouvoir le droit des individus^{Note de bas de page 1} à la vie privée.

Les pouvoirs grâce auxquels le commissaire peut défendre le droit des Canadiens à la vie privée sont les suivants :

• examiner les plaintes, mener des vérifications et intenter des poursuites judiciaires en vertu de la Loi sur la protection des renseignements personnels et de la LPRPDE;
• publier de l’information sur les pratiques relatives au traitement des renseignements personnels dans les secteurs public et privé;
• appuyer et effectuer des recherches sur des enjeux liés à la protection de la vie privée et en faire connaître les conclusions;
• sensibiliser la population aux enjeux touchant la protection de la vie privée et les lui faire comprendre, notamment comparaître devant le Parlement concernant des mesures législatives proposées et des études sur les sujets touchant le droit à la vie privée des Canadiens.

Le commissaire travaille indépendamment du gouvernement pour enquêter sur les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels visant le secteur public fédéral; il enquête également sur les plaintes faites en vertu de la LPRPDE visant le secteur privé. Il a aussi certaines responsabilités en ce qui concerne la conformité à la LCAP.

Le commissaire peut aussi traiter les plaintes en ayant recours à la médiation et à la conciliation; il est aussi habilité à convoquer des témoins, à faire prêter serment et à exiger la production d’éléments de preuves. Dans le cas où l’enquête n’a pas abouti à un accord ou un règlement volontaire et n’est toujours pas résolue, le commissaire peut saisir la Cour fédérale de l’affaire et demander à celle-ci d’émettre une ordonnance pour corriger la situation dans certaines circonstances.

Contexte opérationnel – 2023-2024

L’environnement opérationnel du Commissariat à la protection de la vie privée du Canada évolue constamment en raison des nouvelles façons d’utiliser les données personnelles et de la rapidité des changements technologiques.

En cette ère où la technologie est en constante évolution, l’ampleur même des progrès numériques, notamment dans le domaine de l’intelligence artificielle (IA), est en train de remodeler notre monde. Les entreprises, les institutions fédérales et les particuliers adoptent rapidement les technologies émergentes, et l’environnement regorge de possibilités passionnantes et de défis sans précédent. Alors que les nouvelles technologies promettent d’améliorer nos conditions de vie, il est essentiel de prendre en considération et de protéger les renseignements personnels touchés par ces innovations qui dépendent fortement des données. Malgré les avantages qu’ils pourraient en retirer, les enfants et les jeunes sont particulièrement vulnérables dans ce monde numérique et courent des risques qui peuvent limiter leur développement et compromettre leur bien-être.

Les atteintes à la sécurité des données se sont multipliées au cours des dix dernières années. On assiste notamment à une hausse marquée des attaques par rançongiciel et logiciel malveillant. Les organisations des secteurs privé et public s’inquiètent particulièrement du risque de faire l’objet de cyberattaques et de vols de données informatiques de la part de divers auteurs malveillants. De même, la majorité des individus estiment que le vol d’identité est préoccupant.

Au Canada comme ailleurs, la prolifération des technologies axées sur l’IA et l’IA générative suscite des inquiétudes en matière de protection de la vie privée. Les partenariats avec les autorités de protection des données et d’autres organismes de réglementation sont devenus de plus en plus nécessaires en 2023-2024, alors que l’IA générative arrivait en tête de liste des technologies en plein essor qui nécessitent une intervention coordonnée.

Les changements technologiques rendent encore plus complexes les enquêtes du Commissariat, en particulier dans un contexte où les lois demeurent inchangées. En 2023-2024, les organisations du secteur privé ont signalé au Commissariat 693 atteintes qui ont touché environ 25 millions de comptes canadiens. Pour naviguer dans cet environnement dynamique, il faut suivre l’évolution rapide de la technologie et fournir des conseils, des orientations et des solutions clairs et pratiques.

Les lois qui régissent la collecte, l’utilisation et la communication des renseignements personnels se modernisent dans le monde entier. Il y a plus de 20 ans, la LPRPDE a permis au Commissariat de faire figure de pionnier. Le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, marque une étape importante vers la modernisation de la loi sur la protection des renseignements personnels applicable au secteur privé et vers la réglementation de l’IA au Canada. Au moment de la rédaction du présent rapport, le projet de loi C-27 était toujours à l’étude au Parlement.

La perspective d’une réforme législative incite le Commissariat à se préparer à des changements opérationnels et structurels. Or, il doit faire preuve d’adaptabilité et d’innovation dans cette situation afin d’avoir une incidence significative, quel que soit le résultat de la réforme. Si la réforme ne se concrétise pas, il devra continuer à innover dans les limites prévues par les lois actuelles. Par ailleurs, la possibilité d’une réforme de la loi applicable au secteur public incite également le Commissariat à s’y préparer et à faire preuve d’adaptabilité.

En tant que petite organisation, les niveaux de financement actuels du Commissariat représentent un défi. Il est difficile pour le Commissariat de s’adapter au contexte opérationnel en constante évolution qui est le sien et de pleinement exécuter son mandat comme il l’entend. Depuis l’entrée en vigueur de la déclaration obligatoire des atteintes à la vie privée en vertu de la LPRPDE en 2018, le Commissariat a observé une augmentation de 600 % du nombre de signalements d’atteintes à la vie privée. Lors de l’exercice 2023‑2024 seulement, le nombre de signalements d’atteintes à la vie privée en vertu de la Loi sur la protection des renseignements personnels (LPRP) a augmenté de 88 % par rapport à l’exercice précédent. Le financement temporaire obtenu au cours des dernières années a permis au Commissariat de réduire l’arriéré d’enquêtes, de mener des enquêtes sur les nouvelles technologies complexes et pratiques commerciales et de réaliser un examen approfondi d’un plus grand nombre d’atteintes à la vie privée qui lui ont été signalées. Pour remplir son mandat actuel et s’adapter à toute nouvelle exigence législative, il est primordial que le Commissariat dispose d’un financement supplémentaire, opportun et stable.

Pour demeurer efficace dans l’environnement complexe et en constante évolution de la protection de la vie privée, le Commissaire a lancé un plan stratégique triennal qui sert à orienter les efforts du Commissariat et les concentrer sur les domaines dans lesquels il y a le plus de risques et de répercussions potentielles. Pendant les trois années à venir, ce plan permettra au Commissariat d’agir rapidement et de manière proactive en plus de l’aider à choisir à quoi consacrer ses ressources limitées.