Rapport annuel au Parlement 2004 concernant la Loi sur la protection des renseignements personnels et les documents électroniques
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
(613) 995-8210, 1 800 282-1376
Téléc. (613) 947-6850
ATS (613) 992-9190
© Ministre des Travaux publics et Services gouvernementaux Canada 2005
No de cat. IP51-1/2005
ISBN 0-662-68986-0
Cette publication est également disponible sur notre site Web à www.priv.gc.ca, ainsi que le Rapport annuel concernant la Loi sur la protection des renseignements personnels 2004-2005.
Octobre 2005
L’honorable Daniel Hays, sénateur
Président
Sénat du Canada
Ottawa
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1 er janvier au 31 décembre 2004 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.
Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Octobre 2005
L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1 er janvier au 31 décembre 2004 conformément à la Loi sur la protection des renseignements personnels et les documents électroniques.
Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Avant-propos
En 2004, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a atteint sa pleine vigueur à la suite de l'élargissement de son application à toutes les activités commerciales du pays, à l'exception des provinces ayant des lois réputées être essentiellement similaires à la loi fédérale. La Colombie - Britannique, l'Alberta et le Québec ont promulgué des lois relatives à la protection des renseignements personnels dans le secteur privé, qui sont considérées comme « essentiellement similaires » à la LPRPDE. Cette loi s'applique aux entreprises fédérales du Canada ainsi qu'aux transactions interprovinciales et internationales.
Il y a de quoi se réjouir de la pleine vigueur de la LPRPDE. Les Canadiennes et les Canadiens bénéficient maintenant de droits étendus en matière de protection des renseignements personnels dans le secteur privé, et ils sont protégés depuis longtemps dans le secteur public grâce à la Loi sur la protection des renseignements personnels et aux lois provinciales correspondantes. Cela ne signifie pas que les lois visant le secteur privé et le secteur public en matière de protection des renseignements personnels préservent entièrement et de tous points de vue le droit des Canadiennes et des Canadiens à la vie privée. Ce n'est pas le cas. Cependant, la majeure partie du cadre essentiel à la protection de ce droit est maintenant en place. Le Commissariat continuera de veiller à et d'analyser l'application de la LPRPDE afin de s'assurer que cette dernière dessert bien les Canadiennes et les Canadiens et que le secteur privé canadien comprend et respecte ses obligations qui en découlent. Nous continuerons à aider le secteur des affaires à s'y conformer et nous élaborerons des pratiques exemplaires qui permettront de réduire le fardeau et de préciser les attentes.
Défis intergouvernementaux
Comme pour toute loi relativement nouvelle, des difficultés peuvent survenir. Lorsqu'une province édicte une loi essentiellement similaire, en tout ou en partie, à la LPRPDE, il peut s'avérer difficile de déterminer quelle loi s'applique à certaines pratiques relatives au traitement des renseignements personnels, à savoir la loi provinciale ou la loi fédérale. Dans d'autres cas, il se peut aussi que les lois de deux juridictions soient en cause dans l'examen d'une question. Quelques-uns des facteurs relatifs au traitement des renseignements personnels peuvent être assujettis à une loi provinciale, comme c'est le cas pour la collecte de renseignements personnels à l'intérieur d'une province, tandis que d'autres, comme la communication interprovinciale des renseignements, peuvent relever de la LPRPDE.
Toutefois, grâce à la mobilisation des efforts du Commissariat, de nos homologues provinciaux et de l'industrie, ces problèmes commencent à s'estomper. Nous travaillons de pair avec nos collègues provinciaux pour simplifier les enquêtes lorsque les juridictions provinciale et fédérale sont en cause. Nous ne voulons pas compliquer la tâche de ceux qui doivent se conformer aux nombreuses lois canadiennes régissant la protection des renseignements personnels et nous ne voulons certainement pas gaspiller le peu de ressources dont disposent les commissaires à la protection de la vie privée du Canada en chevauchant leurs efforts pour mener des enquêtes et élaborer des politiques.
Univers complexe et changeant
L'environnement dans lequel nous revendiquons notre droit à la vie privée doit composer avec plusieurs éléments puissants : le progrès fulgurant des technologies de surveillance et de manipulation des données, la concurrence mondiale entre les entreprises qui incite celles - ci à obtenir et à utiliser plus de renseignements personnels à propos des consommateurs et des employés, et la nécessité pour le gouvernement d'obtenir des renseignements personnels pour améliorer l'efficacité administrative et répondre aux préoccupations mondiales actuelles en matière de sécurité. Ceux d'entre nous qui tentent de protéger ce droit fondamental doivent clamer la tenue d'un débat qui peut parfois être impopulaire et qui exige une vaste expertise dans des domaines de recherche de plus en plus complexes. Cela représente tout un défi.
Il ne faut pas oublier que l'information c'est le pouvoir et que le détenteur de renseignements personnels détient un pouvoir considérable. Une des complexités à laquelle nous avons fait face cette année provient de la convergence de deux phénomènes, qui ne sont pas du tout nouveaux mais qui ont atteint un point critique. D'une part, l'impartition des activités de traitement des données et des centres d'appels signifie que les renseignements personnels des Canadiennes et des Canadiens et des clients d'entreprises canadiennes sont transférés et traités à l'étranger. D'autre part, la soif grandissante des gouvernements étrangers, en particulier celui des États-Unis et de ses alliés dans la lutte contre le terrorisme, de consulter ces renseignements à des fins de « sécurité » signifie que l'on pourra avoir accès aux données imparties pour des raisons liées à l'application de la loi ou à la sécurité nationale hors de notre juridiction et de la protection consentie par nos lois et notre système judiciaire.
La circulation transfrontalière des données fait l'objet de discussions au Canada depuis les années 60. Le rapport intitulé Ordinateur et vie privée, publié en 1972 par les ministères des Communications et de la Justice, abordait cette question en profondeur, y compris les enjeux liés à la souveraineté. La question a incité l'Organisation de coopération et de développement économiques (OCDE) à élaborer les premières Lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel en 1980, puis l'Union européenne a adopté la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Pourtant, nous savons très peu de chose sur la circulation transfrontalière des renseignements personnels de la population canadienne et des clients d'entreprises canadiennes.
L'intérêt actuel pour la USA PATRIOT Act a soulevé une question litigieuse que l'on taisait depuis des dizaines d'années : dans quelle mesure les entreprises et les gouvernements canadiens devraient-ils communiquer des renseignements personnels à des gouvernements étrangers? Ce débat est loin d'être terminé. En fait, il ne fait que commencer. Le Commissariat a appuyé nombre des recommandations du commissaire à l'information et à la protection de la vie privée de la Colombie - Britannique, David Loukidelis, sur les questions concernant la circulation transfrontalière des renseignements personnels et nous poursuivrons notre travail afin de nous assurer que les Canadiennes et les Canadiens conservent leurs protections en matière de renseignements personnels.
Le Commissariat a la responsabilité de protéger la vie privée au Canada. Cependant, il ne peut pas accomplir cette tâche seul. Nous comptons sur tous les intervenants de la société pour nous aider à préserver les droits et les libertés qui sont inhérents à la richesse de l'histoire du Canada et de son tissu social. La complexité de l'environnement actuel en matière de protection des renseignements personnels a incité le Commissariat à lancer un programme des contributions qui vise à appuyer l'élaboration d'une capacité nationale de recherche sur la protection de la vie privée au Canada. Les résultats de cette première série de projets de recherche seront communiqués en 2005. Ces résultats compléteront les recherches en politiques menées par le Commissariat et, de façon modeste, enrichiront le milieu de l'enseignement de la protection des renseignements personnels au Canada.
Répondre à un besoin grandissant
Du 1er janvier au 31 décembre 2004, le Commissariat a reçu 723 plaintes en vertu de la LPRPDE, soit plus du double des 302 plaintes reçues l'année précédente. Il a également réglé beaucoup plus de cas, soit 379 plaintes contre 278 en 2003. Même si on se questionne toujours sur le bien-fondé du rôle de la commissaire qui agit à titre d'ombudsman — rôle qui ne lui accorde pas le pouvoir de prendre des décrets — il est clair que le Commissariat a bien des réalisations positives à son actif grâce à l'approche actuelle de l'ombudsman. Au cours de l'année 2004, 40 p. 100 des plaintes dont l'enquête est terminée ont été réglées et 7 p. 100 ont été résolues, ce qui montre bien que la prise de conscience, une caractéristique dominante de l'approche de l'ombudsman, est un outil efficace.
Nous avons instauré une procédure générale de suivi systématique des enquêtes relatives aux plaintes formulées en vertu de la LPRPDE. Nous serons dorénavant en mesure de surveiller le progrès des organisations dans la mise en oeuvre des engagements que celles-ci prennent durant ces enquêtes et dans le suivi des recommandations que leur transmet le Commissariat. La Direction de la vérification et de la revue du Commissariat est à renforcer sa capacité de vérification auprès des organisations assujetties à la LPRPDE, ce qui est tout aussi important.
Nous avons relevé plusieurs défis en 2004 et ces défis ne deviendront que plus nombreux et plus complexes. Pour ceux qui sont préoccupés par ce droit fondamental de la personne qu'est le droit à la vie privée, ce n'est pas le moment d'avoir peur de parler, ni d'avoir peur des débats ou de la controverse. Nous profiterons de l'examen de la LPRPDE en 2006 pour formuler des recommandations sur la façon d'améliorer et de mieux appliquer les deux lois sous notre gouverne. Même si l'application de la LPRPDE n'en est qu'à ses débuts, nous devons, compte tenu de l'évolution continuelle du milieu de la politique sur la protection des renseignements personnels, nous maintenir à jour et veiller à ce que les lois répondent efficacement aux menaces actuelles. Nous rédigeons présentement une liste d'améliorations et de propositions de changement, et nous sommes confiants que dans cinq ans, lors du prochain examen, d'autres modifications seront nécessaires. Le Parlement a eu la sagesse d'appuyer l'inclusion d'un examen périodique de la LPRPDE. En ce qui a trait à la Loi sur la protection des renseignements personnels, nous allons continuer à promouvoir son examen et l'inclusion du processus d'examen dans la loi elle-même.
Cette année, nous publions deux rapports afin d'établir une distinction entre la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cela nous semblait plus juste, compte tenu que la Loi sur la protection des renseignements personnels nous oblige à suivre l'exercice financier (2004 - 2005), alors qu'en vertu de la LPRPDE, nous sommes tenus de faire rapport en observant l'année civile (2004). De plus, chaque loi fournit un cadre distinct en ce qui a trait aux enquêtes et aux vérifications. Les deux rapports décrivent les efforts que nous avons déployés pour répondre aux attentes toujours plus nombreuses à l'égard du Commissariat pour que nous agissions, au nom du Parlement, à titre de gardiens de la protection de la vie privée des Canadiennes et des Canadiens. Les deux rapports se recoupent en plusieurs endroits, car un grand nombre de nos activités ne se rapportent pas spécifiquement à une loi ou à l'autre et, de plus en plus, les questions de politiques partagent des dénominateurs communs aux deux régimes.
Notre mandat aux multiples facettes
Le Commissariat à la protection de la vie privée veille au respect de deux lois : la Loi sur la protection des renseignements personnels, qui s'applique aux institutions du gouvernement fédéral, et la LPRPDE, qui régit la gestion des renseignements personnels dans le cadre des activités commerciales.
Le Parlement a investi le Commissariat du mandat de veiller à ce que le secteur public fédéral et le secteur privé (dans la plupart des provinces) rendent compte du traitement qu'ils font des renseignements personnels, et à ce que le public soit informé de son droit à la protection de la vie privée. Ce mandat n'est pas toujours compris.
En sa qualité d'ombudsman indépendant, le Commissariat agit à titre :
- d'enquêteur et de vérificateur possédant les pleins pouvoirs d'enquêtes et pouvant déposer des plaintes, mener des activités de vérification et s'assurer du respect des deux lois ;
- de sensibilisateur du grand public et de défenseur, ayant la double responsabilité de sensibiliser les entreprises à leurs obligations en vertu de la LPRPDE, et d'aider le public à comprendre son droit à la protection de ses données personnelles ;
- de chercheur et d' expert des enjeux en matière de protection de la vie privée auprès du Parlement, du gouvernement et des entreprises ;
- de défenseur des principes en matière de protection de la vie privée dans les litiges ayant trait à l'application et à l'interprétation des deux lois régissant la protection des renseignements personnels. Nous analysons également les répercussions des projets de loi et des propositions gouvernementales sur les lois et les politiques.
Point de vue de la politique
En 2004, nos principales préoccupations politiques portaient sur l'augmentation des demandes de renseignements personnels au nom de la sécurité nationale, à la circulation transfrontalière des renseignements personnels et, encore une fois, aux technologies portant atteinte à la vie privée. Des téléphones cellulaires dans les vestiaires aux systèmes mondiaux de localisation (GPS) dans les voitures, le besoin de mesurer l'incidence de ces nouvelles technologies et d'y intégrer les dispositions des lois relatives à la protection des renseignements personnels au moment de leur conception et de leur application est un défi continuel.
Technologie
Au cours de la dernière année, l'utilisation de dispositifs d'identification par radiofréquence (RFID) à des fins de repérage a eu des conséquences de plus en plus graves sur la protection de la vie privée. Les technologies RFID englobent des dispositifs qui utilisent habituellement les ondes radio pour lire un numéro de série enregistré sur une micropuce. Cette micropuce ou étiquette peut être fixée sur du matériel militaire, des passeports, des vêtements, des billets de monnaie, des véhicules, des pneus, des laissez-passer et sur presque tout ce qui se vend sur le marché, y compris les emballages de nourriture et de boisson. Entre autres fonctions, l'étiquette d'identification par radiofréquence permet de repérer des biens depuis le fabricant jusqu'au magasin de détail, de repérer une personne dans un établissement sanitaire ou de surveiller les déplacements d'un écolier.
Selon les caractéristiques de chaque modèle, les dispositifs d'identification par radiofréquence peuvent acheminer de l'information sur de longues distances ou sur quelques centimètres seulement. Ils peuvent garder en mémoire une multitude de renseignements personnels ou ne pas en garder du tout, et ils peuvent aussi servir de lecteurs biométriques. Ces dispositifs peuvent être « actifs » ou « passifs ». On les dit actifs lorsqu'ils peuvent transmettre de l'information à un lecteur de façon autonome, et passifs lorsqu'ils sont inactifs jusqu'à ce qu'un « lecteur » leur envoie un signal d'activation.
Ensemble, les étiquettes (qui peuvent être plus petites qu'un grain de riz ou dissimulées dans l'emballage d'un produit), les systèmes de codage puissants et les systèmes informatiques de pointe ont fortement incité les entreprises à utiliser les dispositifs d'identification par radiofréquence. Selon une étude de marché récente, la valeur du marché total des étiquettes d'identification passera de 1,95 milliard de dollars en 2005, à 26,9 milliards en 2015. Considérant qu'on pourra un jour se procurer une étiquette d'identification pour quelques sous seulement, l'ampleur de l'utilisation de ces étiquettes pourraient être plus grande que celle de presque toutes les autres technologies.
Les organisations doivent songer sérieusement aux implications juridiques de l'utilisation des dispositifs d'identification par radiofréquence. Toutefois, dans le tourbillon d'activités liées à ces dispositifs, peu nombreux sont ceux qui sont pleinement conscients des conséquences juridiques de la mise en place d'un tel système. À l'heure actuelle, les dispositifs d'identification sont utilisés par beaucoup d'entreprises et selon nous, nous devrons bientôt enquêter sur des plaintes liées à leur utilisation à des fins de repérage.
Dans le même ordre d'idées, même si les médias diffusent des histoires intéressantes à propos de l'utilisation abusive des systèmes mondiaux de localisation, la plupart des gens ne savent pas quelles données ces systèmes peuvent contenir. Heureusement, la LPRPDE comprend une disposition novatrice qui exige la transparence dans les pratiques liées aux renseignements personnels.
Les organisations qui fixent des dispositifs mondiaux de localisation aux biens de consommation ou aux moyens de transport (les voitures de location, par exemple) doivent établir la fonction du dispositif, les données que ce dernier recueille, combien de temps elles sont conservées et qui y a accès.
Nous sommes à l'aube d'un monde où la puissance informatique sera présente dans presque tous les dispositifs d'usage courant. Si nous ne sommes pas vigilants, cette puissance sera utilisée pour rassembler ou pour diffuser des renseignements personnels, ce qui portera gravement atteinte à la protection de la vie privée, ainsi qu'à notre autonomie et à notre dignité humaine. Comme on trouve les dispositifs de transmission le long des routes, sur les plaques d'immatriculation, la monnaie et les livres, il est difficile de contrôler les possibilités d'abus et d'atteinte à la vie privée. Les Canadiennes et les Canadiens doivent s'informer davantage et participer aux débats sur les enjeux pour la protection de la vie privée liés à ces nouveautés. Il faut que notre avenir soit le reflet des droits et des libertés que nous chérissons aujourd'hui. De Reginald Fessenden à Marshall McLuhan, les Canadiennes et les Canadiens ont été des chefs de file en ce qui a trait à l'élaboration de technologies et de théories dans le domaine des communications. Nous sommes confiants que nous pouvons relever le défi et démontrer que nous pouvons utiliser ces puissants dispositifs dans un monde où les ordinateurs et les communications sont omniprésents tout en respectant la plus fondamentale des valeurs humaines que représente la protection de la vie privée.
Guichet du Parlement pour la protection de la vie privée
À titre d'agente du Parlement, la commissaire à la protection de la vie privée relève directement du Sénat et de la Chambre des communes. Ainsi, le CPVP tient lieu de guichet du Parlement sur les questions de protection de la vie privée. Par l'entremise de la commissaire, des commissaires adjoints et des autres représentants du CPVP, le Commissariat porte à l'attention des parlementaires les enjeux ayant une incidence sur le droit à la protection de la vie privée des Canadiennes et des Canadiens. Pour ce faire, le CPVP dépose des rapports annuels au Parlement, se présente devant les comités du Sénat et de la Chambre des communes afin d'expliquer les répercussions des mesures législatives et des initiatives gouvernementales proposées sur la protection de la vie privée, et de dégager et d'analyser les enjeux qui, à son avis, doivent être portés à l'attention du Parlement.
Le Commissariat aide également le Parlement à être mieux informé en ce qui concerne la protection de la vie privée en agissant à titre de ressource ou de centre d'expertise sur ces questions. À ce titre, il doit répondre à une vaste correspondance et à de nombreuses demandes de renseignements de sénateurs et de députés.
Présentations devant les comités parlementaires
Les présentations devant les comités du Sénat et de la Chambre des communes constituent un élément clé de notre rôle de guichet du Parlement sur des questions de protection de la vie privée. Au cours de la période visée par ce rapport, la commissaire à la protection de la vie privée et les autres représentants du CPVP se sont présentés neuf fois devant des comités parlementaires : six fois pour des projets de loi ayant une incidence sur la protection de la vie privée et trois fois pour des questions ayant trait à la gestion et aux activités du Commissariat.
En 2004, le CPVP s'est présenté devant des comités parlementaires traitant des projets de lois suivants :
- Projet de loi C - 6, Loi sur la procréation assistée (3 mars 2004)
- Projet de loi C - 7, Loi de 2002 sur la sécurité publique (18 mars 2004)
- Projet de loi C-2, Loi modifiant la Loi sur la radiocommunication (6 mai 2004)
- Projet de loi C-12, la Loi sur la quarantaine (18 novembre 2004)
- Projet de loi C-22, Loi constituant le ministère du Développement social et modifiant et abrogeant certaines lois (9 décembre 2004)
- Projet de loi C-23, Loi constituant le ministère des Ressources humaines et du Développement des compétences et modifiant et abrogeant certaines lois (9 décembre 2004)
- Projet de loi C-11, la Loi sur la protection des fonctionnaires dénonciateurs d'actes répréhensibles (14 décembre 2004)
En ce qui concerne la gestion et les opérations du Commissariat, les représentants du CPVP se sont présentés devant les comités parlementaires en 2004 pour discuter des sujets suivants :
- Rapport annuel et budget principal des dépenses 2003-2004 (17 novembre 2004)
- Budget supplémentaire des dépenses (1er décembre 2004)
Autres activités de liaison avec le Parlement
Le CPVP a lancé plusieurs autres initiatives au cours de la dernière année dans le but d'offrir de meilleurs conseils au Parlement sur des enjeux en matière de protection de la vie privée.
En mai 2004, nous avons créé une fonction de liaison avec le Parlement afin d'améliorer nos relations avec le Parlement. Cette fonction relève de la Direction de la recherche et politique et reflète la volonté du CPVP de cibler ses activités parlementaires de façon à fournir aux députés et aux sénateurs des conseils éclairés et judicieux sur les politiques.
L'une des priorités de la dernière année a été d'améliorer notre façon d'évaluer, de surveiller et de prévoir l'activité parlementaire. Le CPVP a instauré un nouveau système amélioré pour suivre de près l'évolution des projets de loi au Parlement et pour rester à l'affût de nouveaux développements qui présenteraient un intérêt sur les plans de la promotion et de la protection du droit à la vie privée. L'objectif : ériger des ponts entre le CPVP et les ministères afin de leur faire part de nos observations plus tôt dans le processus législatif, au moment où nos commentaires peuvent être pris en compte de manière plus efficace. Lorsqu'un projet de loi a été déposé à la Chambre des communes, il est souvent trop tard pour repenser la façon d'aborder les enjeux en matière d'information.
Cette année, le Commissariat a répondu à une vaste correspondance et de nombreuses demandes de renseignements de sénateurs et de députés. La commissaire et les commissaires adjoints ont également rencontré en privé les sénateurs et les députés qui souhaitaient discuter de questions de politiques en matière de protection de la vie privée ou mieux connaître le fonctionnement du Commissariat.
Vers la fin de 2004, le CPVP a tenu, avec le Commissariat à l'information et en collaboration avec la Direction de la recherche de la Bibliothèque du Parlement, une séance d'information pour les parlementaires et leur personnel sur les rôles et les mandats des deux commissariats. L'assistance était nombreuse à la séance d'information et celle-ci a soulevé beaucoup de questions chez les participants. Nous sommes d'avis que de telles séances d'information contribuent à une plus grande sensibilisation aux enjeux relatifs à la protection de la vie privée sur la Colline du Parlement, et nous envisageons de tenir d'autres séances du genre à l'avenir.
Priorités pour l'année qui vient
Le Commissariat prévoit une charge de travail élevée dans le domaine des affaires parlementaires pour le prochain exercice. De nombreux projets de loi d'intérêt pour le CPVP sont attendus au cours de la prochaine session, et l'examen parlementaire prévu par la loi de la Loi sur la protection des renseignements personnels et les documents électroniques doit débuter en 2006. Le CPVP prévoit jouer un rôle constructif au cours de cet examen en conseillant judicieusement les parlementaires qui feront l'étude du fonctionnement de la Loi au cours de ses premières années de mise en application, et des modifications et améliorations possibles.
Le CPVP continuera de suivre avec intérêt l'examen parlementaire de la Loi antiterroriste. Au cours de l'exercice 2005-2006, la commissaire à la protection de la vie privée s'est présentée à deux reprises devant des comités à ce sujet, d'abord devant un Comité spécial du Sénat procédant à l'examen de la Loi (9 mai 2005), ensuite devant un sous-comité du Comité permanent de la justice de la Chambre des communes (1er juin 2005).
Afin d'agir efficacement à titre d'agent du Parlement, nous sommes d'avis qu'il faut entretenir de bonnes relations de travail avec les ministères et les organismes fédéraux. Le CPVP prévoit mettre davantage l'accent sur l'identification et la communication des préoccupations en matière de protection de la vie privée au moment où le gouvernement élabore certaines initiatives, plutôt que d'attendre qu'elles fassent leur entrée au Parlement, afin d'accroître les chances que ces préoccupations soient prises en considération.
Sécurité nationale
En mai 2004, on a édicté la Loi de 2002 sur la sécurité publique. Cette loi, présentée pour la première fois en novembre 2001 dans la foulée des attentats terroristes du 11 septembre, autorise le ministre des Transports, le commissaire de la GRC et le directeur du Service canadien du renseignement de sécurité (SCRS) à demander aux transporteurs aériens et aux exploitants de systèmes de réservation de services aériens de leur fournir, sans mandat, des renseignements sur les passagers. Cette mesure peut paraître justifiée compte tenu des risques que représentent les terroristes pour le transport aérien, mais l'utilisation qu'en font les autorités n'est pas seulement liée à la lutte antiterroriste ou à la sécurité des transports. La Loi de 2002 sur la sécurité publique permet aussi d'utiliser ces renseignements pour identifier les passagers recherchés en vertu d'un mandat et pour un large éventail d'infractions criminelles ordinaires. En d'autres mots, le mécanisme de la lutte antiterroriste sert à combler les lacunes de l'application ordinaire de la loi, nivelant par le bas le modèle généralement exigé des autorités responsables de son application.
Le gouvernement, qui conserve et exploite les donnés recueillies par le secteur privé, lance un message troublant aux organisations de ce secteur qui tentent d'observer les lois relatives à la protection des renseignements personnels. Si le gouvernement a le droit d'utiliser des données pour gérer les risques que peuvent représenter les personnes, pourquoi le secteur privé ne pourrait-il pas en faire autant? Afin de se conformer à la LPRPDE, les entreprises privées recueillent de moins en moins de données. Mais le gouvernement leur demande maintenant de conserver les renseignements recueillis de sorte qu'il puisse y avoir accès à des fins gouvernementales. La LPRPDE fixe la barre haute pour les organisations lorsqu'il s'agit d'utiliser et de communiquer des renseignements personnels sans consentement pour enquêter sur une fraude ou sur d'autres activités illégales qui ont des répercussions. Par contre, les normes auxquelles le gouvernement doit se conformer en vertu de la Loi sur la protection des renseignements personnels sont beaucoup moins rigoureuses.
En 2004, le Commissariat a exprimé ses inquiétudes à propos d'une disposition de la Loi de 2002 sur la sécurité publique qui modifie la LPRPDE. Cette modification autorise les organisations assujetties à la LPRPDE à recueillir des renseignements personnels sans consentement afin de les communiquer au gouvernement, aux organismes chargés d'appliquer la loi et aux agences de sécurité nationales si ces renseignements ont un lien avec la sécurité nationale, la défense du Canada ou la conduite des affaires internationales. Le fait de permettre aux organisations du secteur privé de recueillir des renseignements personnels sans consentement les enrôle effectivement dans des activités de maintien de l'ordre et brouille dangereusement la ligne de démarcation entre le secteur privé et l'État. Dans le Rapport annuel concernant la Loi sur la protection des renseignements personnels, les questions liées à la sécurité publique sont abordées plus en profondeur, mais cette question est aussi importante du point de vue de la LPRPDE, car il y a un risque que les données du secteur privé soient manipulées incorrectement pour servir les intérêts de l'État.
La Loi antiterroriste de 2001 comprenait une disposition concernant la tenue d'un examen après trois ans. Le Sénat a nommé un comité spécial pour procéder à cet examen. À la Chambre des communes, cet examen est effectué par le Sous - comité de la sécurité publique et nationale, un sous - comité du Comité permanent de la justice et des droits de la personne, de la sécurité publique et de la protection civile. Cependant, ce comité ne tient pas compte des nombreuses autres lois qui ont aussi été édictées ou amendées dans la foulée des attentats terroristes. Bon nombre de ces lois possèdent un grand pouvoir d'intrusion et devraient aussi être révisées.
En 2001, la Loi sur les secrets officiels a été remplacée par la Loi sur la protection de l'information. L'article 10 de la nouvelle loi autorise l'administrateur d'un ministère, après obtention d'un certificat, à astreindre les membres du secteur privé au secret à perpétuité concernant les méthodes d'enquête ou les opérations spéciales. Nous comprenons que cette procédure peut s'avérer nécessaire lorsque la sécurité nationale et l'infrastructure essentielle sont menacées, mais afin d'assurer la responsabilisation, nous sonnons l'alarme lorsque se présentent de nouveaux pouvoirs sans dispositions de surveillance complémentaires. Nous avons soulevé la question de la responsabilisation et de la surveillance dans notre présentation au Parlement portant sur l'examen de la Loi antiterroriste, mais la disposition visée figure dans la Loi sur la protection de l'information, et nous estimons que la fréquence de son utilisation doit être rendue publique.
Dans la lutte contre le terrorisme, les gouvernements ont clairement souligné la nécessité d'une coopération du secteur privé pour assurer la sécurité publique et la sécurité de l'infrastructure essentielle. Du point de vue du Commissariat, nous devons aussi nous interroger sur notre capacité à bien surveiller le secteur privé et le rôle qu'il pourrait jouer en matière de sécurité. Aux États-Unis, l'utilisation de bases de données du secteur privé et la conservation des renseignements personnels pour le maintien de l'ordre et la lutte contre le terrorisme fait toujours l'objet de critiques. Nous ne savons pas dans quelle mesure ces pratiques d'utilisation et de conservation des renseignements personnels sont courantes au Canada, mais il s'agit d'un sujet de plus en plus préoccupant pour les Canadiennes et les Canadiens et nous essayons d'obtenir des réponses pour être en mesure de donner suite à leurs requêtes et à leurs plaintes.
En juillet 2004, le gouvernement du Canada a commencé à appliquer de nouvelles normes de sécurité maritime en vertu du Code international pour la sûreté des navires et des installations portuaires (Code ISPS) de l'Organisation maritime internationale. Afin d'accroître la sécurité maritime, Transports Canada propose l'instauration d'un Programme d'accès aux zones réglementées des infrastructures maritimes, programme controversé qui vise à vérifier les antécédents des employés des ports pouvant entrer dans les zones à accès restreint. Dans le cadre de cette procédure, une quantité importante de renseignements personnels et susceptibles d'être confidentiels sera recueillie auprès de 30 000 employés des ports. La mesure dans laquelle les bases de données de renseignements du secteur privé doivent servir à ces vérifications de sécurité est une autre question d'intérêt pour le Commissariat.
Le problème du couplage des données n'est pas nouveau et préoccupe les spécialistes de la protection des renseignements personnels et les organismes de surveillance depuis plus de vingt ans. La technologie ayant évolué, nous ne parlons plus réellement de couplage des données, mais plutôt du forage des données. De nombreuses utilisations invisibles sont faites des systèmes intégrés d'information qui recueillent et analysent un grand nombre de renseignements personnels liés à nos tendances touristiques, à nos opérations financières et même aux gens que nous fréquentons. Si les consommateurs connaissaient et comprenaient bien ces systèmes, ils les verraient d'un bon oeil puisque, grâce à eux, les demandes de prêt sont approuvées plus rapidement, les vols de cartes de crédit sont détectés instantanément et le service à la clientèle s'est amélioré. Toutefois, ces systèmes analysent désormais aussi une tonne de renseignements personnels dans le but de découvrir des activités qui laisseraient supposer qu'une personne menace la sécurité, blanchit de l'argent ou contribue au financement d'un groupe de terroristes.
Puisque les organismes chargés de l'application de la loi et les agences de sécurité nationale recueillent beaucoup de renseignements provenant de nombreuses sources et concernant beaucoup de gens, il y a de fortes chances que leurs décisions soient fondées sur de faux renseignements ou sur des renseignements qui sont examinés hors contexte.
L'utilisation malveillante, la fausse interprétation ou la communication inappropriée de renseignements personnels peut avoir de graves conséquences sur les personnes, les familles et même les collectivités concernées. Le problème s'aggrave lorsque, en raison des dispositions relatives au secret et du manque de transparence, nous ne sommes pas en mesure de déterminer où se trouve la faille dans le système ou pourquoi ces personnes ont été injustement visées.
L'impartition et la circulation transfrontalière des renseignements personnels
La question de la transmission vers l'étranger de renseignements personnels à partir du Canada (circulation transfrontalière des données) remonte à la même époque que les lois sur la protection des renseignements personnels. Les spécialistes et les experts en politique gouvernementale des années 60 et 70 prévoyaient que le progrès de la technologie des communications entraînerait une plus grande circulation de données. Mais auraient-ils pu prévoir que la circulation de données à l'échelle planétaire prendrait l'ampleur qu'elle a aujourd'hui?
En 2004, en Colombie-Britannique, une plainte a été déposée au sujet de l'impartition des renseignements personnels sur la santé du gouvernement vers une entreprise américaine oeuvrant sur son territoire. C'est à ce moment que la question de la circulation transfrontalière des renseignements personnels est devenue d'actualité au Canada. Le syndicat des employés du gouvernement de la Colombie-Britannique a déclaré que le gouvernement américain aurait accès à ces renseignements grâce à l'extension des pouvoirs de fouille établie par la USA PATRIOT Act en 2001. Même si beaucoup de cas d'impartition des renseignements personnels ont retenu l'attention du public depuis les dernières années, soulevant parfois des inquiétudes quant à leurs conséquences sur la protection des renseignements personnels, il semble que ce soit le premier cas où une loi particulière constitue un danger. Par la suite, le commissaire à l'information et à la protection de la vie privée de la Colombie-Britannique, David Loukidelis, a fait la démarche d'inviter le public à soumettre ses commentaires sur cette affaire, et nous avons répondu à l'appel en présentant un mémoire.
Notre soumission expliquait qu'une entreprise détenant des renseignements personnels sur des résidants canadiens au Canada n'est pas tenue de fournir ces renseignements à un gouvernement étranger ou à un organisme à la suite d'une ordonnance directe rendue par un tribunal étranger. En fait, dans bien des cas, l'organisation canadienne enfreindrait la LPRPDE si elle communiquait ces renseignements sans le consentement des personnes auxquelles ils se rapportent.
Toutefois, si une organisation communiquait des renseignements en vertu d'une loi canadienne telle que la Loi sur l'aéronautique, qui autorise les transporteurs aériens canadiens à communiquer à d'autres pays des renseignements sur les passagers, elle n'irait pas à l'encontre de la LPRPDE.
Nous jugeons aussi qu'une organisation qui exerce ses activités dans un pays étranger et qui détient des renseignements personnels sur des Canadiennes et des Canadiens dans ce pays doit se soumettre aux lois de celui-ci. Ce qui signifie que lorsqu'une organisation canadienne impartit le traitement des renseignements personnels aux États-Unis ou à tout autre pays, il est possible qu'on ait accès à ces renseignements en vertu des lois de ces pays.
Évidemment, le gouvernement étranger pourrait demander ces renseignements par le biais d'un traité d'entraide juridique et demander au ministère fédéral de la Justice de faire en sorte que les organismes chargés d'appliquer la loi au Canada obtiennent pour eux ces renseignements auprès de sociétés canadiennes. Ce système de collaboration entre gouvernements est antérieur à la USA PATRIOT Act.
La LPRPDE traite de façon succincte de la question de la circulation transfrontalière des données au principe 4.1.3 de l'Annexe de la Loi. Selon ce principe, l'information transmise à des fins de traitement doit être protégée dans une mesure « comparable » à celle de la LPRPDE. Cependant, lorsque des données sont détenues ou traitées à l'extérieur du Canada, il est impossible de contrôler ce que ces pays font de cette information et le Commissariat n'a aucune autorité de surveillance.
Il faut s'occuper de toute urgence du problème de la circulation des renseignements personnels afin d'assurer la protection des renseignements personnels que nous transmettons partout dans le monde. Au début de l'année 2005, la diffusion d'une série d'articles de presse et de reportages au sujet d'entreprises étrangères détenant des renseignements personnels sur des Canadiennes et des Canadiens, coupables d'atteinte à la sécurité, a fait ressortir l'importance d'exercer une vigilance sur la circulation transfrontalière des données au Canada.
Recherche sur les nouveaux enjeux liés à la protection de la vie privée
Le 1 er juin 2004, le Commissariat a officiellement lancé un programme des contributions afin d'appuyer la recherche des groupes sans but lucratif (comme les établissements scolaires, les associations industrielles et commerciales, les organisations de consommateurs, les organismes bénévoles et de défense des droits) sur la protection des renseignements personnels et sur les façons de protéger ces derniers. Ce programme est un jalon dans le développement d'une capacité nationale de recherche dans ce domaine au Canada. Il a été conçu pour aider le Commissariat à sensibiliser davantage la population et à mieux lui faire comprendre les enjeux de la protection de la vie privée.
Le programme des contributions de 2003 - 2004 en place mettait l'accent sur deux grandes priorités. La première consistait à étudier de quelle façon et dans quelle mesure les nouvelles technologies portent atteinte à la vie privée. Ces technologies comprenaient la surveillance vidéo, les dispositifs d'identification par radiofréquence, la technologie de repérage et la biométrie. Bon nombre de ces technologies sont plus menaçantes pour la vie privée lorsqu'elles sont utilisées par les gouvernements, mais elles représentent aussi une grave menace lorsqu'elles sont utilisées par le secteur privé.
La deuxième priorité du programme de recherche était plus directement liée à la mise en oeuvre de la LPRPDE, surtout depuis que de nouveaux secteurs de l'économie sont assujettis à cette loi, soit depuis janvier 2004. Cette partie du programme des contributions mettait l'accent sur la connaissance et la promotion de bonnes pratiques relatives à la protection de la vie privée comme élément clé d'un comportement commercial responsable.
Les projets ayant bénéficié d'un financement total de 371 590 $ comprennent :
Projets financés
Association canadienne du marketing Toronto, Ontario |
Rehausser le niveau de protection de la vie privée Évaluer et élaborer les pratiques exemplaires en matière de protection de la vie privée pour aider les entreprises à mieux traiter les renseignements personnels des clients en vertu de la LPRPDE |
50 000 $ |
---|---|---|
École nationale d'administration publique (ENAP) |
Étude sur l'utilisation des caméras de surveillance vidéo au Canada |
50 000 $ |
Université Queen's |
Les technologies de localisation : mobilité, surveillance et protection de la vie privée |
49 972 $ |
La Freedom of Information and Privacy Association de la C.-B. |
La LPRPDE et le vol d'identité : solutions pour protéger les Canadiennes et les Canadiens |
49 775 $ |
Universités de l'Alberta et de Victoria |
Dossiers de santé électroniques et LPRPDE |
49 600 $ |
Université de Toronto |
Examen des énoncés de confidentialité sur Internet et des pratiques en ligne |
48 300 $ |
Université de Victoria |
Services basés sur l'emplacement : analyse des répercussions sur la vie privée dans le contexte canadien |
27 390 $ |
Option Consommateurs |
Le défi de l'identification des consommateurs aux nouvelles méthodes de paiement par voie électronique |
17 100 $ |
Université Simon Fraser |
Les droits à la protection de la vie privée et les services de communications payés d'avance : évaluer la question de l'anonymat |
14 850 $ |
Université Dalhousie |
Analyse des répercussions juridiques et technologiques sur la protection de la vie privée des technologies d'identification par radiofréquence |
14 603 $ |
Ces projets seront complétés en 2005. Des liens vers les résultats de ces projets seront affichés sur notre site Web.
Lois provinciales essentiellement similaires à la loi fédérale
Conformément au paragraphe 25(1) de la LPRPDE, le Commissariat est tenu de rendre compte chaque année au Parlement de la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires à la LPRPDE.
Depuis le 1 er janvier 2004, la LPRPDE s'applique à toutes les activités commerciales. Toutefois, l'alinéa 26(2) b ) permet à la gouverneure en conseil de prendre un décret qui soustrait certaines activités de l'application de la LPRPDE. Ce décret peut être pris si la province en question a adopté une loi jugée essentiellement similaire à la LPRPDE. Ce décret peut exclure une organisation, une catégorie d'organisations, une activité ou une catégorie d'activités de l'application de la LPRPDE à l'égard de la collecte, de l'utilisation ou de la communication de renseignements personnels assujettis à cette loi qui s'effectue à l'intérieur de la province en cause.
Le but de cette disposition est de permettre aux provinces et aux territoires de réglementer les pratiques de gestion des renseignements personnels des organisations faisant affaire à l'intérieur de leurs frontières, tout en assurant la protection homogène et efficace des renseignements personnels partout au Canada.
Si la gouverneure en conseil prend un décret déclarant la loi d'une province essentiellement similaire à la loi fédérale, la collecte, l'utilisation ou la communication de renseignements personnels par des organisations assujetties à la loi provinciale ne seront pas régies par la LPRPDE. Les transactions interprovinciales et internationales seront visées par la LPRPDE et celle - ci continuera également de s'appliquer, dans les limites d'une province, aux entreprises fédérales, ce qui comprend les banques, les compagnies aériennes, les radiodiffuseurs et les entreprises de télécommunications.
Processus d'évaluation des lois provinciales et territoriales
Le 3 août 2002, Industrie Canada a publié un avis dans la Partie I de la Gazette du Canada qui établit la manière dont il déterminera si les lois provinciales ou territoriales sont réputées essentiellement similaires à la LPRPDE.
Une province, un territoire ou une organisation peut enclencher ce processus. À cette fin, il lui faut informer le ministre de l'Industrie de l'existence d'une loi qui, à son avis, est essentiellement similaire à la LPRPDE. Le ministre peut aussi agir de son propre chef et recommander à la gouverneure en conseil de désigner une loi provinciale ou territoriale comme étant essentiellement similaire à la loi fédérale. L'avis précise que le ministre sollicitera le point de vue de la commissaire à la protection de la vie privée et qu'il l'inclura dans sa présentation à la gouverneure en conseil. Le processus offre également une occasion au public et aux parties intéressées de formuler des observations sur les lois dont il est question.
Selon l'avis publié dans la Gazette du Canada, le ministre s'attend à ce que les lois essentiellement similaires à la loi fédérale des provinces ou des territoires comportent les éléments suivants :
- elles intègrent les dix principes de l'annexe 1 de la LPRPDE ;
- elles prévoient un mécanisme de surveillance et de recours indépendant et efficace comportant des pouvoirs d'enquête ; et
- elles restreignent la collecte, l'utilisation et la communication des renseignements personnels à des fins appropriées ou légitimes.
Lois provinciales « essentiellement similaires à la loi fédérale » adoptées à ce jour
La Loi sur la protection des renseignements personnels dans le secteur privé de la province de Québec est entrée en vigueur, avec quelques exceptions, le 1er janvier 1994. Elle contient des dispositions détaillées qui augmentent le droit à la protection des renseignements énoncées aux articles 35 à 41 du Code civil du Québec et leur donnent force de loi. En novembre 2003, la gouverneure en conseil a pris un décret (C.P. 2003-1842, 19 novembre 2003) qui exclut certaines organisations de cette province, qui sont assujetties à la loi provinciale. La LPRPDE continue de s'appliquer aux entreprises fédérales ainsi qu'aux transactions interprovinciales et internationales.
En 2003, les provinces de la Colombie-Britannique et de l'Alberta ont voté des lois qui s'appliquent à toutes les organisations de ces deux provinces, sauf a) celles qui sont assujetties à d'autres lois provinciales en matière de protection des renseignements personnels et b) les entreprises fédérales visées par l'application de la LPRPDE. Les deux lois — qui portent le même titre, soit Personal Information Protection Act — ont été adoptées par les assemblées législatives et sont entrées en vigueur le 1 er janvier 2004.
En nous fondant sur les critères établis dans l'avis publié dans la Gazette du Canada, soit la présence des dix principes de l'annexe 1 de la LPRPDE, un mécanisme de surveillance et de recours indépendant et une disposition limitant la collecte, l'utilisation et la communication des renseignements aux seules fins légitimes (le critère de la personne raisonnable), nous avons conclu que, dans l'ensemble, les lois de la Colombie-Britannique et de l'Alberta sont essentiellement similaires à la LPRPDE.
Pour l'Alberta et la Colombie - Britannique, la gouverneure en conseil a émis deux décrets (C.P. 2004-1163, le 12 octobre 2004 et C.P. 2004-1164, le 12 octobre 2004) excluant les organisations visées par la loi provinciale. La LPRPDE continue de s'appliquer aux entreprises fédérales ainsi qu'aux transactions interprovinciales et internationales.
La Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario est entrée en vigueur le 1er novembre 2004. La LPRPS établit les règles relatives à la collecte, à l'utilisation et à la communication de renseignements personnels sur la santé pour les dépositaires de renseignements sur la santé en Ontario. Le Commissariat a informé Industrie Canada qu'il est d'avis que la LPRPS, qui touche les dépositaires d'information relative à la santé, est essentiellement similaire à la LPRPDE. Industrie Canada a demandé au Commissariat son avis sur un projet de décret déclarant que la loi de l'Ontario est essentiellement similaire à la LPRPDE, mais aucun décret final n'avait encore été pris au moment de mettre le présent rapport sous presse.
Juridictions
En Alberta et en Colombie - Britannique, les lois sur la protection des renseignements personnels s'appliquant au secteur privé étaient en vigueur durant la majeure partie de 2004, soit du 1er janvier au 12 octobre, mais celles-ci n'avaient pas encore été déclarées essentiellement similaires à la loi fédérale. Au cours de cette période, les deux lois sur la protection des renseignements personnels visant le secteur privé ainsi que la LPRPDE s'appliquaient. Il y avait donc juridiction concurrente.
À partir du 1 er janvier 2004, la LPRPDE s'appliquait aux renseignements personnels dans le secteur privé en Ontario (sauf aux employés assujettis à la réglementation provinciale). La Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) est entrée en vigueur le 1 er novembre 2004. Depuis cette date, la LPRPDE et la Loi de l'Ontario s'appliquent aux renseignements personnels sur la santé dans le secteur privé. Comme ce fut le cas avec les lois s'appliquant au secteur privé en Alberta et en Colombie - Britannique, la LPRPDE et la LPRPS de l'Ontario s'appliqueront aux renseignements personnels sur la santé dans le secteur privé jusqu'à ce que la LPRPS soit déclarée essentiellement similaire à la loi fédérale.
Il se peut que même une loi « essentiellement similaire à la loi fédérale » n'ait pas de portée suffisamment large pour éviter toute concurrence entres les différentes juridictions. Dans le cas de l'Ontario, par exemple, le décret ne visera pas toutes les entités visées par la LPRPS de l'Ontario. Le décret proposé pourrait s'appliquer aux règlements concernant les dépositaires de renseignements sur la santé. Par conséquent, la LPRPS serait la seule loi s'appliquant à la collecte, à l'utilisation et à la communication de renseignements personnels par ces dépositaires en Ontario.
Par contre, le décret ne s'appliquerait pas aux tierces parties qui reçoivent ces renseignements personnels des dépositaires de renseignements sur la santé. En ce qui a trait aux dépositaires de renseignements ne concernant pas la santé, la LPRPS possède uniquement des dispositions sur l'utilisation et la communication de renseignements personnels sur la santé. La LPRPS ne réglemente pas les autres obligations en matière de protection de la vie privée, comme la collecte, l'accès et les mesures de protection. Par conséquent, la LPRPDE continuerait de s'appliquer pour ces activités.
Une manière simple d'éviter qu'il y ait des chevauchements entre les travaux des différents commissaires dans les secteurs des juridictions concurrentes consiste à conclure des ententes informelles définissant les tâches de chacun. Le Commissariat travaillera en étroite collaboration avec l'Ontario, comme il l'a fait avec la Colombie - Britannique et l'Alberta afin que les deux lois soient appliquées de manière aussi homogène que possible.
Même si une loi a été déclarée « essentiellement similaire » à la LPRPDE, ce ne sont pas toutes les activités commerciales d'une province qui seront visées par ce décret, et les limites de la juridiction de chacune de ces lois ne seront pas toujours claires. Des questions complexes liées aux juridictions se poseront et il faudra une collaboration étroite entre les juridictions visées pour les résoudre.
Par exemple, la Health Information Act ( HIA ) de l'Alberta s'applique aux dispensateurs de soins de santé qui sont payés par le régime d'assurance - santé de l'Alberta pour offrir de tels soins. La HIA ne s'applique pas aux professionnels de la santé qui offrent des soins de santé dans le privé. Bien que la Personal Information Protection Act ( PIPA ) de l'Alberta s'applique aux organisations du secteur privé, elle ne vise pas les renseignements personnels sur la santé, tels qu'ils sont définis dans la HIA, qui sont recueillis, utilisés ou communiqués à des fins liées aux soins de santé. Par conséquent, la collecte, l'utilisation ou la communication de renseignements personnels sur la santé effectuée par des professionnels oeuvrant dans le secteur privé ne relève d'aucune des deux lois de l'Alberta. C'est donc la LPRPDE qui s'applique dans un tel cas.
En mars 2005, un projet de loi a été présenté devant l'assemblée législative de l'Alberta en vue de modifier la PIPA pour y inclure explicitement les activités des professionnels de la santé oeuvrant dans le privé qui font la collecte, l'utilisation ou la communication de renseignements personnels sur la santé dans le cadre de services médicaux. La modification a depuis été adoptée et a permis de résoudre ce problème.
Circulation des renseignements personnels au-delà des limites provinciales
Un autre aspect des questions de juridiction surgit lorsque les renseignements circulent au-delà des limites provinciales. Une organisation de l'Alberta peut communiquer des renseignements personnels à une autre organisation en Saskatchewan dans le cadre d'une activité commerciale. Une personne pourrait se plaindre de cet échange interprovincial au Commissariat. Par ailleurs, une personne qui désire se plaindre de la communication de renseignements personnels qui la concerne par une organisation de l'Alberta peut déposer sa plainte auprès du commissaire à l'information et à la protection de la vie privée de l'Alberta en vertu de la PIPA de l'Alberta. Toutefois, si cette personne désire se plaindre de la collecte de ses renseignements personnels en Saskatchewan, elle peut déposer sa plainte auprès de la commissaire à la protection de la vie privée du Canada puisque la Saskatchewan ne dispose pas d'une loi essentiellement similaire à la loi fédérale régissant les activités des organisations du secteur privé. Que la plainte soit déposée en Alberta, auprès du Commissariat ou auprès des deux, nous collaborerons ensemble pour coordonner nos efforts dans la mesure du possible.
La question de juridiction est parfois obscure. Dans le cadre d'une affaire dont est actuellement saisi le Commissariat, la plaignante travaillait pour une organisation située dans une des provinces de l'Ouest qui dispose d'une loi essentiellement similaire à la loi fédérale. L'organisation offrait une assurance - invalidité. La plaignante avait demandé à la société d'assurances, dont le siège social était situé au Québec, d'avoir accès à son dossier, qui était conservé à Toronto. La société d'assurance a indiqué que la LPRPDE s'appliquait. S'agissait-il ici de la loi appropriée ou ce cas relevait - il plutôt d'une loi provinciale –
Dans un autre cas, une personne travaillait pour une entreprise située dans une des provinces de l'Ouest qui dispose d'une loi essentiellement similaire à la loi fédérale. Par l'intermédiaire de l'entreprise, la personne avait accès à un Programme d'aide aux employés (PAE) en Ontario et s'est plainte de la communication de renseignements personnels par le PAE. Puisque l'Ontario n'avait pas encore de loi essentiellement similaire à la loi fédérale, la LPRPDE s'appliquait en Ontario. Mais s'agit-il d'une juridiction de l'Ontario — parce que le PAE se trouve en Ontario — ou d'une juridiction de la province de l'Ouest en vertu de la loi de cette province concernant le secteur privé –
Simplifier notre approche en matière de juridiction
Les commissaires du Canada et des provinces unissent leurs efforts afin de trouver ensemble une solution aux problèmes de juridiction, et ce processus se déroule dans un esprit de collaboration, sans confrontations. Si quelques personnes saisissent les tribunaux d'affaires mettant en cause la juridiction, dans l'ensemble, ces enjeux peuvent largement être réglés grâce à la discussion. Nous cherchons dans chaque cas à établir le mécanisme le plus simple et le plus clair possible pour les personnes et les organisations.
La création d'un forum régional sur la protection des renseignements personnels par le secteur privé, en collaboration avec l'Alberta et la Colombie - Britannique, est un des moyens que nous avons trouvés pour simplifier notre approche en matière de juridictions et de questions connexes liées aux enquêtes. Ce forum fonctionne sous la direction des commissaires du Canada et des provinces/territoires et vise à coordonner et à harmoniser la supervision fédérale et provinciale du secteur privé au Canada. Des employés chevronnés du secteur des enquêtes et du secteur juridique provenant de chacun des commissariats participent à des téléconférences mensuelles et à des réunions semestrielles. Ce forum a plusieurs fonctions, dont la plus importante consiste à élaborer des procédures pour la détermination de la juridiction, le transfert des plaintes et la conduite d'enquêtes parallèles.
Les commissaires du Canada et des provinces/territoires ont concerté leurs efforts pour mettre au point des protocoles d'entente relativement au traitement des enquêtes en présence de juridictions qui se chevauchent. En mars 2004, la commissaire à la protection de la vie privée du Canada a envoyé un protocole d'entente aux commissaires à l'information et à la protection de la vie privée de l'Alberta et de la Colombie - Britannique, et une lettre similaire au commissaire à l'information et à la protection de la vie privée de l'Ontario en janvier 2005, dans lequel elle confirmait les discussions entourant le règlement des plaintes relatives à des organisations de ces provinces. Ce protocole énonce en partie la manière dont le Commissariat à la protection de la vie privée du Canada s'occuperait des plaintes avant et après que la loi d'une province est déclarée « essentiellement similaire à la loi fédérale ».
Ces protocoles d'entente sont affichés sur le site Web du Commissariat à la protection de la vie privée du Canada (www.priv.gc.ca). Ce site Web ainsi que les sites des autres commissaires provinciaux à l'information et à la protection de la vie privée présentent de plus amples renseignements concernant les juridictions, y compris une fiche d'information.
Le Commissariat entretient depuis longtemps des rapports avec la Commission d'accès à l'information (CAI) au Québec. Le Québec a été la première province canadienne à adopter une loi sur la protection des renseignements personnels dans le secteur privé, en 1994. Afin de tirer parti de la riche jurisprudence qu'a connue le Québec depuis 1994, nous avons commandé un document examinant et résumant l'expérience du Québec à ce jour.
Afin que cette démarche s'avère aussi utile que possible pour l'ensemble des provinces et des territoires, nous avons constitué un comité de rédaction externe pour faciliter l'exécution de ce projet. Les membres de ce comité sont :
Madeleine Aubé, avocate générale, Commission d'accès à l'information du Québec
Jeffrey Kaufman, Fasken Martineau, Toronto
Mary O'Donoghue, avocate principale, Commissariat à l'information et à la protection de la vie privée de l'Ontario
Murray Rankin, Arvay Finlay, Victoria
Frank Work, c.r., commissaire à l'information et à la protection de la vie privée de l'Alberta
Ce document a été publié au mois d'août 2005 et est maintenant disponible sur notre site Web.
Le commissaire de l'Alberta et la commissaire fédérale ont déjà collaboré pour mener une enquête comportant des éléments fédéraux et provinciaux — voir par exemple, le sommaire de cas sur une enquête fédérale-provinciale concernant des renseignements médicaux envoyés par erreur, mentionné plus loin, sous la section des incidents visés par la LPRPDE. Dans un autre cas, le service de police d'Edmonton a trouvé, dans le cours d'une enquête, des renseignements servant à déterminer les autorisations de sécurité des fonctionnaires de l'Alberta. Ces renseignements incluaient des rapports de solvabilité. Les parties de l'enquête ayant trait à la correction de rapports de solvabilité erronés relèvent du commissaire à l'information et à la protection de la vie privée de l'Alberta, tandis que le Commissariat s'est occupé des questions systématiques de conservation des rapports de solvabilité.
Même si les pièges constitutionnels sont nombreux, nous espérons qu'en adoptant une approche pratique pour l'application des lois régissant la protection des renseignements personnels du Canada, nous serons en mesure d'offrir une protection adéquate de la vie privée au Canada.
Évolution de la Loi sur la protection des renseignements personnels et les documents électroniques
Modifications statutaires
Amendements à la LPRPDE
La Loi de 2002 sur la sécurité publiqueNote de bas de page 1 inclut deux amendements à la LPRPDE. Ces derniers ont pour effet de permettre aux organisations de recueillir et d'utiliser des renseignements personnels sans consentement afin de les communiquer lorsque la loi l'exige ou de les communiquer à des institutions gouvernementales si ces renseignements ont trait à la sécurité nationale, à la défense du Canada ou à la conduite des affaires internationales.
La commissaire s'est présentée devant le Comité sénatorial permanent des transports et des communications, le 18 mars 2004, pour faire entendre ses préoccupations au sujet de ces amendements.Note de bas de page 2 Dans sa déclaration au Comité, la commissaire soulignait que les amendements proposés à la LPRPDE autorisent les organisations à agir à titre d'agents de l'État en recueillant des renseignements personnels sans consentement dans le seul but de communiquer ces renseignements au gouvernement et à des organismes du maintien de l'ordre. Elle demandait que l'amendement proposé à la LPRPDE soit abandonné et exprimait ses inquiétudes quant au fait que le libellé de cette loi est si vaste qu'il s'applique à toute organisation assujettie à la LPRPDE et que l'amendement ne réduit pas la quantité de renseignements recueillis sans consentement ni n'impose de limites quant aux sources de renseignements.
La Loi de 2002 sur la sécurité publique, sans les changements recommandés par la commissaire, est entrée en vigueur le 11 mai 2004.
Amendements à d'autres lois
Les Règles de la Cour fédérale (1998) ont été adoptées avant la LPRPDE. C'est ce qui explique pourquoi la règle 304(1) c ), qui traite du service d'« avis de demande », ne faisait pas référence à la LPRPDE. Par conséquent, en février 2003, les services juridiques ont demandé que la règle 304(1) c ) soit amendée afin d'indiquer la nécessité d'aviser la commissaire à la protection de la vie privé chaque fois qu'une demande est présentée en vertu de la LPRPDE ainsi que de la Loi sur la protection des renseignements personnels.
Les Règles modifiant les Règles de la Cour fédérale (1998) sont entrées en vigueur le 29 novembre 2004 et ont été publiées dans la Partie II de la Gazette du Canada, le 15 décembre 2004 (DORS/2004-283). L'article 16 de ce document amende la règle 304(1) c ) pour inclure la LPRPDE. Le libellé de cet article est maintenant le suivant :
[...] 304(1) c ) si la demande est présentée en vertu de la Loi sur l'accès à l'information, la Loi sur la protection des renseignements personnels, la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques ou la Loi sur les langues officielles, au commissaire compétent sous le régime de cette loi ; [...]
Examen de la LPRPDE par le Parlement en 2006
Le Commissariat se prépare à l'examen de la LPRPDE par le Parlement, qui est prévu pour 2006. L'année 2006 peut sembler lointaine dans le contexte du présent rapport annuel de 2004, mais notre expérience des quatre dernières années en matière de surveillance de l'application de la loi nous a convaincus qu'il s'agissait du moment opportun pour se préparer, et que le Commissariat constitue également le lieu adéquat où commencer. Le Commissariat jouera un rôle actif dans l'élaboration de positions de principe visant à rendre le fonctionnement de la loi plus simple et plus efficace, tant pour les organisations que pour les personnes, et à veiller à ce que les pratiques équitables en matière d'information qui sont au coeur de la LPRPDE se traduisent dans la pratique.
Comme toute nouvelle loi d'importance, la LPRPDE comporte des lacunes. Il est difficile d'obtenir du premier coup une loi qui soit entièrement exempte de toute lacune, surtout si cette loi innove et qu'elle prévoit de nouveaux droits et de nouvelles obligations. Nous n'avons pas toutes les solutions pour remédier à ces lacunes, mais nous avons repéré plusieurs enjeux et, dans certains cas, suggéré des moyens possibles de les traiter.
- Portée
- La portée de la LPRPDE est-elle efficace en regard des renseignements personnels concernant les employés? Bon nombre de plaintes qui nous sont adressées ont trait à la relation employeur-employé. Actuellement, la LPRPDE ne convient pas toujours à ce type de relation. Dans les lois de la Colombie - Britannique et de l'Alberta régissant le secteur privé, les renseignements concernant les employés sont assujettis à un ensemble de règles distinct.
- Il y a des chevauchements évidents entre la LPRPDE et le Code canadien du travail ainsi qu'entre le mandat du Commissariat à la protection de la vie privée et celui des arbitres du travail.
- Il subsiste une certaine incertitude quant à la distinction, s'il en est une, entre l'activité « commerciale », telle qu'elle est définie par la Loi, et les services « professionnels ».
- Ailleurs dans le présent rapport, nous décrivons un cas qui implique l'envoi non sollicité de courrier électronique de nature commerciale à une adresse électronique professionnelle. La définition énoncée par la loi sur les « renseignements personnels », qui exclut certains renseignements personnels d'ordre professionnel tels que l'adresse et le numéro de téléphone, devrait - elle être élargie pour inclure l'adresse de courrier électronique professionnelle?
- Consentement
- Le consentement est au coeur de la LPRPDE. Il s'agit aussi d'une des questions les plus problématiques soulevées en vertu de la Loi. Par exemple, une organisation doit-elle obtenir le consentement de tous ses clients lorsqu'elle propose de communiquer les renseignements personnels qui les concernent dans le cas d'une fusion ou d'une acquisition? Il semble que ce soit ce que la Loi exige, mais cette exigence n'est pas toujours applicable pour plusieurs raisons commerciales fondées. Les lois régissant la protection des renseignements personnels dans le secteur privé en Colombie - Britannique et en Alberta traitent d'emblée cette question et établissent des règles visant à protéger les renseignements personnels des consommateurs dans le cas d'une fusion ou d'une acquisition. La LPRPDE devrait-elle faire de même?
- Surveillance
- La LPRPDE confère à la commissaire les pouvoirs d'un ombudsman. En d'autres termes, la commissaire n'a pas le pouvoir de prendre un décret ni d'imposer une pénalité à l'encontre d'une organisation qui contrevient à la LPRPDE. Bien que nous soyons d'avis que le modèle de l'ombudsman fonctionne bien dans l'ensemble (en fait, même dans les juridictions qui ont le pouvoir de prendre un décret quant aux questions touchant à la protection des renseignements personnels, la grande majorité des cas sont réglés sans qu'il y ait recours au décret), nous sommes au fait que dans d'autres juridictions, les organismes de surveillance ont des pouvoirs d'application de la loi. Le Parlement souhaite peut-être se pencher sur les avantages et les désavantages des deux modèles dans son examen de la LPRPDE en 2006.
Il ne s'agit là que de quelques enjeux qui peuvent être examinés au cours de l'examen quinquennal de la Loi.
Plaintes
En 2004, la LPRPDE était pleinement en vigueur et s'appliquait à l'ensemble des activités commerciales dans les provinces dépourvues de lois essentiellement similaires à la loi fédérale. Au cours de l'année, le Commissariat a connu une hausse soudaine des plaintes déposées en vertu de la LPRPDE ; en effet, il a reçu 723 plaintes entre le 1er janvier et le 31 décembre, soit plus du double des 302 plaintes reçues l'année précédente. Comme l'indique le tableau de la page 34, l'augmentation du champ d'application de la Loi semble constituer un facteur important de l'accroissement des plaintes. Une fois de plus, ce sont les institutions financières qui ont le plus souvent fait l'objet de plaintes, comme on peut s'y attendre, en raison des grandes quantités de renseignements personnels qu'elles manipulent. Elles étaient suivies par le secteur des télécommunications, un autre secteur ayant souvent fait l'objet de plaintes au cours des dernières années. Par ailleurs, le Commissariat a reçu des plaintes concernant quatre nouveaux secteurs — l'assurance, les ventes, l'hébergement et les services professionnels — totalisant plus de 25 p. 100 des plaintes. Il reste à savoir s'il y aura d'autres augmentations du nombre de plaintes, à mesure que les Canadiennes et les Canadiens connaîtront mieux la Loi.
Plaintes reçues en vertu de la LPRPDE entre le 1er janvier et le 31 décembre 2004
Répartition par secteur
Secteur | Nombre | Pourcentage |
---|---|---|
Institutions financières | 212 | 29,3 % |
Télécommunications | 125 | 17,3 % |
Assurances | 82 | 11,3 % |
Ventes | 82 | 11,3 % |
Transports | 67 | 9,3 % |
Santé | 36 | 5 % |
Hébergement | 18 | 2,5 % |
Professionnels | 15 | 2,1 % |
Services | 10 | 1,4 % |
Autres | 76 | 10,5 % |
Total | 723 | 100 % |
Les plaintes concernaient les sujets suivants :
Répartition par type de plainte
Type de plainte | Nombre | Pourcentage |
---|---|---|
Utilisation et communication | 286 | 39,6% |
Collecte | 172 | 23,8% |
Accès | 112 | 15,5% |
Mesures de sécurité | 40 | 5,5 % |
Consentement | 37 | 5,1 % |
Exactitude | 22 | 3 % |
Correction/Annotation | 11 | 1,5 % |
Frais | 12 | 1,7 % |
Autres | 4 | 0,6 % |
Conservation | 6 | 0,8 % |
Responsabilité | 9 | 1,2 % |
Délais | 9 | 1,2 % |
Possibilité de porter plainte | 1 | 0,2 % |
Transparence | 2 | 0,3 % |
Total | 723 | 100 % |
Au cours de l'année 2004, le Commissariat a fermé 379 plaintes. Il s'agit d'une amélioration par rapport à l'année précédente, où il en avait fermé 278. Néanmoins, au cours de ces deux années, le Commissariat a reçu plus de plaintes qu'il n'en a fermé. Il y a donc un risque de créer des arriérés.
Le Commissariat prend présentement des initiatives pour régler la situation, entre autres en réaffectant des ressources et en revoyant la façon de mener ses enquêtes. Une des approches les plus prometteuses pourrait être le fait de mettre l'accent, depuis janvier 2004, sur une catégorie de règlement des plaintes intitulée « Réglée en cours d'enquête ». Il s'agit de cas où, au cours de l'enquête, le Commissariat a aidé à trouver une solution satisfaisante pour l'ensemble des parties.
Temps de traitement des plaintes en vertu de la LPRPDE
Le tableau présente la durée moyenne du traitement d'une plainte à partir de la date de réception d'une plainte jusqu'à sa conclusion.
Par conclusion
Pour la période s'échelonnant du 1er janvier au 31 décembre 2004
Type de plaintes fermées | Temps de traitement moyen en mois |
---|---|
Réglée rapidement | 2,9 |
Abandonnée | 5,6 |
Réglée en cours d'enquête | 7,2 |
Hors juridiction | 7,8 |
Résolue | 10,5 |
Non fondée |
11,0 |
Fondée |
11,0 |
Moyenne globale | 8,3 |
Par type de plainte
Pour la période s'échelonnant du 1er janvier au 31 décembre 2004
Type de plainte | Temps de traitement moyen en mois |
---|---|
Frais | 3,4 |
Exactitude | 6,4 |
Consentement | 6,9 |
Délais | 8,1 |
Utilisation et communication | 8,2 |
Accès | 8,3 |
Mesures de sécurité | 8,4 |
Correction/Annotation | 8,5 |
Collecte | 8,9 |
Conservation | 9,5 |
Responsabilité | 12,0* |
Possibilité de porter plainte | 12,0* |
Moyenne globale | 8,3 |
* Le temps de traitement moyen pour ces deux types de plaintes représente en fait un cas pour chacune.
Le règlement des plaintes en cours d'enquête n'a rien de nouveau ; c'est plutôt le fait que le Commissariat mette désormais l'accent sur ce type de règlement qui s'avère nouveau. En 2003, les cas réglés en cours d'enquête représentaient 2 p. 100 de l'ensemble des dossiers. En revanche, sur 379 cas résolus en 2004, 152 (soit un peu plus de 40 p. 100) faisaient partie de la catégorie des plaintes « réglées en cours d'enquête ». Ce fut de loin la méthode la plus utilisée.
Le fait de désormais mettre l'accent sur le règlement des plaintes constitue un élément important face au grand nombre de plaintes que reçoit le Commissariat. Au cours de l'année, le règlement en cours d'enquête d'une plainte a pris, en moyenne, moins de temps que toute autre forme de résolution, sauf dans le cas des plaintes abandonnées (où, par exemple, le plaignant peut ne plus vouloir poursuivre sa demande ou ne peut être localisé) ou réglées rapidement, c'est-à-dire lorsque la question est traitée avant la tenue d'une enquête.
Si nous examinons les données concernant les catégories de plaintes « réglées en cours d'enquête » et « réglées rapidement », nous pouvons voir que 45 p. 100 des plaintes que reçoit le Commissariat sont résolues sans avoir nécessité l'investissement en ressources impliquant une enquête complète. Il s'agit là d'une bonne nouvelle pour un organisme faisant face à une charge de travail croissante.
Le fait que le Commissariat ait pu régler un si grand nombre de dossiers laisse entendre que les organisations et les plaignants accueillent favorablement la possibilité de résoudre les plaintes avec célérité et réalisme. La démarche convient bien au rôle d'ombudsman du Commissariat ; après tout, notre rôle consiste à aider les personnes à résoudre des problèmes. En même temps, nous devons naturellement veiller au respect des intentions politiques générales de la LPRPDE. Le Commissariat, autant que le plaignant et l'organisation concernée, souhaite voir les dossiers réglés ; cependant, selon nous, l'enthousiasme pour le règlement des plaintes en cours d'enquête ne signifie pas le règlement des plaintes à tout prix. Nos enquêteurs travaillent en étroite collaboration avec les parties dans le cadre du processus de règlement afin de veiller à ce qu'on aborde les problèmes systémiques soulevés par une plainte.
Plaintes terminées entre le 1er janvier et le 31 décembre 2004 : types de conclusions
Définition des types de plaintes formulées en vertu de la LPRPDE
Les plaintes que reçoit le Commissariat sont classées d'après les principes et les dispositions législatives de la LPRPDE qui ont été présumément enfreints :
- Accès. Une personne s'est vu refuser l'accès aux renseignements personnels qu'une organisation détient à son sujet ou n'a pas reçu tous les renseignements, soit en raison de l'absence de certains documents ou renseignements ou parce que l'organisation a invoqué des exceptions afin de soustraire les renseignements.
- Responsabilité. Une organisation a failli à l'exercice de ses responsabilités à l'égard des renseignements personnels qu'elle possède ou qu'elle garde ou elle a omis de désigner une personne responsable de surveiller l'application de la Loi.
- Exactitude. Une organisation a omis de s'assurer que les renseignements personnels qu'elle utilise sont précis, complets et à jour.
- Possibilité de porter plainte. Une organisation a omis de mettre en place les procédures ou les politiques qui permettent à une personne de porter plainte en vertu de la Loi ou elle a enfreint ses propres procédures et politiques.
- Collecte. Une organisation a recueilli des renseignements personnels non nécessaires ou les a recueillis par des moyens injustes ou illégaux.
- Consentement. Une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement de la personne concernée ou elle a fourni des biens et des services à la condition que la personne consente à la collecte, à l'utilisation ou à la communication déraisonnable de renseignements personnels.
- Correction/Annotation. L'organisation n'a pas corrigé, à la demande d'une personne, les renseignements personnels qu'elle détient à son sujet ou, en cas de désaccord avec les corrections demandées, n'a pas annoté les renseignements afin d'indiquer la teneur du désaccord.
- Frais. Une organisation a exigé plus que des frais minimaux pour fournir à des personnes l'accès à leurs renseignements personnels.
- Conservation. Les renseignements personnels sont conservés plus longtemps qu'il n'est nécessaire aux fins du but qu'une organisation a déclaré au moment de la collecte des renseignements ou, s'ils ont été utilisés pour prendre une décision au sujet d'une personne, l'organisation n'a pas conservé les renseignements assez longtemps pour permettre à la personne d'y avoir accès.
- Mesures de sécurité. Une organisation n'a pas protégé les renseignements personnels qu'elle détient avec des mesures de sécurité appropriées.
- Délais. Une organisation a omis de fournir à une personne l'accès aux renseignements personnels qui la concernent dans les délais prévus par la Loi.
- Utilisation et communication. Les renseignements personnels sont utilisés ou communiqués à des fins autres que celles auxquelles ils avaient été recueillis, sans le consentement de la personne concernée, et l'utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée ne font pas partie des exceptions prévues dans la Loi.
Processus d'enquête en vertu de la LPRPDE
Définitions des conclusions en vertu de la LPRPDE
Le Commissariat a élaboré une série de définitions de ses « conclusions » pour expliquer les résultats de ses enquêtes menées en vertu de la LPRPDE :
Non fondée : l'enquête n'a pas permis de déceler des éléments de preuves qui suffisent à conclure qu'une organisation a enfreint les droits du plaignant en vertu de la LPRPDE.
Fondée : l'organisation n'a pas respecté une disposition de la LPRPDE.
Résolue : l'enquête a corroboré les allégations, mais l'organisation a pris les mesures nécessaires pour remédier à la situation, à la satisfaction du Commissariat, ou s'est engagée à prendre ces mesures correctives.
Réglée en cours d'enquête : le Commissariat aide à négocier, en cours d'enquête, une solution qui convient à toutes les parties. Aucune conclusion n'est rendue.
Abandonnée : il s'agit d'une enquête qui est terminée avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l'affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, qui sont essentiels pour en arriver à une conclusion.
Hors juridiction : L'enquête a montré que la LPRPDE ne s'applique pas à l'organisation ou à l'activité faisant l'objet de la plainte.
Réglée rapidement : il s'agit d'un nouveau type de disposition. Elle s'applique aux situations lorsque l'affaire est réglée avant même qu'une enquête officielle ne soit entamée. À titre d'exemple, si une personne dépose une plainte concernant un sujet qui a déjà fait l'objet d'une enquête par le Commissariat et qui a été jugé conforme à la LPRPDE, nous expliquerons la situation à la personne plaignante. Cette conclusion est également utilisée lorsqu'une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du Commissariat.
Conclusions par type de plainte
Plaintes fermées entre le 1er janvier et le 31 décembre 2004
Abandonnée | Réglée rapidement |
Hors juri- diction |
Non fondée |
Résolue | Réglée en cours d'enquête |
Fondée | TOTAL | |
---|---|---|---|---|---|---|---|---|
Accès | 10 | 3 | 2 | 8 | 5 | 20 | 14 | 62 (16 %) |
Responsabilité | 0 | 0 | 0 | 0 | 0 | 1 | 0 | 1 (0 %) |
Exactitude | 2 | 1 | 0 | 1 | 0 | 1 | 0 | 5 (1 %) |
Possibilité de porter plainte | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 (0 %) |
Collecte | 10 | 2 | 1 | 25 | 15 | 30 | 13 | 96 (25 %) |
Consentement | 2 | 1 | 0 | 0 | 0 | 3 | 1 | 7 (2 %) |
Correction/Annotation | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 2 (1 %) |
Frais | 0 | 2 | 1 | 0 | 0 | 2 | 0 | 5 (1 %) |
Conservation | 0 | 0 | 0 | 0 | 1 | 1 | 0 | 2 (1 %) |
Mesures de sécurité | 0 | 0 | 1 | 2 | 0 | 13 | 2 | 18 (5 %) |
Délais | 0 | 0 | 0 | 2 | 1 | 3 | 1 | 7 (2 %) |
Utilisation et communication | 22 | 10 | 1 | 25 | 5 | 77 | 33 | 173 (46 %) |
TOTAL (# and %) |
46 (12 %) |
19 (5 %) |
6 (2 %) |
63 (17 %) |
27 (7 %) |
152 (40 %) |
66 (17 %) |
379 |
Demandes de renseignements
L'Unité des demandes de renseignements répond aux demandes du public au sujet de la mise en application de la LPRPDE ainsi que de la Loi sur la protection des renseignements personnels. Le Commissariat reçoit des milliers de demandes de renseignements chaque année en provenance du public et d'organisations cherchant à obtenir des avis concernant la protection des renseignements personnels dans le secteur privé.
En 2004, le Commissariat a reçu 12 132 demandes de renseignements concernant la LPRPDE, soit moins qu'en 2003, alors qu'il en avait reçu 13 422. Cette diminution peut être attribuable à une meilleure compréhension de la LPRPDE par les organisations qui y sont assujetties. En 2003, par contre, bon nombre d'organisations étaient à la recherche de conseils en prévision de la mise en application intégrale de la LPRPDE le 1er janvier 2004.
Au cours de l'année, les pénuries de personnel dans l'Unité des demandes de renseignements, conjuguées au volume très élevé de travaux en cours, ont présenté des défis. À l'issue de quoi, il a été nécessaire de réévaluer la manière dont nous répondons aux demandes de renseignements du public. Le Commissariat n'accepte plus les demandes de renseignements ou les plaintes par courriel. Nous avons instauré un système téléphonique automatisé pour répondre aux questions du public les plus fréquemment posées, notamment celles concernant le vol d'identité, le télémarketing et, bien entendu, le numéro d'assurance sociale. En outre, nous continuons d'ajouter de l'information dans le site Web du Commissariat afin de répondre aux questions les plus fréquentes. Nous avons également affecté temporairement quelques enquêteurs pour qu'ils aident l'Unité. Enfin, nous invitons désormais les personnes à téléphoner pendant les heures de bureau ; nous pouvons souvent mieux déterminer, et de façon plus rapide, les besoins d'un demandeur en lui parlant au téléphone que par l'entremise d'une série de courriels et de lettres.
Statistiques concernant les demandes de renseignements
Pour la période s'échelonnant du 1er janvier au 31 décembre 2004
Le tableau suivant représente le nombre total de demandes de renseignements concernant la LPRPDE auxquelles l'Unité des demandes de renseignements a répondu.
Demandes de renseignements par téléphone | 8 861 |
---|---|
Demandes de renseignements par écrit(lettre, courriel et télécopieur) | 3 271 |
Nombre total de demandes de renseignements reçues | 12 132 |
Délais de réponse aux demandes de renseignements
En moyenne, les demandes de renseignements écrites (soit le quart de la charge de travail de l'Unité) ont reçu une réponse dans les trois mois. Par ailleurs, les demandes de renseignements effectuées par téléphone constituent presque les trois quarts des demandes de renseignements. La majorité de ces dernières ont reçu une réponse immédiate. Quant au reste des demandes ayant pu nécessiter des recherches, elles ont été traitées à l'intérieur d'une à deux semaines.
Fournir des réponses écrites aux demandes de renseignements exige beaucoup de temps et de main - d'oeuvre. Au cours de l'année, l'Unité des demandes de renseignements a accumulé des arriérés en raison de demandes de renseignements excédant le temps de réponse mensuel moyen. Avec la mise en place des nouvelles mesures, le Commissariat veillera à déterminer si les changements ont entraîné une hausse de l'efficacité.
Cas choisis en vertu de la LPRPDE
Les cas suivants illustrent l'ampleur et l'éventail des cas faisant l'objet d'une enquête par le Commissariat. Nous avons diffusé 29 résumés de cas pour l'année 2004 sur notre site Web.
Renseignements médicaux communiqués en raison d'un choix de mots indiscret
Même avec les meilleures intentions et lors d'activités apparemment sans conséquences, comme lorsqu'il s'agit simplement d'appeler un taxi, les professionnels de la santé doivent faire attention à ce qu'ils disent aux gestionnaires d'entreprise sur la santé des employés.
Les faits
Après avoir suivi un programme pour toxicomanes, le plaignant a signé un contrat de « dernière chance », condition pour conserver son emploi dans une entreprise de transport nationale. Ce contrat l'obligeait à se soumettre à une surveillance régulière, ainsi qu'à des tests de dépistage de consommation de drogue et d'alcool effectués au hasard par le fournisseur de services de santé de l'entreprise. Le plaignant était très préoccupé par la confidentialité et avait fait en sorte de cacher sa situation à ses collègues et à ses superviseurs.
Un jour, alors qu'il était en congé chez lui, il a reçu un appel d'une infirmière lui demandant de se rendre à la clinique dans les quatre heures afin de fournir un échantillon d'urine. Quand il a dit à l'infirmière qu'il ne pouvait pas y aller, celle-ci a répondu qu'elle appellerait l'entreprise et organiserait son transport en taxi. Peu de temps après, le plaignant recevait un appel de son superviseur lui disant qu'un taxi le conduirait au laboratoire. Le superviseur lui a ensuite demandé s'il était « sous contrat », laissant entendre qu'il faisait référence à un « contrat de dernière chance ».
En se fondant sur les paroles du superviseur, le plaignant a présumé que l'infirmière en avait trop dit à son sujet. Irrité par ce qu'il croyait être une communication de renseignements confidentiels le concernant, il a confronté l'infirmière et le superviseur en prononçant des paroles offensantes que l'entreprise a jugées passibles d'une mesure disciplinaire. Une enquête s'en est suivie et le plaignant a été congédié pour conduite inconvenante pour un employé (il a été réintégré depuis).
Le superviseur a déclaré au Commissariat qu'après avoir entendu les mots « test » et « clinique » utilisés par l'infirmière au cours de leur conversation téléphonique, il avait supposé que le plaignant participait à un programme de surveillance pour toxicomanes. De son côté, l'infirmière a affirmé avoir utilisé le mot « rendez-vous » et non pas « test ». Elle prétend n'avoir donné au superviseur que les renseignements nécessaires pour lui signifier qu'un taxi était nécessaire et qu'il y avait un motif raisonnable pour que l'entreprise paie la course.
À un certain moment, le directeur régional de l'entreprise a demandé à l'infirmière d'étoffer sa version des faits quant à la mauvaise conduite présumée du plaignant. Elle l'a fait dans un courriel envoyé au directeur régional et acheminé par la suite à deux autres cadres supérieurs. Dans le courriel, l'infirmière déclarait que le plaignant devait se soumettre à un « test médical ... pour vérifier s'il était toujours en état d'assumer sa tâche » et ce, dans les quatre heures suivant son appel téléphonique. Croyant que ce renseignement laissait supposer sa participation au programme, le plaignant a objecté que le renseignement avait été communiqué aux parties en question.
Le plaignant prétend que l'infirmière a communiqué de façon inappropriée ses renseignements personnels à son superviseur dans une conversation téléphonique et aux autres cadres supérieurs dans un courriel.
Nos conclusions
Quant à la conversation téléphonique, bien qu'il semble pertinent que l'infirmière ait donné au superviseur un motif pour justifier l'appel d'un taxi, notre enquête n'a pas permis d'établir avec exactitude ce que l'infirmière avait dit au superviseur. Quels que soient les mots employés, ils ont laissé entendre au superviseur que le plaignant participait au programme de surveillance pour les toxicomanes ou, alors, ils ont simplement confirmé ses soupçons.
De même pour le courriel, nous ne contestons pas la nécessité d'informer les cadres supérieurs de la mauvaise conduite présumée du plaignant, mais le contenu de cette information pose problème. Puisque le but de l'infirmière était de relater le comportement du plaignant, il était superflu d'indiquer que ce dernier était tenu de se soumettre à un test médical dans les quatre heures. Les mots « rendez-vous chez le médecin » auraient été suffisants pour expliquer la nécessité de prendre un taxi.
Il est donc établi que l'entreprise a utilisé de manière inappropriée les renseignements personnels du plaignant en contrevenant au principe 4.3 de la Loi. La plainte était fondée.
Un professeur se plaint d'être inondé de courriels non sollicités à son bureau
L'adresse courriel d'affaires d'une personne est-elle une pratique équitable pour les spécialistes du marketing?
Les faits
Le plaignant a reçu, à son bureau de l'université, un courriel non sollicité annonçant des billets de saison pour les parties d'une équipe professionnelle. L'agent vendeur en cause a admis avoir pris l'adresse électronique sur le site Web de l'université et il a accepté de ne plus envoyer de courriel au plaignant sans son consentement. Deux semaines plus tard, cependant, le plaignant a reçu un deuxième courriel de sollicitation provenant de la même organisation, mais d'un agent vendeur différent.
Le plaignant prétend que l'organisation a obtenu et utilisé ses renseignements personnels sans son consentement.
L'organisation n'a pas nié qu'elle avait envoyé au plaignant un courriel de sollicitation à l'adresse de son bureau à deux occasions. Les deux représentants des ventes en cause sont responsables d'un « programme » de sollicitation différent, le premier du « programme universitaire » et le second du « programme des spécialistes du droit ». L'agent responsable du programme des spécialistes du droit a conçu sa liste à partir du site Web d'un cabinet d'avocats auquel le plaignant était associé. Il n'y avait aucun système de concordance indiquant que le plaignant avait demandé de supprimer son nom des listes de marketing de l'organisation.
En réponse au plaignant, l'organisation a supprimé son nom de toutes ses listes de marketing et établi des contrôles de référence de vente pour assurer un traitement similaire pour toute objection éventuelle. L'organisation a aussi fait appel à une nouvelle entreprise de billetterie et de vente mieux renseignée sur les exigences de la LPRPDE.
L'université en cause est d'avis que les adresses de courriel de son personnel constituent de l'information commerciale. L'université exige habituellement des membres des facultés qu'ils acceptent de publier leur adresse de courriel d'affaires, conformément à son modèle d'affaires et à son attente voulant que les employés soient facilement accessibles. Toutefois, l'université s'attend aussi à ce qu'une entreprise ou une organisation demande la permission avant de communiquer avec les membres d'une faculté à des fins qui ne sont pas liées à la promotion des intérêts de l'université.
L'article 2 de la Loi exclut précisément de la définition de renseignement personnel le nom, le titre d'un employé d'une organisation ainsi que les adresse et numéro de téléphone de son lieu de travail, mais ne mentionne pas l'adresse de courriel d'affaires d'un employé. Les alinéas 7(1) d ) et 7(2) c.1 ) précisent qu'une organisation peut recueillir et utiliser des renseignements personnels à l'insu de l'intéressé et sans son consentement s'il s'agit de renseignements réglementaires auxquels le public a accès.
Aux fins de ces alinéas, le règlement précise que les renseignements auxquels le public a accès incluent le nom, le titre, l'adresse et le numéro de téléphone d'une personne qui figure dans un répertoire, une liste ou un avis à caractère professionnel ou d'affaires qui est accessible au public, si la collecte, l'utilisation ou la communication de ces renseignements est directement liée à la raison pour laquelle ils figurent dans le répertoire, la liste ou l'avis.
Nos conclusions
Nous avons conclu premièrement, puisque l'article 2 ne mentionne pas l'adresse de courriel d'affaires parmi les types de renseignements exclus, qu'il s'agit d'un renseignement personnel aux fins de la Loi.
Il fallait ensuite déterminer si l'organisation sportive pouvait invoquer les exceptions au consentement énoncées aux alinéas 7(1) d ) et 7(2) c.1 ).
L'université a publié les adresses de courriel des facultés sur son site Web en espérant que les entreprises, les organisations et les personnes communiquent avec les membres des facultés dans le but de servir les intérêts de l'université. La vente de billets de saison pour une manifestation sportive n'est toutefois pas liée à ce but. Le même raisonnement s'applique au site Web du cabinet auquel le plaignant était associé. De plus, même après la première protestation du plaignant, l'organisation a obtenu son adresse courriel de cette autre source et l'a utilisée de nouveau à des fins de marketing, et ce, malgré la demande explicite du plaignant.
En somme, nous avons établi que l'organisation ne peut invoquer les exceptions au consentement puisqu'elle a recueilli et utilisé les renseignements personnels du plaignant à des fins sans rapport avec le motif pour lequel ces renseignements ont été publiés. Par conséquent, l'organisation a recueilli et utilisé des renseignements personnels sur le plaignant sans son consentement, contrevenant au principe 4.3 de la Loi. La plainte était fondée.
La vidéosurveillance, en dernier recours
Le Commissariat considère la vidéosurveillance comme une forme de technologie portant grandement atteinte à la vie privée. La nature même du médium permet la collecte de nombreux renseignements personnels, dont beaucoup sont liés à des tierces parties n'ayant commis aucun délit, sont parfois superflus ou mènent à des jugements sur la personne en cause qui n'ont rien à voir avec le but initial de la collecte d'information.
Les entreprises ne devraient recourir à la vidéosurveillance qu'en dernier recours à des fins d'enquête, notamment pour enquêter sur les employés à l'extérieur du lieu de travail.
Les faits
Pendant qu'il était à l'emploi d'une entreprise, le plaignant a déclaré avoir subi des blessures liées au travail et a demandé que le lieu de travail soit adapté en raison de limites physiques. Pendant près de deux ans, l'entreprise a tenté de satisfaire ses demandes d'adaptation, mais sans résultat. Le plaignant était de moins en moins satisfait des efforts de la société, ne voulait pas accomplir ses tâches et s'objectait aux demandes répétées d'information médicale à jour.
Devant le comportement du plaignant et son manque de collaboration à fournir l'information exacte sur sa capacité d'accomplir les tâches liées à son emploi, l'entreprise a douté de plus en plus de l'étendue de ses limites physiques. Elle a exigé qu'il se soumette à une évaluation médicale indépendante, ce qu'il a d'abord refusé, puis il a finalement accepté. Les évaluateurs indépendants ont conclu que, même si le plaignant avait effectivement des limites physiques, il semblait y avoir de nombreux « obstacles non physiques » à son retour au travail. Les évaluateurs ont également signalé que d'autres tests fonctionnels ne permettraient probablement pas une évaluation juste des véritables capacités fonctionnelles du plaignant.
Deux mois plus tard, tandis que le plaignant était en congé, l'entreprise a embauché un enquêteur privé pour le surveiller dans le but de déterminer s'il avait dit la vérité au sujet de ses limites physiques. Après deux semaines, l'enquêteur a remis à l'entreprise un rapport et huit heures d'enregistrement vidéo montrant le plaignant en train d'accomplir des tâches qu'il prétendait ne pas pouvoir effectuer. Ayant la preuve que le plaignant n'avait pas dit la vérité au sujet de son état de santé, l'entreprise l'a congédié.
Au Commissariat, le plaignant a prétendu que son employeur avait recueilli des renseignements personnels à son insu et sans son consentement au moyen de vidéosurveillance et qu'il les avait utilisés pour le congédier.
Pour justifier les mesures prises dans ce cas, l'entreprise s'est servie des alinéas 7(1) b ) et 7(2) d ) de la Loi. Ces dispositions permettent à une organisation de recueillir et d'utiliser des renseignements personnels à l'insu de l'intéressé et sans son consentement s'il est raisonnable de s'attendre à ce que la collecte effectuée au su et avec le consentement de l'intéressé puisse compromettre l'exactitude du renseignement ou l'accès à celui-ci, et si la collecte est raisonnable à des fins liées à une enquête sur la violation d'un accord ou la contravention d'une loi.
L'entreprise a maintenu que sa décision de recourir à la vidéosurveillance était le résultat d'une consultation avec une équipe restreinte de professionnels du milieu juridique, médical et des relations industrielles, ayant établi que cette mesure était nécessaire en dernier recours dans les circonstances. L'entreprise a fourni les renseignements sur les limites physiques du plaignant à l'enquêteur et lui a donné pour instructions de surveiller les activités du plaignant pendant une période assez longue pour avoir un tableau complet de ses capacités et établir une preuve solide, factuelle et irréfutable de son comportement frauduleux. L'entreprise a cependant admis ne pas avoir de règle ou de procédure officielle en place pour guider les gestionnaires dans de telles situations.
Nos conclusions
Il ne fait aucun doute que l'entreprise a eu recours à la vidéosurveillance pour recueillir des renseignements personnels à l'insu et sans le consentement du plaignant. Il s'agit de déterminer si l'alinéa 7(1) b ) peut s'appliquer dans ce cas. Toutefois, cette exception ne peut être interprétée isolément. Parmi les facteurs à examiner, il faut se demander si l'organisation avait une preuve substantielle permettant d'étayer le soupçon de bris de la relation de confiance, si elle pouvait démontrer qu'elle avait pris tous les autres moyens portant moins atteinte à la vie privée pour obtenir l'information nécessaire et si elle avait limité le plus possible la collecte de renseignements.
Dans les circonstances, le Commissariat est convaincu que le but de l'entreprise, c'est-à-dire déterminer si le plaignant enfreignait son contrat de travail en faisant une déclaration trompeuse sur son état de santé, était fondé sur une preuve substantielle. Par ailleurs, l'entreprise a eu recours à des moyens portant moins atteinte à la vie privée pour recueillir l'information dont elle avait besoin, mais le plaignant s'est opposé à la plupart de ces tentatives qui n'ont pas dissipé les doutes de l'organisation. Lorsqu'elle a embauché un enquêteur privé, l'entreprise lui a donné pour instructions de recueillir l'information désirée en ciblant autant que possible la collecte des renseignements personnels.
En somme, l'entreprise avait un motif raisonnable de croire que le plaignant enfreignait son contrat de travail et avait manifestement de la difficulté à obtenir l'information requise au su et avec le consentement de l'intéressé. Le Commissariat a accepté que l'entreprise s'appuie sur les alinéas 7(1) b ) et 7(2) d ) pour recueillir et utiliser des renseignements personnels sur le plaignant à son insu et sans son consentement. La plainte était non fondée.
Indépendamment des conclusions, le Commissariat a recommandé que l'entreprise officialise les mesures qu'elle a prises en élaborant une politique et des pratiques en matière d'utilisation de la vidéosurveillance. Une telle politique devrait tenir compte des éléments suivants :
- La vidéosurveillance ne devrait être utilisée qu'en dernier recours et n'être envisagée que lorsque tous les autres moyens de recueillir des renseignements personnels ont déjà été épuisés.
- La décision d'exercer une surveillance vidéo devrait être prise à un échelon très élevé de l'organisation.
- L'enquêteur privé devrait recueillir les renseignements personnels conformément à la Loi et être particulièrement attentif au principe 4.4 (limiter la collecte).
L'entreprise a donné suite à cette recommandation.
Caméras sur les lieux de travail : l'importance de préciser le but poursuivi
Les employés ont naturellement tendance à protester contre la présence de caméras vidéo au travail. Toutefois, en étant disposé à parler du but poursuivi, l'employeur peut souvent atténuer les craintes des employés au sujet de la perte de la protection de la vie privée.
Les faits
Donnant suite à une recommandation d'un examen de sécurité des lieux, une société de radiodiffusion a installé trois caméras de surveillance sur ses lieux de travail, une à l'extérieur et deux à l'intérieur de l'édifice. La caméra extérieure couvre le stationnement et l'entrée de l'édifice et les caméras intérieures sont dirigées vers l'entrée intérieure et le couloir central.
Plusieurs employés de la société ont porté plainte au Commissariat, alléguant que la société utilise les caméras pour recueillir des renseignements personnels les concernant, notamment sur leur comportement et leur rendement au travail.
L'employeur soutient qu'une note de service a été affichée pour informer les employés de l'installation des caméras et du but poursuivi, qui consiste à assurer la sécurité et le bien - ê tre des employés en surveillant la circulation des personnes ne faisant pas partie du personnel à l'intérieur et à l'extérieur de l'édifice. Cependant, les employés ignoraient l'existence de cette note.
Pendant notre enquête, la société a convenu d'informer les employés des fins auxquelles les renseignements recueillis par les caméras de surveillance sont utilisés. Elle a aussi accepté d'élaborer un document de politique relative à l'utilisation des caméras, comprenant les buts, l'emplacement de l'équipement, le personnel autorisé à opérer le système, le temps de surveillance et d'enregistrement ainsi que les principes d'équité applicables.
La société a subséquemment rempli ses engagements.
Nos conclusions
La société n'avait pas fait d'efforts raisonnables pour informer ses employés, contrevenant ainsi au principe 4.3.2 de la Loi.
L'enquête a par ailleurs démontré que l'utilisation d'un tel système de surveillance constituait un moyen approprié de protéger les employés. Puisque les caméras ne sont pas utilisées pour recueillir des renseignements personnels sur les employés et ne sont ni utilisées dans des endroits où il y a possibilité raisonnable d'atteinte à la vie privée, il ne semble pas approprié que l'employeur obtienne le consentement de ses employés pour les utiliser. Dans l'hypothèse où les caméras recueilleraient, par inadvertance, des renseignements personnels concernant les employés, l'employeur ne pourrait utiliser les renseignements ainsi recueillis sans le consentement des employés, que dans les circonstances prévues aux alinéas 7(2) a ) et b ) de la Loi (ces dispositions s'appliquent aux enquêtes judiciaires et aux urgences, respectivement).
La société s'étant engagée à informer les employés et à élaborer un document de politique, le Commissariat a conclu que les plaintes étaient résolues.
Caméras sur les lieux de travail : l'importance de s'en tenir à des fins raisonnables
Dans le présent cas, le Commissariat appuie l'utilisation de caméras vidéo pour améliorer la sécurité sur les lieux de travail, mais il ajoute que l'utilisation non restreinte de ces caméras aux fins de surveillance de la productivité des employés ou de gestion des relations employeur-employés aurait un effet dévastateur sur le moral des employés. Les employeurs qui utilisent les caméras à des fins opérationnelles légitimes doivent s'efforcer de s'en tenir à ces fins, faire preuve de grande prudence et bien réfléchir avant de recourir à la surveillance vidéo pour les fins exceptionnelles autorisées par la Loi.
Les faits
Une compagnie de chemin de fer utilise des caméras pour surveiller le mouvement des trains et informer les membres de son personnel de l'emplacement du train. La compagnie a installé les caméras après une analyse des risques et a convenu avec le syndicat des employés que les caméras sont nécessaires à des fins opérationnelles.
Un jour, le gestionnaire responsable des caméras a aperçu deux employés qui montaient dans une automobile. Il est allé à son bureau et s'est servi du zoom de la caméra pour voir si les employés quittaient le lieu de travail. La compagnie leur a ultérieurement imposé une mesure disciplinaire pour avoir quitté le travail sans permission. L'un des deux employés a déposé un grief contre la mesure disciplinaire dont il a fait l'objet, et le litige a été soumis à l'arbitrage. Les deux employés ont déposé une plainte au Commissariat, alléguant que la compagnie avait utilisé des caméras vidéo, qui servent habituellement à des fins opérationnelles, pour établir s'ils avaient quitté les lieux pendant les heures de travail.
La compagnie a d'abord soutenu que la commissaire devrait exercer son pouvoir discrétionnaire pour décider de ne pas émettre de rapport, puisque que la question était soumise à l'arbitrage. Invoquant ensuite une décision récente dans laquelle la Cour fédérale avait statué que les tribunaux du travail avaient compétence exclusive à l'égard des litiges découlant des conventions collectives, la compagnie a soutenu que le Commissariat à la protection de la vie privée n'avait pas juridiction dans ces cas.
La compagnie a également soutenu que la Loi permet aux organisations de recueillir, d'utiliser et de communiquer des renseignements personnels à des fins qu'une personne raisonnable estimerait acceptables dans les circonstances. Elle a nié avoir réellement recueilli des renseignements personnels sur les plaignants lorsque le gestionnaire a ciblé la caméra sur eux puisque celle-ci n'enregistre pas. L'entreprise a décrit la caméra comme une « aide visuelle » permettant au gestionnaire de suivre une situation préoccupante qu'il avait déjà repérée sans la caméra. De plus, toujours selon l'entreprise, les plaignants ne pouvaient raisonnablement s'attendre à ce que leur vie privée soit protégée étant donné qu'il y a constamment des gens qui circulent à pied dans la cour de triage. Selon la compagnie, comme les plaignants avaient un comportement suspect ce jour-là, une personne raisonnable jugerait acceptable le recours aux caméras comme aide visuelle pour voir dans quelle direction allait le véhicule conduit par l'un des deux plaignants.
Enfin, la compagnie a invoqué l'alinéa 7(1) b ) et soutenu que, si la commissaire devait conclure que la caméra servait à recueillir des renseignements personnels sur les employés, le consentement des plaignants ne serait pas nécessaire puisque l'enquête portait sur un manquement à une condition d'emploi.
Nos conclusions
Le Commissariat fait remarquer premièrement que la décision de la Cour fédérale invoquée par la compagnie de chemin de fer faisait l'objet d'un appel et que, par conséquent, il avait juridiction en la matière.
Le Commissariat a également refusé d'exercer le pouvoir discrétionnaire de ne pas instruire ces plaintes. Il a évoqué le rôle de premier plan qu'il joue en établissant si les organisations respectent la Loi et en sensibilisant les organisations et le public à la Loi. Il signale que les plaintes examinées soulèvent des questions susceptibles de créer un précédent.
Le Commissariat conclut ce qui suit :
- La Loi ne limite pas la définition de l'expression « renseignement personnel » aux renseignements enregistrés. Elle définit clairement les renseignements personnels de manière à inclure tout renseignement concernant une personne identifiable. Les caméras recueillent effectivement des renseignements personnels sur les employés et ont servi à recueillir des renseignements personnels concernant les plaignants, à savoir le fait qu'ils aient quitté la cour de triage pendant les heures de travail.
- Il n'y a aucun doute ici que l'utilisation courante des caméras dans le but de renforcer la sécurité sur les lieux de travail est appropriée, conformément au paragraphe 5(3) de la Loi. Les caméras ont été installées à la suite d'une analyse des risques, et leur utilisation avait l'appui du syndicat comme de la direction.
- En ce qui concerne le bien-fondé de l'utilisation de caméras dans les circonstances entourant les plaintes, la compagnie n'a présenté aucune preuve indiquant que les absences non autorisées du lieu de travail constituaient un problème persistant chez les plaignants ou chez d'autres employés. La compagnie n'a pas prouvé qu'elle avait eu recours à d'autres moyens portant moins atteinte à la vie privée pour gérer les absences non autorisées. Une personne raisonnable ne jugerait pas acceptable l'utilisation de caméras pour traiter un problème de productivité au travail. Dans les circonstances, l'utilisation contrevenait au paragraphe 5(3) de la Loi.
- Lorsqu'un employeur a des motifs de croire que le lien de confiance a été rompu, il peut entreprendre la collecte de renseignements aux fins d'enquête sans le consentement de l'intéressé. Cependant, le seul élément de preuve présenté par la compagnie indiquant un bris du lien de confiance est le témoignage de la personne qui a vu les employés en cause prendre place dans un véhicule privé. La compagnie reconnaît que les employés auraient pu quitter le lieu de travail avec l'autorisation de leur supérieur immédiat et que le gestionnaire qui a utilisé la caméra n'a déterminé qu'après coup que les employés avaient quitté le lieu de travail sans autorisation. Les caméras représentant une très grande ingérence dans la vie privée, la décision de les utiliser, même dans les circonstances énoncées à l'alinéa 7(1) b ), doit être prise avec grande prudence et après mûre réflexion. S'il existe un moyen portant moins atteinte à la vie privée d'obtenir le même résultat, il faudrait choisir cette méthode en premier.
Le Commissariat a conclu que les plaintes étaient fondées.
Des clients d'une banque doivent déclarer leur citoyenneté
La plainte, précisément au sujet d'une banque qui recueille et utilise des renseignements personnels, soulève une préoccupation générale à savoir si la banque place les exigences d'une loi étrangère avant les intérêts de ses clients canadiens en matière de vie privée.
Les faits
Plusieurs détenteurs de compte se sont plaints d'avoir reçu une lettre type leur demandant d'indiquer s'ils étaient ou non citoyens américains.
En 2001, la banque est devenue une filiale indirecte d'une société de portefeuille basée aux États-Unis. Comme la banque est maintenant classée comme une « corporation étrangère contrôlée » aux fins de la loi américaine de l'impôt sur le revenu, elle doit se conformer à la réglementation américaine applicable de l'Internal Revenue Service (IRS) en ce qui concerne la communication de renseignements et les retenues fiscales. Elle doit notamment communiquer les revenus d'intérêt accumulés dans les comptes de dépôts personnels des détenteurs de compte connus comme étant des citoyens américains ou qui sont présumés l'être, compte tenu qu'ils n'ont pas précisé qu'ils n'étaient pas citoyen américain.
La banque a expédié par la poste à tous ses détenteurs de compte de dépôts personnels une lettre explicative et un formulaire de déclaration de compte. La lettre mentionnait que si une détentrice ou un détenteur de compte omettait de déclarer qu'il n'était pas citoyen américain, son nom et son adresse ainsi que le montant du revenu d'intérêt accumulé seraient communiqués à l'IRS. La lettre décrivait également l'objet de la collecte de ces renseignements et la façon dont ils seraient utilisés.
Les plaignants allèguent que la banque les obligeait à consentir à la collecte et à l'utilisation de plus de renseignements personnels que nécessaire aux fins de fournir les services de compte.
Nos conclusions
En ce qui concerne le fond de la plainte — c'est-à-dire, la collecte et l'utilisation de renseignements personnels — le Commissariat est d'avis que la banque ne place pas la loi étrangère au-dessus des intérêts des clients canadiens en matière de vie privée.
À titre de corporation étrangère contrôlée, la banque doit se conformer à la réglementation applicable de l'IRS. Elle doit notamment déclarer les revenus d'intérêt gagnés par les citoyens américains, mais n'est pas tenue de le faire pour les citoyens non américains. Pour assurer l'exactitude des renseignements fournis à l'IRS et pour protéger les renseignements personnels des citoyens américains, la banque a fait parvenir un formulaire de déclaration de compte à ses détenteurs de compte en leur demandant d'indiquer s'ils étaient citoyens américains ou non. Il s'agit d'une demande raisonnable à des fins qu'une personne raisonnable estimerait acceptables aux termes du paragraphe 5(3) de la Loi.
De plus, puisque la banque a établi ses fins et limité la collecte des renseignements personnels à celles-ci, elle se conforme aux principes 4.2 et 4.4 de la Loi.
Pour cette raison, la plainte était non fondée.
L'avis d'échange de renseignements d'une société du Québec manque de clarté
Si une organisation a l'intention d'échanger les noms et les adresses de ses clients avec des tiers à des fins de marketing, elle doit en informer les clients, mais pas de n'importe quelle façon. Selon le principe 4.3.2 de la Loi, les organisations sont tenues de faire un « effort raisonnable » pour informer leurs clients de ces fins et présenter celles-ci d'une manière que les clients peuvent comprendre.
Dans le cas qui nous intéresse, l'entreprise a fourni cet effort, mais le Commissariat doit déterminer si cet effort était raisonnable. Le cas comporte également un aspect juridictionnel intéressant lié à une disposition transitoire de la LPRPDE.
Les faits
Quelques mois après avoir acheté des produits de beauté par téléphone d'un commerce au Québec, la plaignante a écrit à l'entreprise pour demander que son nom soit rayé de la liste de publipostage. Plusieurs semaines plus tard, en octobre 2002, son nom se trouvait toujours sur une liste transmise à un consultant de l'Ontario mandaté pour échanger et louer ses listes de clients à d'autres organisations.
Dans sa plainte au Commissariat, la personne allègue que l'entreprise a vendu son nom et son adresse à des tiers en Ontario, sans son consentement. Elle soulève aussi la question de la procédure permettant aux clients de retirer leur consentement au marketing des tierces parties.
L'entreprise explique que le nom de la plaignante figurait toujours sur la liste de publipostage en raison d'un délai administratif normal dans le traitement d'une demande de retrait. L'entreprise fait également remarquer que sa pratique d'échange de listes de noms et d'adresses de clients avec d'autres entreprises et sa procédure de retrait des listes sont décrites dans un document mis à la disposition de la clientèle dans les envois postaux et les catalogues.
Notre enquête a confirmé l'existence de ce document. Cependant, le titre dominant du document est « Garantie de remboursement » et les avis en question se trouvent sous les titres « Aidez-nous à préserver les ressources naturelles » et « Les soins de beauté c'est personnel ».
L'entreprise a supprimé le nom de la plaignante de ses listes de publipostage. À la suite de l'intervention du Commissariat, l'entreprise a modifié ses documents promotionnels pour les rendre plus compréhensibles. Dorénavant, un client peut simplement cocher une case sur le bon de commande pour éviter l'échange de ses renseignements personnels. L'entreprise a également mis sur pied un comité de protection de la vie privée qui a adopté une politique sur la protection des renseignements personnels concernant les clients et qui élabore une politique semblable pour l'ensemble de ses employés.
La plaignante s'est dite satisfaite du fait que son nom ait été retiré de la liste et que l'entreprise ait effectué les changements nécessaires à sa documentation.
Nos conclusions
En vertu de l'article 30 de la LPRPDE, disposition transitionnelle demeurée en vigueur les trois premières années, la Loi s'appliquait jusqu'en 2004 aux renseignements personnels qu'une organisation communique pour contrepartie à l'extérieur de la province. Même si l'entreprise en cause se trouve au Québec, le Commissariat a accepté d'examiner la plainte en vertu de la Loi, car la plaignante a prétendu que l'entreprise avait communiqué des renseignements qui la concernaient à l'extérieur de cette province en 2002, c'est-à-dire pendant que l'article 30 était encore en vigueur.
Au moment de la plainte, les documents promotionnels de l'entreprise contenaient un avis précisant que les noms et adresses de ses clients étaient partagés avec des sociétés tierces et faisaient état d'une procédure de retrait des listes à l'intention des clients. Cependant, l'avis et la procédure de retrait manquaient de clarté. L'information était dissimulée dans des rubriques dont les titres n'étaient pas représentatifs du contenu. Cet avis ne constituait pas un effort raisonnable de la part de l'entreprise pour s'assurer que la personne était clairement avisée des fins secondaires de la communication des renseignements personnels recueillis. Par conséquent, l'entreprise contrevenait au principe 4.3.2. de la Loi et le consentement de la plaignante n'était pas valable.
Néanmoins, comme la plaignante s'est montrée satisfaite du résultat de l'enquête, le Commissariat a conclu que la plainte était résolue.
Un fournisseur de télédiffusion par satellite présumé avoir surveillé les habitudes de visionnement de ses clients
Quand le client se fait dire de garder son système satellite branché en tout temps, il s'attend au pire de la part de l'entreprise. Mais celle-ci a-t-elle vraiment l'intention de s'immiscer dans sa vie privée?
Les faits
Un plaignant croit que son fournisseur de télédiffusion par satellite se tient au courant des émissions qu'il regarde. Il est convaincu que le fournisseur demande aux clients de brancher leur ligne téléphonique en permanence dans l'appareil de réception dans le seul but de surveiller leurs habitudes de visionnement.
Dans la plainte déposée au Commissariat, il prétend que le fournisseur recueille et utilise à tort et à travers les renseignements personnels recueillis grâce à sa connexion téléphonique.
Le fournisseur a confirmé qu'il demande à ses clients de brancher leur ligne téléphonique en permanence dans l'appareil de réception qu'il leur fournit dans le but de facturer les services de télévision à la carte et d'éviter le piratage, pas pour surveiller les habitudes de visionnement. La compagnie a expliqué, et le Commissariat l'a confirmé, qu'il n'était pas possible avec la technologie actuelle de surveiller d'autres types d'émission que celles de la télévision à la carte, puisque la transmission par satellite est à sens unique et que les appareils de réception ne peuvent enregistrer d'autres émissions. L'entreprise ne dispose d'aucune autre information que celle concernant les services achetés par le client et les transactions électroniques effectuées au moyen du système de commande de télévision à la carte et elle recueille ces renseignements à des fins de facturation seulement.
En ce qui concerne la prévention contre le piratage, le Commissariat en a examiné les aspects techniques et a constaté que la connexion continue à une ligne téléphonique est un moyen de prévention efficace. Malgré les explications de l'entreprise, le plaignant continue de croire que celle-ci recueille plus de renseignements que nécessaire pour prévenir le piratage, mais il n'a pas été en mesure de fournir de preuves pour appuyer ses allégations.
Nos conclusions
Les fins de l'entreprise, soit la facturation des services de télévision à la carte et la prévention du piratage, sont des fins qu'une personne raisonnable estimerait acceptables dans les circonstances.
Rien ne prouve que l'entreprise recueillait des renseignements sur les habitudes de visionnement de ses abonnés à partir de la connexion téléphonique. Les renseignements sur les émissions choisies et d'autres renseignements relatifs à la facturation ont été recueillis au moment de l'achat et non grâce à une ligne téléphonique.
Bien que l'entreprise recueille des renseignements sur l'utilisation de la télévision à la carte grâce à la connexion téléphonique, elle le fait pour atteindre l'un de ses objectifs : facturer le client. La connexion continue est aussi un moyen efficace de prévenir le piratage, l'autre but de l'entreprise.
En somme, l'entreprise recueille et utilise des renseignements personnels au sujet des clients pour atteindre des objectifs raisonnables et ne recueille pas d'information à tort et à travers à ces fins ou à d'autres fins. La compagnie se conforme aux principes 4.4 et 4.5 ainsi qu'au paragraphe 5(3) de la Loi. La plainte était non fondée.
Une banque communique le dossier d'hypothèque d'une cliente à l'avocat de son ex-mari
Les cas d'affirmations divergentes peuvent être extrêmement difficiles à juger. Dans le cas présent, heureusement, les affirmations de la plaignante sont étayées par des traces écrites.
Si le personnel de la banque doit tirer une leçon de cette situation, c'est la suivante : quand vous avez affaire à un avocat, vérifier au départ de quel côté il est.
Les faits
En assistant à une audience du tribunal concernant l'action intentée pour arriéré de sa pension alimentaire, la plaignante a reçu les copies de trois documents déposés en preuve par la partie adverse (son ex-mari) : le titre de propriété de sa maison, une liste des prêts hypothécaires grevant sa maison provenant du bureau d'enregistrement et un relevé des opérations hypothécaires.
La plaignante croit que le directeur des services financiers de sa banque a remis ces documents et d'autres renseignements sur sa situation financière à l'avocat de son ex - mari à un certain moment. Elle dit aussi que le directeur a admis avoir agi ainsi et qu'il lui a demandé de ne pas mentionner au tribunal ses communications non appropriées.
Dans sa plainte au Commissariat, la plaignante allègue que la banque a communiqué des renseignements personnels concernant sa situation financière à l'avocat de son ex - mari.
En ce qui concerne le titre de propriété et la liste des prêts hypothécaires, notre enquête a permis d'établir que le directeur de la banque n'aurait pas eu accès à ces documents à la date en question. De plus, ces documents sont accessibles au public au bureau d'enregistrement et des éléments probants indiquent que l'avocat avait déjà obtenu ces deux documents de ce bureau quand il a rencontré le directeur de la banque.
Cependant, pour ce qui est du relevé des opérations hypothécaires, les documents probants montrent que l'avocat avait préparé et envoyé une assignation au directeur de la banque, lui avait ensuite écrit pour obtenir un rendez-vous à la date en question et, que la veille de cette date, il avait accusé réception d'une réponse du directeur. En outre, la copie du relevé des opérations hypothécaires de la plaignante que l'avocat a présentée au tribunal a été imprimée à partir de l'ordinateur du directeur de la banque et était datée du même jour que sa réponse à l'avocat.
Le directeur n'a pas admis qu'il avait imprimé le document et l'avait fourni à l'avocat, ni qu'il avait demandé à la plaignante de ne pas révéler ses communications. Néanmoins, il a admis qu'au premier contact, il avait présumé par erreur que l'avocat agissait au nom de la plaignante.
Ayant admis que le relevé de transactions hypothécaires de la plaignante avait été communiqué à l'avocat, la banque a présenté des excuses à cette dernière.
Nos conclusions
Le titre de propriété et les prêts hypothécaires grevant la propriété de la plaignante sont des renseignements accessibles au public par l'entremise du bureau d'enregistrement. De tels renseignements pouvaient donc être communiqués à l'insu et sans le consentement de l'intéressé en vertu du sous-alinéa 7(3) h) 1) de la Loi. Enfin, il semble que l'avocat avait déjà obtenu ces renseignements avant de s'adresser à la banque.
Il a cependant été établi que le relevé des opérations hypothécaires a été imprimé à partir de l'ordinateur du directeur de la banque le jour où ce dernier a écrit à l'avocat. Le Commissariat croit, et la banque le reconnaît, que le document a été communiqué sans le consentement de la plaignante. La plainte était fondée.
Choix de cas réglés en vertu de la LPRPDE
En janvier 2004, le Commissariat à la protection de la vie privée a ajouté une nouvelle catégorie de décision, « Plainte réglée en cours d'enquête ». Une plainte réglée est une plainte pour laquelle, au cours de l'enquête, le Commissariat a aidé à négocier une solution satisfaisante pour toutes les parties, y compris le Commissariat. Des 379 plaintes traitées en 2004, 152 (ou 40 p. 100) entrent dans la catégorie « réglées ».
Les résumés suivants sont des exemples de plaintes réglées.
Un magasin prend des mesures à la suite d'un incident concernant un ordinateur portatif
Étant dans l'impossibilité de réparer l'ordinateur d'une plaignante dans le délai prévu, le magasin d'informatique lui en remet un neuf. Quelque temps après, la plaignante s'étonne de recevoir un appel téléphonique d'un parfait étranger, lequel lui apprend qu'il vient d'acheter un ordinateur portatif contenant des renseignements personnels la concernant.
Il s'est avéré que le magasin a réparé l'ordinateur de la plaignante et qu'un employé l'a remis en vente sans en examiner le contenu. Le magasin a pu récupérer l'ordinateur et le rendre à la plaignante. L'entreprise a aussi amélioré considérablement sa politique en matière de protection des renseignements personnels et ses pratiques. Notamment, les employés doivent dorénavant veiller à ce que soient effacés complètement tous les renseignements personnels contenus sur le disque dur des ordinateurs retournés à ses magasins au Canada et ils sont tenus de documenter cette mesure. L'entreprise convient également de mettre en oeuvre des procédures semblables pour protéger les renseignements personnels contenus dans d'autres appareils électroniques qu'elle vend.
Procédures concernant le téléphone et le courriel : une préoccupation de sécurité en amène une autre
Lorsque les clients paient leurs factures à l'aide du système de réponse vocale interactif d'une entreprise de télécommunications, le système répète le numéro de carte de crédit et la date d'expiration que le client a entrés à l'aide du clavier du téléphone. Un client craignait que quelqu'un intercepte l'appel fait à partir d'un téléphone cellulaire et obtienne ces numéros. Quand il a envoyé un courriel pour exprimer sa préoccupation, la réponse électronique de l'entreprise contenait le numéro de compte et le numéro d'identification personnelle qu'il avait entrés pour avoir accès au système sécurisé d'information sur les comptes. Le plaignant craint à présent que ces renseignements personnels sensibles soient également à la disposition de personnes qui pourraient avoir accès au courriel.
L'entreprise a révisé ses pratiques et convenu qu'il n'était pas nécessaire de reproduire automatiquement dans ses réponses électroniques les renseignements personnels exigés pour donner accès au site protégé. Elle a maintenant cessé d'inclure des fils de message dans ses réponses électroniques aux clients. Quant à la première préoccupation évoquée, l'entreprise a fait remarquer au plaignant que plusieurs options de paiement sont accessibles aux clients et que, même si les numéros de cartes de crédit ne sont pas répétés, les clients qui choisissent de payer leurs factures par téléphone cellulaire prennent toujours le risque que les chiffres entrés au clavier soient interceptés.
Une compagnie d'assurance ne tient pas compte des mises en garde d'un client
À deux occasions distinctes, un plaignant a prévenu sa compagnie d'assurance que des personnes non autorisées pourraient essayer d'obtenir des renseignements sur les polices d'assurance qu'il détenait relativement à ses neveux. Malgré ses mises en garde et malgré les procédures d'authentification et de balisage en place à ce moment, l'information a été communiquée ultérieurement à une partie non autorisée contrairement à la volonté exprimée par le plaignant.
Le plaignant et la compagnie sont parvenus à un règlement. À la suite de la plainte, la compagnie a considérablement amélioré sa politique et ses procédures d'authentification et de balisage, et elle a intégré une nouvelle politique à la formation des représentants de son service à la clientèle.
Une entreprise de transport élimine les renseignements superflus de sa base de données
Un employé d'une entreprise de transport nationale s'est plaint du manque de sécurité des renseignements personnels dans le système automatisé de gestion du personnel. Il s'inquiétait surtout du fait que des employés non autorisés, en particulier des représentants syndicaux, pouvaient avoir accès aux renseignements personnels des employés comme leur date de naissance, leur numéro d'assurance sociale, leur taux de rémunération et leurs droits aux vacances.
Dans les faits, les représentants syndicaux n'avaient pas accès à certains des renseignements comme le craignait le plaignant. De plus, au moment de la plainte, l'entreprise avait déjà convenu que la date de naissance et le numéro d'assurance sociale étaient des renseignements personnels et procédait à l'ajustement de son système de gestion du personnel en conséquence. Enfin, l'entreprise a convenu d'enlever également du système les renseignements personnels concernant la santé.
Renseignements personnels en circulation sur un billet de cent dollars
Lorsqu'un plaignant a offert un billet de 100 $ pour payer un achat d'essence, le préposé de la station service lui a demandé de s'identifier. D'après le plaignant, le préposé a écrit son nom et le numéro de son permis de conduire sur le billet même, expliquant que c'était une pratique de l'entreprise en raison du nombre élevé d'incidents impliquant de faux billets. Après réflexion, suite à cet incident, le plaignant craignait que ses renseignements personnels ne fussent ainsi mis à la disposition de quiconque manipulerait le billet, et ce, aussi longtemps que le billet serait en circulation.
L'entreprise a effectivement pour politique de demander au personnel de la station service de noter l'identité des clients qui présentent des billets de 100 $, mais elle stipule que les renseignements doivent être inscrits sur des feuilles de suivi séparées, non sur les billets eux-mêmes. Bien que le préposé ait connu la procédure exacte et n'ait pas admis avoir écrit sur le billet, l'entreprise a assumé la responsabilité dans cette affaire, a présenté des excuses au plaignant et a négocié un règlement avec lui. Elle a aussi rappelé à tous ses employés de station service les procédures requises pour le traitement des renseignements personnels.
Une pharmacie simplifie sa procédure de consentement
Un plaignant contestait le fait qu'une pharmacie ait exigé qu'il signe un formulaire de consentement avant de lui remettre ses médicaments. À son avis, le formulaire autorisait des pratiques de communication beaucoup trop vastes et il s'inquiétait du fait que ses renseignements personnels puissent être communiqués à des fins de marketing. Il craignait aussi de ne pas obtenir les médicaments dont il a régulièrement besoin s'il refusait de signer.
En fait, la pharmacie à succursales multiples ne communique pas les renseignements personnels sur ses clients à d'autres organisations à des fins de marketing. Néanmoins, en réponse aux nombreuses plaintes relatives au formulaire de consentement dont celle-ci, la société a décidé de modifier le libellé du formulaire pour le rendre plus simple et plus facile à comprendre. Elle a en outre instauré une politique et une pratique nouvelles pour les clients qui hésitent à signer le formulaire de consentement. Les clients peuvent indiquer de vive voix s'ils acceptent les pratiques de l'entreprise en matière de protection des renseignements personnels qui leur ont été expliquées par le pharmacien.
Une autre pharmacie clarifie sa politique de consentement
Un client prétend que, même après qu'il a retiré son consentement aux pratiques de collecte, d'utilisation et de communication, sa pharmacie a communiqué des renseignements personnels le concernant à son médecin. Il se plaint également que la pharmacie refuse de remplir ses ordonnances parce qu'il a retiré son consentement.
Le seul document mentionnant le retrait du consentement du plaignant a été rédigé quelque temps après la communication présumée. Après avoir enregistré le retrait du consentement, la pharmacie a effectivement refusé de remplir les ordonnances du plaignant en lui expliquant qu'il s'agissait d'une pratique de la société de ne pas remplir les ordonnances des personnes ayant retiré leur consentement à la collecte, à l'utilisation ou à la communication de renseignements personnels ayant trait à leurs soins de santé. Toutefois, la documentation sur la protection des renseignements personnels de la société explique cette pratique seulement de façon générale, indiquant que le retrait du consentement peut nuire au « service ». La société a accepté de modifier sa politique en matière de protection des renseignements personnels pour préciser que les ordonnances ne sont remplies que si le consentement est donné.
Une compagnie d'assurance accueille les suggestions d'une plaignante au sujet du formulaire de consentement
Une personne ayant rempli une demande d'assurance - vie s'est plainte que la compagnie d'assurance exigeait son consentement à des pratiques de collecte, d'utilisation et de communication trop générales.
Le Commissariat a organisé une téléconférence avec la plaignante et la compagnie. La compagnie lui a expliqué ses pratiques courantes, lesquelles sont conformes à la Loi. Bien que la plaignante soit satisfaite des explications, la compagnie reconnaît que la plaignante a soulevé de nombreuses questions importantes au sujet de la précision et de la clarté du libellé du consentement, lesquelles sont prises en compte dans un examen en cours. La compagnie a convenu d'envoyer à la plaignante une copie de son formulaire révisé et l'a invitée à formuler ses commentaires en vue des examens subséquents.
Une annonce d'anniversaire non appréciée
Un employé d'un bureau canadien d'un transporteur aérien étranger a porté plainte quand une secrétaire a envoyé par courriel sa date de naissance à ses collègues, bien qu'il se soit déjà objecté à cette tradition locale d'annonce d'anniversaire. Il prétend également que le transporteur aérien a inscrit son adresse et son numéro de téléphone sur les listes fournies aux employés, lesquels n'ont pas besoin de connaître ces renseignements, et que ces listes ne sont pas suffisamment protégées.
À la suggestion du Commissariat, les représentants du transporteur aérien ont rencontré le plaignant pour régler les questions qu'il avait soulevées. En fin de compte, le transporteur aérien a résolu les problèmes à la satisfaction du plaignant, notamment en abandonnant la pratique des annonces d'anniversaire et en prenant des mesures pour protéger les documents contenant des renseignements personnels sur les employés et en limiter l'accès. Le transporteur a également organisé des séances d'information sur la protection de la vie privée avec la direction et le personnel administratif et a affiché un avis sur la protection de la vie privée sur un babillard interne accessible à l'ensemble des employés.
Un grand magasin néglige de s'identifier comme source d'un envoi postal
Deux personnes se sont plaintes d'avoir reçu par la poste une sollicitation qui semblait provenir d'une société de surveillance du crédit. Bien qu'il semble avoir été expédié par la société de surveillance de crédit, l'envoi postal mentionnait une association avec un magasin à succursales multiples où les deux plaignants avaient un compte. Ils ont tous les deux présumé que le magasin avait communiqué leurs renseignements personnels à la société de surveillance de crédit sans leur consentement. L'un des deux plaignants avait expressément demandé au magasin de ne pas utiliser les renseignements personnels le concernant à des fins autres que celle de communiquer directement avec lui.
Dans les faits, le magasin n'avait pas communiqué les renseignements personnels à la société. Il avait plutôt préparé et expédié lui-même le publipostage, mais sous le nom d'une autre société. La politique du magasin est de recourir à l'option de refuser la communication des renseignements personnels de ses clients aux sociétés affiliées fabriquant des produits de sa propre « marque », mais le magasin ne les communique pas à des tiers non affiliés comme la société de surveillance de crédit. Dans le cas du plaignant qui avait antérieurement retiré son consentement, le magasin explique qu'il a reçu la sollicitation en raison d'un délai administratif normal dans le traitement de sa demande d'exercer l'option de retrait.
Le magasin admet cependant que l'information contenue dans sa publicité n'était pas précise et qu'il aurait dû indiquer clairement qu'il agissait au nom d'une autre société. Il a également présenté des excuses aux plaignants ; il a accepté de réviser sa politique de demande de compte pour offrir aux nouveaux clients une option de refus au moment de l'ouverture d'un compte. Il a aussi entrepris de réviser les mécanismes de retrait de consentement pour assurer la cohérence de la procédure d'option de retrait dans toutes ses filiales.
Communication de renseignements au syndicat sans consentement
Plusieurs employés d'une entreprise de transport se sont plaints de l'envoi au syndicat d'une liste des participants au programme de départ volontaire à leur insu et sans leur consentement. Cette liste contenait les numéros d'assurance sociale (NAS) des employés.
Ayant admis son erreur, l'entreprise a modifié le formulaire de demande concernant les indemnités de départ de manière à supprimer l'obligation d'inscrire le NAS et a ajouté un énoncé demandant à l'employé s'il consent à ce que des renseignements personnels le concernant soient communiqués au syndicat.
Deux cas d'enveloppes interverties
Dans un cas, une plaignante a reçu de sa banque un avis relatif à un prêt étudiant, non pas le sien, mais celui de quelqu'un autre. Elle a craint que l'autre étudiant n'ait en sa possession les mêmes renseignements personnels qu'elle avait reçus à son sujet, soit son nom, son adresse, son numéro d'assurance sociale, ainsi que le numéro et le montant de son emprunt. La méprise est attribuable à une simple erreur humaine survenue en insérant les avis dans les enveloppes. Aucune autre personne du groupe d'envoi postal de la plaignante n'a reçu un avis erroné et l'étudiant dont elle avait reçu les renseignements personnels n'a pas reçu les siens, puisqu'il avait déménagé sans laisser d'adresse. La banque est parvenue à un règlement avec la plaignante et a recommandé à son personnel du centre étudiant d'être plus vigilant en préparant les documents expédiés par la poste aux clients.
Dans l'autre cas, un plaignant a reçu par la poste le billet d'avion d'une autre personne et celle-ci a reçu le billet du plaignant. Les billets contenaient des renseignements personnels sous forme d'itinéraire de voyage, d'adresse du domicile et de numéro de téléphone. Cette méprise est aussi attribuable à une erreur humaine, en ce sens qu'un employé du transporteur aérien a malencontreusement interverti les billets et les enveloppes pour les deux billets achetés par téléphone. Le transporteur aérien a présenté des excuses au plaignant et est parvenu à un règlement avec lui. Il a aussi rappelé à son employé la nécessité d'exercer une diligence raisonnable dans l'envoi de documents aux clients.
NAS visible : une fenêtre d'enveloppe révèle trop de renseignements
Un administrateur d'une caisse de retraite se plaint de recevoir régulièrement d'une banque des documents de transfert dans des enveloppes dont la fenêtre laisse voir le numéro d'assurance sociale (NAS) des clients. Ayan admis volontiers le problème, la banque a instauré un nouveau processus au moyen duquel le NAS et le numéro de compte ont été retirés de la partie du document réservée au nom et à l'adresse pour être placé dans une partie non visible de la fenêtre de l'enveloppe.
Une agence de recouvrement corrige des renseignements erronés
Un plaignant a eu de la difficulté à obtenir du crédit parce qu'une agence de recouvrement possédait des renseignements erronés. Il avait remboursé une dette depuis plusieurs années, mais l'agence n'avait pas signalé ce fait aux bureaux de crédit. Après plusieurs tentatives infructueuses de son avocat pour faire corriger l'erreur, le plaignant s'est adressé au Commissariat.
L'agence de recouvrement n'avait aucune lettre de l'avocat dans ses classeurs. Toutefois, après avoir reçu un avis du Commissariat et une autre lettre de l'avocat, elle s'est penchée sur le dossier du plaignant, a confirmé que la dette avait été remboursée et en a informé les bureaux de crédit, lesquels ont modifié le dossier de crédit du plaignant en conséquence.
Un concessionnaire automobile refuse une demande de crédit sur la foi de renseignements erronés
Une plaignante savait que sa cote de solvabilité était bonne. Quand un concessionnaire automobile a refusé la demande de crédit qu'elle et son fils avaient signée, elle a écrit à la société pour demander les renseignements sur lesquels la décision était fondée. Deux mois plus tard, elle a écrit de nouveau. N'ayant toujours pas de réponse après trois mois, elle a déposé une plainte.
Il s'est avéré que la décision était fondée non pas sur sa cote de solvabilité, mais sur celle de son fils. La société n'avait pas répondu à ses demandes d'accès à l'information parce qu'elle ne savait pas comment le faire sans dévoiler les renseignements personnels du fils. Nous avons suggéré à la plaignante d'écrire à la société une autre lettre signée par elle-même et son fils et déclarant qu'ils consentaient à la communication de renseignements personnels de l'un et l'autre. La société a finalement répondu que la demande de crédit avait été refusée en raison d'une faillite mentionnée dans le rapport de solvabilité du fils. La plaignante a de nouveau écrit à la société pour signaler que le rapport était erroné. En réalité, le fils n'avait pas déclaré faillite, il avait plutôt présenté une proposition à ses créanciers et satisfait aux conditions plus d'une année auparavant. La société a répondu qu'elle utiliserait un rapport de solvabilité à jour pour toute demande ultérieure. La plaignante s'est montrée satisfaite d'avoir enfin reçu une réponse de la société.
Entre - temps, le fils a réussi à louer une voiture de même marque chez un autre concessionnaire automobile. Selon la plaignante, quelqu'un chez le concessionnaire « a manifestement su comment interpréter l'information sur le crédit ».
Des sociétés se reprennent en mains
Un établissement de prêt
Une femme s'est plainte qu'un établissement de crédit avait communiqué des renseignements sur son compte en souffrance à son oncle, sans son consentement.
La plainte étant jugée valable, l'établissement a ajusté le compte non payé de la plaignante et il a accepté de lui envoyer une lettre lui présentant ses excuses. Au cours de l'enquête, le Commissariat a remarqué que l'organisation n'avait pas de politiques ou de pratiques de protection des renseignements personnels. Ayant donné suite à notre recommandation pressante, l'établissement a formé un comité de protection des renseignements personnels, instauré un programme de formation pour les employés et rappelé au personnel de limiter la quantité de renseignements communiqués en vue de recouvrer une créance.
Une entreprise de camionnage
Un ancien employé prétend qu'une petite entreprise familiale de camionnage interprovincial a communiqué des renseignements personnels le concernant à un créancier sans son consentement.
Le plaignant n'avait pas de preuve pour appuyer cette affirmation et il s'est avéré que le plaignant avait lui-même fourni des renseignements au créancier. Néanmoins, notre enquête a eu pour effet de sensibiliser l'entreprise à ses obligations aux termes de la Loi. L'entreprise a instauré par la suite une politique de protection de la vie privée, nommé un agent de la protection de la vie privée, révisé ses pratiques en matière de renseignements personnels des employés et pris des mesures pour offrir à ses employés une formation sur le traitement adéquat de l'information.
Incidents en vertu de la LPRPDE
En plus des plaintes individuelles provenant des personnes, le Commissariat enquête sur des incidents liés à une collecte, à une utilisation ou à une communication inappropriée de renseignements personnels qui sont portés à son attention par diverses sources, y compris les médias et l'organisation en cause. Ces enquêtes permettent souvent de mettre en lumière un problème systémique ou une atteinte à la vie privée qu'il faut régler dès que possible. Habituellement, les victimes ne sont pas identifiées, et aucune plainte écrite n'a été déposée auprès du Commissariat.
L'année dernière, le Commissariat a mené six enquêtes sur des incidents, dont trois, qui présentent un intérêt particulier, sont présentés ci - dessous.
Communication de rapports de solvabilité à un fraudeur
En mars 2004, une agence d'évaluation du crédit a déclaré dans un communiqué qu'en raison d'un bris de la sécurité, les rapports de solvabilité de quelque 1 400 consommateurs avaient été transmis à des criminels qui se faisaient passer pour des fournisseurs de crédit. Les médias se sont emparés de l'affaire.
Le personnel de la sécurité de l'agence a découvert le bris et l'a signalé à la GRC, qui a entrepris une enquête. Il semble qu'une seule personne ait commis l'infraction et que celle-ci n'ait pas été arrêtée en mai 2004.
L'agence a confirmé que 1 398 consommateurs ont été touchés, dont 1 145 en Colombie - Britannique, 163 en Ontario et 90 en Alberta.
Les renseignements consignés dans chaque rapport de solvabilité sont le nom du consommateur, son adresse, son adresse antérieure (si disponible), sa date de naissance et son historique de paiements, ainsi que les noms et les numéros de compte de ses créanciers, les éléments de dossiers publics et les activités de perception. L'agence a confirmé que l'information communiquée ne comprenait pas les numéros d'assurance sociale ni les détails des comptes de banque.
Dans le but de remédier à la situation, l'agence :
- a avisé toutes les personnes concernées par courrier recommandé ;
- les a incitées à l'appeler et à examiner le contenu de leur dossier de crédit ;
- a placé un message d'alarme précisant « Identité perdue ou volée » sur leur dossier de crédit afin d'inciter les créanciers à demander des preuves d'identité supplémentaires ;
- a demandé à l'autre principale agence d'évaluation du crédit de placer un message semblable sur le dossier de crédit des personnes touchées qui sont entrées en contact avec elle ; et
- a offert aux personnes touchées un abonnement annuel gratuit à un service de surveillance de crédit (la plupart ont accepté cette offre).
Pour résoudre le problème de sécurité, l'agence a apporté des modifications provisoires à ses systèmes. Ces modifications semblent efficaces en ce sens que le même contrevenant a tenté d'accéder aux dossiers de crédit un seconde fois, de la même manière, et que l'accès lui a été refusé.
Depuis l'incident, il y a eu un nombre restreint de tentatives de fraude impliquant des renseignements communiqués ; dans chaque cas, les messages d'alarme ont permis d'éviter la fraude.
Enquête fédérale/provinciale sur une erreur de transmission de renseignements médicaux
En juillet 2004, un article d'un quotidien a rapporté qu'un couple marié avait reçu de sources diverses des télécopies contenant des renseignements médicaux personnels. Le couple prétend en avoir bien avisé les sources, mais il a continué de recevoir des télécopies.
Le Commissariat à l'information et à la protection de la vie privée de l'Alberta a mené une première enquête sur cet incident. Le Commissariat a établi que, bien que la loi provinciale sur la protection de la vie privée s'applique à certains renseignements transmis par télécopies, il semble que ceux-ci relèvent aussi de la juridiction fédérale en vertu de la LPRPDE. Le Commissariat à la protection de la vie privée du Canada a donc entrepris sa propre enquête en collaboration avec le Commissariat de l'Alberta.
Le couple en question administre un immeuble à appartements. Le numéro du télécopieur qu'il utilise pour la gestion de l'immeuble ressemble à celui d'un fournisseur de soins de santé, mais deux chiffres sont intervertis. Le couple a reçu dix télécopies envoyées par erreur à leur numéro.
Le Commissariat s'est penché sur sept des dix télécopies transmises par erreur (les trois autres relèvent de la province). Deux des sept télécopies ne contenaient pas de renseignements personnels. Il a été établi que les cinq autres provenaient de trois entreprises distinctes.
La première est une entreprise qui possède et exploite des laboratoires médicaux. La télécopie qu'elle a envoyée par erreur au numéro du couple contenait des renseignements personnels sur une personne ayant subi des examens administrés par l'entreprise. Les renseignements comprenaient le nom, l'âge, le poids, les habitudes d'usage du tabac et le numéro de patient de la personne, ainsi qu'un diagnostic et des résultats précis d'analyses médicales.
Dans sa propre enquête interne, cette entreprise n'a pas été en mesure de déterminer lequel de ses employés avait composé le mauvais numéro de téléphone, mais elle a réussi à réduire les possibilités à cinq. Ces cinq employés étaient au courant de la nature confidentielle des dossiers médicaux et de la nécessité d'en empêcher la communication et ils avaient tous signé un accord de confidentialité en prêtant serment au moment de leur embauche, mais ils n'avaient pas été tenus de renouveler ce serment depuis.
Pour les numéros de télécopieur fréquemment utilisés, cette entreprise a ajouté dans ses ordinateurs une fonction de télécopie automatique qui sert à vérifier l'exactitude des numéros entrés dans le système avant la transmission. Quant aux numéros rarement composés (lesquels ne sont pas programmés dans le système automatisé), l'entreprise a donné à ses employés des directives pour vérifier l'exactitude de la transmission. À la demande du Commissariat, l'entreprise a entrepris de revoir ses politiques et ses procédures afin de se conformer entièrement à la Health Information Act de l'Alberta et à la LPRPDE.
La deuxième source de télécopies envoyées par erreur est une entreprise d'élimination de déchets dont les employés sont tenus de passer des examens médicaux annuels. Cette entreprise a envoyé trois télécopies par erreur, dont une portant une date antérieure à l'entrée en vigueur de la LPRPDE. Les deux autres étaient des formulaires remplis contenant des renseignements sur la santé de deux employés qui venaient de passer leur examen annuel. Ce n'est cependant pas l'entreprise qui a envoyé les télécopies au mauvais numéro, mais plutôt les employés eux-mêmes, chacun ayant composé le même mauvais numéro. Pour des motifs de protection de la vie privée, l'entreprise demande à ses employés d'envoyer eux-mêmes les formulaires relatifs à leur état de santé.
Cette entreprise a maintenant entré le numéro de télécopieur exact dans la composition abrégée afin que ses employés continuent d'envoyer leurs propres formulaires en réduisant les risques de communication involontaire. L'entreprise a également un agent de la protection de la vie privée et des politiques acceptables en matière de protection des renseignements personnels.
La troisième entreprise en cause est un organisme médical qui offre des services de consultation et dont les médecins examinent et évaluent les rapports sur les patients préparés par les nouveaux médecins consultants. La seule télécopie envoyée par erreur dans ce cas était un rapport de ce type que les médecins avaient consulté. Le médecin en cause n'avait pas envoyé la télécopie lui-même et l'entreprise n'a pas été en mesure de déterminer qui avait composé le numéro. Le rapport envoyé par télécopieur contenait le nom de la patiente, son âge et son occupation, ainsi que des antécédents médicaux détaillés concernant une blessure qu'elle avait subie dans un accident d'automobile. Il contenait également des renseignements sur ses enfants.
Lorsque le couple a appelé l'entreprise pour signaler cette erreur, un employé leur a demandé de détruire le document. Avec du recul, l'entreprise s'est rendu compte que cette directive n'était pas appropriée, en ce sens que l'employé n'avait aucun moyen de confirmer la destruction du document ou de vérifier que la méthode employée pour le faire était valable. L'entreprise a convenu d'envoyer un messager pour récupérer les télécopies pouvant éventuellement être envoyées au mauvais numéro. Elle a aussi pris des mesures pour que le numéro soit vérifié avant toute transmission et que tout incident soit signalé à la direction.
À la demande du Commissariat, cette entreprise a avisé la patiente touchée par cette communication de renseignements personnels, nommé un agent de la protection de la vie privée et envoyé au Commissariat des copies de sa procédure de transmission des télécopies et de sa politique de protection de la vie privée révisées.
Le Commissariat a fait les recommandations suivantes à la première et à la troisième entreprise :
- que les entreprises suivent les recommandations du Commissariat concernant la transmission de télécopies, telles qu'elles sont énoncées sur la fiche d'information Télécopieurs et renseignements personnels ;
- que les entreprises prennent des mesures pour s'assurer que les télécopies sont récupérées lorsqu'une erreur de transmission est signalée ;
- 3) que les entreprises avisent les personnes touchées lorsque des renseignements médicaux les concernant sont communiqués par inadvertance en raison de l'envoi d'une télécopie à un mauvais numéro ; et
- que, chaque année, les entreprises demandent à leurs employés de renouveler les accords de confidentialité ou de protection de la vie privée, mettent à jour ces accords et révisent leurs politiques de protection de la vie privée.
Des reçus de carte de crédit dispersés par le vent
En août 2004, un quotidien rapportait que deux femmes avaient vu des reçus de carte de crédit dispersés par le vent dans leur quartier et qu'elles étaient remontées à la source, une station-service locale, où de vieux reçus avaient été jetés dans une benne à ordures.
L'exploitant de la station a reconnu qu'il avait jeté divers reçus de 2002 dans la benne, mais a prétendu qu'il ignorait les conséquences de son geste sur la protection de la vie privée. Il a dit que ces reçus se trouvaient dans des boîtes, placées au milieu de la benne et couvertes par d'autres déchets. Il soupçonnait les enfants du voisinage d'avoir grimpé dans la benne et ouvert les boîtes par curiosité, exposant ainsi les reçus aux éléments.
Il a déclaré que ce jour-là, un journaliste l'avait informé du problème et qu'il avait pris des mesures immédiates pour ramasser les reçus éparpillés, retirer de la benne ceux qui s'y trouvaient encore et les déchiqueter. Bien qu'il soutienne que lui et ses employés n'ont pu trouver qu'une quantité minime de reçus, notre enquête a établi que les deux femmes, premiers témoins de l'incident, avaient ramassé plus tôt trois sacs et une pleine boîte de reçus aux environs de la station-service.
Les témoins ont remis les reçus qu'elles avaient ramassés à notre enquêteur. Un échantillon de 1 897 de ces documents révèle que la plupart étaient des reçus de cartes de débit ne contenant pas de renseignements personnels permettant d'identifier quelqu'un et de nombreux autres étaient des reçus de cartes de crédit échues. Néanmoins, 151 reçus de cartes de crédit comportaient des numéros de compte valides (non périmés), 16 contenaient des numéros de compte valides et des numéros de plaque d'immatriculation écrits à la main, trois comportaient des numéros de comptes valides et des numéros de permis de conduire écrits à la main et un comportait un numéro de permis de conduire et un numéro de plaque d'immatriculation.
L'exploitant de la station-service a donné l'assurance qu'il était maintenant conscient de ses responsabilités en vertu de la Loi et qu'il avait instauré des politiques pour conserver tous les reçus seulement pendant les six mois requis et les détruire ensuite de manière sécuritaire en les déchiquetant.
L'exploitant loue la station-service d'une société d'énergie. En entrevue, le directeur de district de la société a d'abord déclaré que la politique de protection de la vie privée de la société ne s'appliquait pas aux établissements loués. Il a par la suite admis que la société s'attendait généralement à ce que les détenteurs de bail adhèrent à ses politiques et à ses procédures et que la société leur offrait habituellement des séances de formation et d'information. Cependant, ni lui ni l'exploitant de la station-service ne pouvaient se rappeler une séance d'information sur la politique de protection de la vie privée. Le directeur de district a indiqué que la société offrirait des séances d'information aux détenteurs de bail prochainement et qu'il examinerait lui-même les politiques de protection de la vie privée lors des réunions mensuelles avec les détenteurs de bail de son district.
Le Commissariat a fait deux recommandations :
- que la société s'assure de mettre en place des politiques dans l'ensemble des stations-service louées et qu'elle étudie la possibilité d'inclure une obligation à cet effet dans les contrats de location ; et
- que les politiques de protection de la vie privée destinées aux stations-service de la société contiennent des procédures en vue de conserver, de protéger et d'éliminer de façon appropriée tous les renseignements personnels recueillis.
Suivi des enquêtes sur les plaintes en vertu de la LPRPDE
En 2004, nous avons adopté une procédure générale de suivi systématique des enquêtes sur les plaintes en vertu de la LPRPDE. La Direction des enquêtes et des demandes de renseignements surveille désormais le progrès des organisations qui donnent suite aux engagements pris durant les enquêtes sur les plaintes et aux recommandations que le Commissariat leur a faites dans ses lettres de conclusions. Nous demandons aux organisations un rapport sur leurs intentions et leur progrès dans la tenue de ces engagements et la mise en oeuvre de ces recommandations. Nous leur demandons aussi de fournir des documents attestant leur mise en oeuvre.
Le but du suivi est double. Premièrement, le suivi renforce et précise les attentes du Commissariat à l'égard des mesures correctives prises par les organisations en réaction aux problèmes identifiés pendant les enquêtes sur les plaintes. Deuxièmement, il constitue un dossier permanent fiable de la conformité des organisations à la LPRPDE.
À la fin de 2004 et au début de 2005, dans un exercice spécial visant à établir une base solide pour ce dossier, la Direction des enquêtes et des demandes de renseignements a appliqué la nouvelle procédure de suivi aux cas antérieurs dans lesquels les réponses des organisations aux recommandations ou aux engagements n'avaient pas fait l'objet d'une mesure de suivi. Plus précisément, les enquêteurs de la Direction ont assuré le suivi de plus de 50 cas importants non vérifiés, clos entre le 1er janvier 2001 et le 1er novembre 2004, et mettant en cause des organisations sous réglementation fédérale assujetties à la LPRPDE depuis le début (banques, entreprises de télécommunications, entreprises de transport nationales, etc.) Note de bas de page 3. Les cas visés sont ceux dans lesquels le Commissariat a décelé des lacunes en matière de protection de la vie privée et pour lesquels il a prévu que les organisations prendraient des mesures correctives précises pour donner suite aux engagements pris à la suite de notre suggestion au cours de l'enquête ou aux recommandations que nous leur avons faites ultérieurement dans les lettres de conclusions Note de bas de page 4.
Grâce aux opérations quotidiennes, le Commissariat avait déjà pu constater que les organisations défenderesses avaient bien collaboré aux enquêtes et donné suite aux engagements et aux recommandations. Cependant, quand nous avons analysé les résultats de ces suivis parallèlement aux résultats de cas déjà connus, nous avons pu voir un tableau complet, clair et statistiquement représentatif de l'effet cumulatif de nos enquêtes sur les plaintes déposées en vertu de la LPRPDE Note de bas de page 5.
Nous avons constaté, surtout dans les cas vérifiés pour lesquels le Commissariat s'attendait à des mesures correctives, que, neuf fois sur dix, les organisations sous réglementation fédérale avaient entièrement donné suite aux recommandations que nous avions formulées à l'issue d'une enquête. Nous avons également établi que 67 p. 100 de ses mesures satisfaisantes suscitaient une amélioration générale des organisations elles-mêmes. Autrement dit, dans environ deux cas sur trois, les mesures correctives ont dépassé le simple règlement d'une préoccupation immédiate du plaignant et poussé l'organisation à modifier considérablement ses systèmes de gestion de l'information liés à la politique, aux procédures et aux pratiques de protection de la vie privée.
Les mesures suivantes sont des exemples d'améliorations générales apportées par les organisations défenderesses au cours des quatre premières années de la LPRPDE pour donner suites à nos recommandations :
- Une banque a adopté un processus de remplacement pour accommoder les personnes qui présentent une demande de compte de dépôt et refusent de consentir à une vérification de solvabilité.
- À la suite d'une recommandation, une banque a collaboré avec les agences d'évaluation du crédit afin d'élaborer des modèles compréhensibles et conviviaux pour présenter des renseignements sur le crédit.
- Plusieurs organisations ont reconnu que l'utilisation des numéros d'assurance sociale (NAS) est une question délicate et ont modifié leurs politiques et leurs pratiques en conséquence. Une banque, par exemple, a cessé d'exiger que le consommateur dévoile son NAS aux fins d'activation de carte de crédit. Une autre banque a modifié son formulaire de demande d'emprunt pour indiquer que la communication du NAS est facultative et a insisté auprès de ses employés sur le fait que le NAS n'est pas nécessaire pour traiter les demandes d'emprunt.
- Grâce à une longue consultation avec le Commissariat, une banque dont la documentation sur la protection de la vie privée était jugée la moins conforme parmi celle de toutes les banques a grandement amélioré son libellé de consentement et ses pratiques, notamment celles portant sur l'utilisation et la communication de renseignements personnels aux fins de marketing secondaire. À notre avis, la documentation de cette banque en matière de protection de la vie privée se situe maintenant parmi les meilleures.
- Une autre banque a suivi notre recommandation pour améliorer la sécurité des ordinateurs dans ses succursales.
- Une autre banque a mis fin à sa pratique qui consistait à émettre des cartes de crédit non sollicitées et à créer des comptes de carte de crédit sans consentement.
- Un établissement de prêt a mis sur pied un comité de protection de la vie privée, organisé une formation sur la protection de la vie privée et donné pour instruction à son personnel de limiter la quantité de renseignements communiqués pour recouvrer les créances.
- Une entreprise de télécommunications a cessé d'utiliser les relevés de téléphone de ses clients pour obtenir des renseignements sur d'autres personnes.
- Dans un cas d'affichage des relevés de vente des employés, une autre entreprise de télécommunications a expliqué à ses directeurs des ventes les fins appropriées d'utilisation et de communication des renseignements personnels, a mis à jour le programme de formation de ses employés en conséquence et a révisé sa méthode de recrutement et de sélection en vue d'informer les employés des fins auxquelles les renseignements personnels recueillis par l'entreprise seront utilisés.
- Un radiodiffuseur a élaboré et diffusé une politique sur l'utilisation des caméras de sécurité et des contrôles d'accès.
- Un transporteur aérien a considérablement amélioré sa politique et ses pratiques de protection de la vie privée liées à son programme de récompenses.
- Une société de gestion de transport a intégralement mis en oeuvre nos recommandations concernant sa politique de congé de maladie. Plus particulièrement, la société n'exige plus de diagnostic précis sur les certificats médicaux fournis par ses employés.
- En étroite collaboration avec le Commissariat, une entreprise d'études de marché a donné suite à nos recommandations concernant ses sondages auprès des consommateurs, portant notamment sur la détermination des fins et sur le consentement à la communication de renseignements à des tiers. Résultat : le formulaire et la méthode de sondage font désormais preuve de beaucoup plus de transparence et sont en conformité avec la protection de la vie privée.
- Un programme de récompenses a non seulement amélioré ses documents de communication comme nous l'avions recommandé, mais il a apporté d'autres améliorations relatives à la protection de la vie privée allant au-delà de nos recommandations.
Bien qu'il ne soit pas encore achevé, le dossier regorge déjà de preuves que la plupart des organisations sous réglementation fédérale ont pris leurs responsabilités en vertu de la LPRPDE très au sérieux . De manière générale, les organisations ont collaboré avec le Commissariat aux enquêtes sur les plaintes et ont cherché à corriger, de manière considérable et permanente, les problèmes que nous avions détectés. En outre, le dossier montre clairement que les enquêtes en elles-mêmes ont contribué à accroître considérablement la conformité des organisations défenderesses à la Loi. Près de la moitié des mesures satisfaisantes prises par les organisations l'ont été, non pas à la suite des recommandations dans une lettre de conclusions, mais plutôt durant l'enquête même ou comme résultat direct de celle-ci. Autrement dit, les enquêteurs du Commissariat ont été les principaux acteurs dans la résolution de problèmes et dans près de la moitié des cas de mesures satisfaisantes prises par une organisation.
Notre taux de réussite démontre non seulement l'efficacité de notre fonction d'enquête, mais aussi l'efficacité continue du rôle d'ombudsman de la commissaire. Bien que notre dossier soit déjà étoffé, nous prenons des mesures pour l'améliorer. Nous croyons que notre nouvelle procédure de suivi systématique nous permettra notamment d'assurer un taux encore plus élevé de conformité à la LPRPDE.
Vérification et examen
Renforcer la fonction de vérification
Le paragraphe 18(1) de la LPRPDE permet à la commissaire de procéder à la vérification des pratiques de gestion des renseignements personnels d'une organisation si celle-ci des motifs raisonnables de croire que cette organisation contrevient aux principes de pratiques équitables en matière de renseignements qui sont établies dans la Loi et dans l'annexe. À ce jour, nous n'avons mené aucune vérification en vertu de la LPRPDE. Toutefois, compte tenu que la LPRPDE est à présent en vigueur dans son intégralité et que les organisations ont eu le temps de s'y conformer, le Commissariat a récemment pris des mesures pour mettre en application ses pouvoirs de vérification là où il est justifié de le faire.
En mars 2005, la Direction de l'examen de la conformité est devenue la Direction de la vérification et de la revue, ce qui témoigne d'une importante transformation. Le Commissariat entend avoir recours davantage à la vérification, qui deviendra un outil important servant à remplir notre mandat établi en vertu de la Loi sur la protection des renseignements personnels et de la LPRPDE.
L'objectif de la Direction de la vérification et de la revue est de procéder de façon objective et indépendante à la vérification et à l'examen de systèmes de gestion de renseignements personnels dans le but de promouvoir la conformité aux lois en vigueur, aux politiques et aux normes et d'améliorer les pratiques en matière de protection de la vie privée et d'imputabilité.
L'année 2004 marque le début des efforts visant à reconstruire et à renforcer les fonctions de vérification et d'examen. Les vérifications n'ont pas encore été exploitées à leur pleine capacité, ni comme un des outils clés servant à examiner le grand nombre de risques en matière de protection de renseignements personnels. Les risques systémiques sont vastes, notamment les mesures de sécurité inadéquates en matière de données, le vol d'identité, la collecte, la conservation et l'utilisation inappropriées de renseignements personnels et le défaut d'agir en cas de manquements relatifs à la protection des renseignements personnels.
Il faudra du temps pour bâtir la capacité pour entreprendre des vérifications suffisantes et appropriées. La Direction ne compte actuellement que quatre agents de vérification en tout pour effectuer le travail dans les secteurs public et privé. La portée de l' « univers de la vérification » se compose de plus de 150 ministères et organismes fédéraux assujettis à la Loi sur la protection des renseignements personnels et de milliers d'organisations commerciales au Canada assujetties à la LPRPDE.
Les démarches que le Commissariat entreprendra pour renforcer la fonction de vérification sont notamment :
- l'achèvement de méthodes et de pratiques d'examen et de vérification externes ;
- la définition du but de la Direction et l'articulation de l'organisation autour des valeurs prônant le travail d'équipe ;
- l'amorce d'un processus visant à élaborer une stratégie et un plan de vérification à plus long terme compte tenu des risques et des enjeux relatifs à la protection des renseignements personnels ;
- l'élaboration d'une analyse de rentabilisation qui sera présentée au Conseil du Trésor du Canada afin d'obtenir davantage de financement pour la vérification et l'examen ;
- la sensibilisation auprès des comités parlementaires en ce qui touche les vérifications en matière de protection des renseignements personnels ;
- la mise sur pied d'un projet visant à déterminer et à mettre à l'essai un processus pour établir s'il y a « motifs raisonnables » pour sélectionner l'objet des vérifications menées en vertu de la LPRPDE. Les critères et le processus seront publiés sur notre site Web au cours du prochain exercice financier, et tous les commentaires à ce sujet seront appréciés ;
- la mise sur pied d'un projet d'élaboration d'un outil d'autoévaluation servant à aider les organisations à se conformer à la LPRPDE et à promouvoir les bonnes pratiques de gestion des renseignements personnels. Nous souhaitons que les organisations comprennent qu'une bonne protection des renseignements personnels constitue une saine gestion des affaires et qu'elles ont besoin d'un solide cadre de gestion en matière de protection de la vie privée. Ce cadre comprend la vérification interne des systèmes et des pratiques afin que les organisations respectent leurs obligations en matière de protection des renseignements personnels. Les outils d'autoévaluation (programme de vérification) seront aussi affichés sur notre site Web ; et
- l'exécution d'une enquête sur l'industrie privée concernant l'utilisation des dispositifs d'identification par radiofréquence.
À l'affût de l'identification par radiofréquence
Nous continuons de surveiller l'évolution de la technologie des dispositifs d'identification par radiofréquence (RFID). Nous estimons que les entreprises doivent établir des politiques et des normes avant de mettre en application la technologie des dispositifs d'identification par radiofréquence, et non pas après-coup. Toute utilisation des dispositifs d'identification par radiofréquence doit être conforme aux exigences de la LPRPDE. De plus, nous voulons connaître le rôle des applications des dispositifs d'identification par radiofréquence en matière d'agrégation et d'exploration de données, puisque ces dernières dépendent de l'obtention d'une quantité toujours croissante de détails au sujet des personnes et de ce qu'elles achètent ou louent.
Nous prévoyons envoyer des lettres à des sociétés canadiennes sélectionnées qui seraient susceptibles de recourir aux dispositifs d'identification par radiofréquence afin de mieux comprendre le nouvel usage de ces dispositifs. Notre intérêt premier est d'apprendre comment ces dispositifs pourraient être utilisés pour établir des liens entre les renseignements personnels et les produits et services. Nous désirons savoir si cette technologie sera utilisée pour identifier ou suivre des personnes. Nous désirons également savoir si, au moment d'élaborer et de mettre en oeuvre les applications liées aux dispositifs d'identification par radiofréquence, les entreprises évalueront les menaces ou les risques ou encore les conséquences sur la protection de la vie privée et comment les employés et les consommateurs seront informés de la présence de ces dispositifs.
Les résultats de cette enquête seront publiés dans le rapport annuel de l'an prochain. Nous ne communiquerons pas de renseignements commerciaux de nature exclusive. Nous continuerons de surveiller les progrès en matière de technologie des dispositifs d'identification par radiofréquence pour déterminer les sphères qui nécessiteront de l'encadrement quant aux questions de protection des renseignements personnels.
Devant les tribunaux
Requêtes en vertu de la LPRPDE
En vertu de l'article 14 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une personne ayant porté plainte a le droit, à l'issue de l'enquête de la commissaire et après le dépôt de son rapport, de déposer une demande d'audience à la Cour fédérale sur toute question traitée dans ce rapport. Il doit s'agir de questions qui figurent parmi les sujets dont traite l'article 14. Ce dernier article accorde à la commissaire le droit de déposer directement une demande à la Cour fédérale à l'égard d'une plainte qu'elle a déposée de son propre chef.
En vertu de l'article 15 de la LPRPDE, la commissaire peut (avec le consentement du plaignant) demander directement une audience à la Cour sur toute question visée par l'article 14, comparaître devant la Cour au nom de tout plaignant qui a présenté une demande d'audience en vertu de l'article 14, ou, avec l'autorisation de la Cour, comparaître comme partie à une instance engagée par toute autre partie que la commissaire en vertu de l'article 14.
Du 1er janvier 2001 au 31 décembre 2004, 35 demandes ont été déposées devant la Cour fédérale au titre de la LPRPDE, dont quinze en 2004. Ainsi, le nombre de demandes déposées en 2004 seulement est presque égal au nombre total de demandes déposées depuis l'entrée en vigueur de la LPRPDE jusqu'au début de l'année 2004. Il s'agit donc d'une hausse énorme. La liste suivante contient toutes les demandes déposées devant la Cour fédérale en vertu de la LPRPDE en 2004 :
- Karen et Daniel Edwards c. Banque Canadienne Impériale de Commerce (n o de dossier de la Cour fédérale T-35-04), abandonnée le 2 novembre 2004
- Keith Vanderbeke c. Banque royale du Canada (n o de dossier de la Cour fédérale T - 222-04)
- Ron Gass c. NAV Canada (n o de dossier de la Cour fédérale T-821-04), rejetée en juillet 2004 (par consentement)
- Pierre Jean Trudeau c. Banque TD Canada Trust (n o de dossier de la Cour fédérale T - 851-04), rejetée le 23 février 2005 (en raison du délai)
- Bradley Nazaruk et Travailleurs unis des transports, section 691 c. Compagnie des chemins de fer nationaux du Canada (n o de dossier de la Cour fédérale T-948-04), abandonnée le 8 juillet 2005
- Janice Morgan c. Alta Flights (Charters) Inc. (n o de dossier de la Cour fédérale T - 1066-04)
- Ian David Kosher c. Banque Canadienne Impériale de Commerce (n o de dossier de la Cour fédérale T-1143-04)
- 3web Corporation c. Llano Gorman (n o de la Cour fédérale T-1603-04), abandonnée en juin 2005
- Paul Wansink et Telecommunications Workers Union c. Telus Communications Inc. (n o de dossier de la Cour fédérale T-1862-04), jointe au n o de dossier de la Cour fédérale T-1865-04 le 31 décembre 2004
- Henry Fenske et Telecommunications Workers Union c. Telus Communications Inc. (n o de dossier de la Cour fédérale T-1863-04), jointe au n o de dossier de la Cour fédérale T-1865-04 le 31 décembre 2004
- Paul Bernat et Telecommunications Workers Union c. Telus (n o de dossier de la Cour fédérale T-1864-04), jointe au n o de dossier de la Cour fédérale T - 1865-04 le 31 décembre 2004
- Randy Turner et Telecommunications Workers Union c. Telus (n o de dossier de la Cour fédérale T-1865-04)
- John Testa et Brenda Marie Testa c. Citibank (n o de dossier de la Cour fédérale T - 2135-04), rejetée le 15 juin 2005 (règlement intervenu lors de la conférence préalable à l'instruction)
- Richard Breithaupt et Peggy Fournier c. Hali MacFarland et Calm Air International ltd. (n o de dossier de la Cour fédérale T-2061-04)
Décisions importantes
Les demandes en vertu de la LPRPDE décrites ci-après méritent qu'on s'y arrête :
Mathew Englander c. Telus Communications Inc. et Commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-1717-01 et n o de dossier de la Cour d'appel fédérale A-388-03
M. Englander a allégué que Telus utilisait et communiquait les nom, adresse et numéro de téléphone de ses clients dans les pages blanches de son annuaire et ailleurs, à l'insu de ses clients et sans avoir obtenu leur consentement. Il a également soutenu que Telus exigeait indûment des frais à des clients qui demandent la « non-publication » de leur numéro de téléphone. M. Englander soutient que les mesures prises par Telus sont contraires aux paragraphes 5(1) et (3) de la Loi ainsi qu'à plusieurs clauses de l'annexe 1 de la Loi.
Au sujet du consentement, l'ancien commissaire a conclu que l'entreprise avait de fait obtenu un consentement valable de manière implicite et que celle-ci s'était conformée aux règlements concernant les renseignements mis à la disposition du public. Il a accordé une attention particulière à la question que l'entreprise posait à ses clients quant à la façon dont les renseignements les concernant devraient figurer dans les pages blanches et a établi que la question implique en soi la publication éventuelle des renseignements dans des annuaires auxquels le public a accès. Puisque les renseignements publiés par la suite sur d'autres supports correspondent simplement à ceux qui sont publiés dans les pages blanches, ils sont également tenus pour des renseignements auxquels le public a accès en vertu de la Loi et il est possible de les recueillir, de les utiliser et de les communiquer sans le consentement de la personne concernée.
Au sujet des frais exigés pour la non-publication des renseignements concernant les clients, le commissaire s'est référée à l'Ordonnance Télécom 98-109 du CRTC qui stipule que les sociétés de télécommunications peuvent exiger jusqu'à 2 $ par mois pour un service de numéro non publié. Par conséquent, il a conclu que l'entreprise en cause était habilitée à exiger son tarif mensuel de non-publication établi à 2 $ et que cette mesure n'était pas déraisonnable.
M. Englander a déposé sa toute première requête à la Cour fédérale en vertu de l'article 14 de la LPRPDE après que l'ancien commissaire a fait connaître ses conclusions. Ce dernier n'était pas partie prenante à ces procédures. En bout de ligne, la Cour fédérale a conclu que M. Englander ne l'avait pas convaincue que sa requête était fondée et a rejeté celle-ci. Elle a adjugé les dépenses à l'intimé.
M. Englander a déposé un appel devant la Cour d'appel fédérale. L'actuelle commissaire à la protection de la vie privée a été autorisée à intervenir dans le cadre de cet appel.
La Cour a entendu l'appel le 7 octobre 2004. Dans sa décision, rendue le 17 novembre 2004, elle a accueilli l'appel en partie à la lumière du fait que Telus n'obtenait pas le consentement éclairé de ses nouveaux clients avant d'utiliser les renseignements personnels qui les concernent dans ses annuaires téléphoniques ; il ne s'agit pas de consentement éclairé lorsque la personne censée donner ces renseignements ne sait pas au moment de le faire qu'elle peut refuser. Le fait d'informer les clients après - coup peut constituer un facteur pouvant faire l'objet d'une évaluation de la conformité conformément au principe de « transparence », mais arrive trop tard pour respecter le principe du consentement éclairé. La Cour a insisté sur le fait que, dans ce cas-ci, le consentement est crucial puisqu'il ouvre la voie à la publication des renseignements personnels.
La Cour a déclaré dans sa décision du 9 février 2005, qu'étant donné que Telus avait commencé à modifier ses pratiques pour se conformer à la LPRPDE, il n'était pas nécessaire d'exiger que Telus apporte les changements nécessaires. Selon le jugement : « la Cour est convaincue qu'il suffit en l'espèce de déclarer que Telus a enfreint l'article 5 de la Loi sur la protection des renseignements personnels et les documents électroniques et qu'il n'est pas nécessaire de prendre une injonction péremptoire. » [Traduction]
Erwin Eastmond c. Compagnie de chemin de fer Canadien Pacifique et Commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-309-03
M. Eastmond s'est plaint que son employeur recueillait des renseignements personnels sur ses employés sans leur consentement. Le plaignant était surtout préoccupé par le fait que des caméras d'enregistrement vidéo numériques installées dans la cour de la compagnie pourraient recueillir des renseignements personnels sur les employés.
L'ancien commissaire à la protection de la vie privée a invoqué le paragraphe 5(3) et expliqué qu'il devait prendre en considération la pertinence des objectifs de la compagnie pour recueillir des renseignements personnels ainsi que les circonstances entourant ces objectifs. À cette fin, il a utilisé les questions suivantes : 1) est-il possible de faire la preuve que la mesure est nécessaire pour répondre à un besoin particulier? ; 2) cette mesure est-elle susceptible d'être efficace pour répondre à ce besoin? ; 3) l'atteinte à la vie privée est-elle proportionnelle à l'avantage qui en découlera? ; 4) existe-t-il un autre moyen moins envahissant qui pourrait permettre d'atteindre le même objectif? L'ancien commissaire a déterminé qu'une personne raisonnable ne prendrait pas en considération ces circonstances pour justifier la prise d'une mesure portant autant atteinte à la vie privée que l'installation de caméras vidéo numériques. Par conséquent, l'utilisation de ce type de surveillance vidéo par la compagnie aux fins mentionnées n'est pas appropriée et l'entreprise contrevient au paragraphe 5(3) de la LPRPDE.
M. Eastmond a déposé une requête à la Cour fédérale en février 2003 en vertu de l'article 14 de la LPRPDE. Il sollicitait une ordonnance prescrivant la confirmation des conclusions de l'ancien commissaire ainsi que différentes autres ordonnances sur le même sujet. Il demandait aussi à l'ancien commissaire d'envoyer une copie certifiée de son rapport d'enquête.
L'ancien commissaire à la protection de la vie privée s'étant opposé à donner suite à cette demande, la Cour a décidé en juin 2003 que les Règles de la Cour fédérale ne permettaient pas à un demandeur d'exiger des documents en la possession du commissaire à la protection de la vie privée.
Le commissaire à la protection de la vie privée par intérim a été ajouté à titre de partie en vertu de l'alinéa 15 c ) de la LPRPDE, mais ne s'est pas prononcé sur l'issue ultime de l'affaire quant au faits. Il a plutôt soutenu que la Cour devrait accorder une certaine retenue judiciaire à l'expertise du commissaire et adopter les quatre critères pour déterminer la pertinence de la collecte des renseignements par la Compagnie de chemin de fer Canadien Pacifique. Un autre mémoire a été déposé en décembre 2003 traitant de la compétence du commissaire et de la Cour en la matière, même si l'affaire découle d'une situation d'emploi visée par une convention collective. Selon le mémoire complémentaire, il y a juridiction concurrente dans cette situation.
La requête a été entendue en avril 2004. Le 11 juin 2004, la Cour a fait connaître sa décision. La Cour a conclu que le commissaire à la protection de la vie privée avait compétence en la matière, que l'essentiel du litige ne découlait pas de la convention collective et que le Parlement n'avait pas l'intention d'exclure les syndiqués du champ d'application de la LPRPDE.
La Cour a également établi que, même s'il s'agissait d'une procédure de novo, le commissaire avait droit à une certaine retenue compte tenu de son expertise.
Enfin, la Cour a adopté les quatre critères proposés concernant le paragraphe 5(3) en précisant que les facteurs particuliers pris en compte en l'espèce pourraient ne pas s'appliquer dans toutes les affaires. En se servant de ces critères, la Cour a conclu qu'une personne raisonnable estimerait que les fins invoquées par l'organisation pour recueillir les images par l'entremise d'une caméra vidéo numérique sont appropriées dans les circonstances et, par conséquent, la Compagnie de chemin de fer Canadien Pacifique n'a pas enfreint la LPRPDE.
Affaires devant les tribunaux
Les cas suivants présentent un intérêt particulier dans l'interprétation continue de la LPRPDE :
Keith Vanderbeke c. la Banque royale du Canada
No de dossier de la Cour fédérale T-222-04
M. Vanderbeke avait déjà formulé une plainte quant à la manière dont la Banque royale du Canada traitait ses renseignements personnels. Dans sa plainte relative au même sujet, M. Vanderbeke a allégué que la Banque royale avait recours à des pratiques répréhensibles systémiques dans la tenue de ses dossiers et, plus particulièrement, que la banque ne conservait pas « adéquatement » les accusés de réception du renouvellement de l'hypothèque de ses clients. La banque a expliqué qu'elle ne conservait pas de copie des accusés de réception envoyés à ses clients puisque ceux-ci contiennent des renseignements qui sont disponibles dans d'autres documents. Lors de l'examen de la plainte, la commissaire adjointe à la protection de la vie privée a estimé que la LPRPDE accordait aux personnes le droit d'accès au contenu des renseignements personnels, mais pas nécessairement aux documents précis qui les contiennent. Par conséquent, elle a déterminé que la plainte était non fondée.
Le 29 janvier 2004, M. Vanderbeke a déposé une requête, en vertu de l'article 14 de la LPRPDE. La Banque royale a présenté une requête en vue de radier la demande, mais cette requête a été rejetée.
Une motion datée du 5 juillet 2004 exigeait que M. Vanderbeke verse une consignation en justice avant de procéder à sa déclaration sous serment, ce qui a entraîné un retard dans l'audience qui a été reportée au 23 février 2005. À ce jour, la commissaire n'a pas été invitée à participer à cette requête, mais suit de près le cours de cette affaire.
Janice Morgan c. Alta Flights (Charters) Inc. et la commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-1066-04 et n o de dossier de la Cour d'appel fédérale A-184-05
Mme Morgan, ancienne employée d'Alta Flights, s'est plainte que son employeur ait tenté de recueillir et d'utiliser des renseignements personnels qui la concernent sans son consentement et sans l'en informer. Plus précisément, elle allègue qu'un directeur a placé un enregistreur numérique sous une table de la salle des fumeurs, mise à la disponibilité des employés, afin de recueillir des renseignements personnels à leur sujet. La société a reconnu que le directeur avait tenté de colliger des renseignements personnels sur les employés sans prévenir ces derniers et sans leur consentement.
L'enquête a déterminé que puisque rien ne prouvait qu'on avait eu recours à l'enregistrement, aucun élément de preuve ne pouvait étayer la requête de la plaignante selon laquelle on avait recueilli et utilisé des renseignements personnels. La commissaire adjointe à la protection de la vie privée a conclu que la société n'avait pas enfreint la LPRPDE et que, par conséquent, la plainte était non fondée. Toutefois, elle a prévenu l'entreprise qu'il ne fallait pas interpréter ses conclusions comme une approbation de ce que le directeur avait tenté de faire.
Mme Morgan a déposé une requête devant la Cour fédérale, en vertu de l'article 14 de la LPRPDE, le 26 mai 2004. La requête originale nommait par erreur la commissaire à la protection de la vie privée à titre d'intimée. Le 14 septembre 2004, la Cour a accepté la requête de la commissaire à la protection de la vie privée visant à être radiée à titre d'intimée et ajoutée à titre de partie dans le cadre de la requête, conformément à l'alinéa 15 c ) de la LPRPDE.
Au procès, la commissaire à la protection de la vie privée a présenté ses observations concernant cinq sujets : 1) la compétence de la LPRPDE en la matière nonobstant la formulation d'une plainte pour congédiement injuste en vertu du Code canadien du travail relativement à la même question ; 2) la norme de contrôle judiciaire et le devoir de réserve adéquats à l'égard des conclusions de la commissaire à la protection de la vie privée ; 3) l'interprétation juste de l'alinéa 7(1) b ) ; 4) le fait de savoir si une tentative de collecte constitue une collecte ; 5) le fait de savoir s'il est du ressort d'une juridiction de common law d'accorder des recours qui ne sont pas autorisés par la LPRPDE.
La Cour a entendu la requête le 15 mars 2005. À l'instar de la commissaire adjointe à la protection de la vie privée, la Cour a conclu qu'en l'absence de toute preuve selon laquelle des conversations ont été enregistrées, l'entreprise n'a pas réellement réussi à recueillir ou à utiliser des renseignements personnels. Il n'y a donc pas eu d'infraction à la LPRPDE puisqu'une tentative d'enfreindre la Loi n'est pas une infraction de la LPRPDE.
Quant à la question de faire preuve de réserve à l'égard de la décision de la commissaire à la protection de la vie privée, la Cour a conclu qu'elle peut se fier à la décision de la commissaire à la protection de la vie privée ou à certaines parties de celle-ci dans sa détermination, mais qu'elle n'est pas contrainte de le faire. Au moment d'exercer son pouvoir discrétionnaire de novo, la Cour fera preuve de moins de réserve à l'égard de la décision de la commissaire à la protection de la vie privée qu'elle ne l'aurait fait. Toutefois, on doit tenir compte des facteurs pris en considération par la commissaire à la protection de la vie privée dans l'examen des intérêts en matière de protection de la vie privée de la plaignante et l'intérêt légitime de l'employeur qui cherche à protéger ses employés et ses biens.
En avril 2005, M me Morgan a déposé une demande d'appel.
Paul Wansink et Telecommunications Workers Union c. Telus et la commissaire à la protection de la vie privé du Canada
No de dossier de la Cour fédérale T-1862-04
Henry Fenske et Telecommunications Workers Union c. Telus et la commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-1863-04
Paul Bernat et Telecommunications Workers Union c. Telus et la commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-1864-04
Randy Turner et Telecommunications Workers Union c. Telus et la commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-2222-03
Les demandeurs se sont plaints auprès de la commissaire à la protection de la vie privée que leur employeur, Telus Communications Inc., ait enfreint la LPRPDE en les obligeant à consentir à la collecte de données biométriques les concernant et à fournir les renseignements qui permettraient à un ordinateur d'authentifier automatiquement leur identité à partir de leur empreinte vocale.
La commissaire adjointe à la protection de la vie privée a évalué l'exigence visant l'empreinte vocale et a déterminé qu'il ne s'agissait pas d'une pratique qui porte gravement atteinte à la vie privée. Elle s'est dit d'avis qu'un juste équilibre entre le droit à la vie privée des employés et les besoins de l'employeur avait été atteint. L'objectif était raisonnable et approprié et Telus avait adéquatement informé ses employés de l'objectif visé et avait pris les mesures de sécurité adéquates concernant les renseignements personnels.
Après que la commissaire adjointe à la protection de la vie privée a fait connaître ses conclusions, chacune des quatre plaintes s'est transformée en requête distincte auprès de la Cour fédérale en vertu de l'article 14 de la LPRPDE. Une ordonnance datée du 31 décembre 2004 consolidait ces requêtes dans un même dossier de la Cour fédérale portant le n o T - 1865-04.
La commissaire à la protection de la vie privée a alors demandé, conformément à l'alinéa 15 c ) de la LPRPDE, d'être nommée partie prenante à ces requêtes afin de présenter des observations visant à aider la Cour à élaborer des critères pour évaluer l'équilibre entre les besoins commerciaux et les droits des particuliers en matière de protection de la vie privée. Telus a consenti à la requête, mais a fait des observations à la Cour selon lesquelles l'entreprise suggère de limiter le rôle de la commissaire à la protection de la vie privée. La commissaire a réussi à faire rejeter ce point de vue et a obtenu, le 22 février 2005, le statut de partie à part entière.
La commissaire a fait des observations sur plusieurs questions, dont les suivantes : 1) le syndicat des employés des télécommunications n'était pas un demandeur adéquat dans le cadre de cette audience ; 2) la Cour devrait tenir compte des facteurs à prendre en considération dans la recherche d'un équilibre entre les intérêts des parties ; 3) le cadre juridique et les facteurs utilisés par la commissaire dans la recherche de l'équilibre entre les intérêts des parties devrait être appliqué par la Cour ; 4) la LPRPDE n'exige pas que l'employeur demande le consentement du syndicat au lieu de demander directement le consentement des employés ; 5) les attentes en matière d'exigences quant au consentement ne s'appliquent pas dans cette situation ; 6) à quel moment la possibilité de consentement peut-elle être sous - entendue ; 7) la reconnaissance de la capacité de retirer son consentement.
Une audience est prévue pour le 20 septembre 2005.
John Testa et Brenda Marie Testa c. Citibank
No de dossier de la Cour fédérale T-2135-04
M. Testa a affirmé que la Citibank avait communiqué une quantité importante de renseignements personnels à ses employés sans son consentement. Il a ensuite soutenu que ces communications ont causé beaucoup de tort à sa réputation et ont contribué à sa décision de démissionner de la direction de son entreprise.
Dans ses conclusions, la commissaire adjointe a reconnu que la LPRPDE permet à une organisation de communiquer les renseignements personnels concernant une personne sans le consentement de cette dernière dans le but de recouvrer une créance. Toutefois, cette exception ne donne pas carte blanche à une organisation pour communiquer tous les renseignements qu'elle souhaiterait. La commissaire adjointe est d'avis que dans la situation en cause, il était clair qu'une quantité excessive de renseignements personnels avait été communiquées. Par conséquent, elle a déterminé que la banque se trouvait en infraction relativement au principe 4.3 de l'annexe 1 de la LPRPDE et elle a conclu que la plainte était fondée.
Une requête a été déposée devant la Cour fédérale le 1er décembre 2004. On s'attendait à ce que la commissaire à la protection de la vie privée demande l'autorisation de se présenter devant la Cour, conformément à l'alinéa 15 c ) de la LPRPDE. Toutefois, un règlement a été conclu lors de la conférence de règlement des litiges tenue avant le procès et, par conséquent, la requête a été rejetée le 15 juin 2005.
Richard Breithaupt et Peggy Fournier c. Hali MacFarlane et Calm Air International Ltd.
No de dossier de la Cour fédérale T-2061-04
M. Breithaupt s'est plaint qu'une employée de Calm Air (M me MacFarlane) a communiqué à la GRC des renseignements sur son itinéraire et celui de son épouse sans leur consentement et sans les prévenir. Il a été confirmé que l'employée de Calm Air a obtenu l'accès à ces renseignements sans que les intéressés n'en soient informés ni aient donné leur consentement. Toutefois, l'employé en question de Calm Air et l'agent de la GRC ont tous deux nié le fait que cet employé ait communiqué ces renseignements à un agent de la GRC.
Les éléments de preuve documentaire ont incité la commissaire adjointe à conclure qu'il y avait effectivement eu communication. Elle a constaté que l'employée avait utilisé ces renseignements à des fins autres que celles auxquelles ils avaient été colligés et les avait ensuite communiqués, contrevenant ainsi aux principes 4.3 et 4.5 de l'annexe 1 de la LPRPDE. Par conséquent, la plainte était fondée.
Le plaignant a déposé une plainte en vertu de l'article 14 de la LPRPDE devant la Cour fédérale le 18 novembre 2004. La commissaire n'est pas partie prenante de cette requête, bien qu'elle en suive le déroulement.
Contrôle judiciaire
Les cas suivants revêtent une importance particulière au moment de définir l'ampleur des pouvoirs d'application de la loi que confère la LPRPDE à la commissaire :
Blood Tribe Department of Health c. commissaire à la protection de la vie privée du Canada et al.
No de dossier de la Cour fédérale T-2222-03 et n o de dossier de la Cour d'appel fédérale A-147-05
Une plainte a été déposée auprès du Commissariat à la protection de la vie privée alléguant (entre autres choses) que le Blood Tribe Department of Health avait refusé à une personne l'accès à ses renseignements personnels sans justifier son refus.
Nous sommes d'avis que la commissaire doit avoir accès à tous les documents pour s'assurer que les exceptions invoquées ont été bien appliquées et pour éviter les abus. Toutefois, le Blood Tribe Department of Health a refusé de donner à la commissaire accès à des documents protégés par le secret professionnel. En raison de ce refus, le Commissariat a pris sa première ordonnance de production de dossiers conformément aux alinéas 12(1) a ) et c ) de la LPRPDE.
En réponse, le Blood Tribe Department of Health a déposé, conformément à l'article 18.1 de la Loi sur les cours fédérales, une demande de contrôle judiciaire de la décision de la commissaire à la protection de la vie privée de prendre une ordonnance de production de dossiers. La Cour a rejeté cette requête en mars 2005. Le juge Mosley a déclaré que lorsque la commissaire à la protection de la vie privée est saisie d'une plainte au sujet de la conservation et de l'utilisation de renseignements personnels, il lui incombe de déterminer les faits et de rédiger un rapport présentant ses conclusions. Elle ne peut pas réaliser cette tâche si on lui refuse l'accès aux renseignements nécessaires pour vérifier les faits simplement parce qu'une revendication de privilège de non-communication est formulée. La Cour était convaincue que la commissaire à la protection de la vie privée avait correctement exercé son pouvoir de prendre une ordonnance de production de dossiers. Cette ordonnance ne limite ni ne récuse le droit au secret professionnel dont peut jouir le demandeur concernant les documents en question.
Le demandeur a déposé une demande d'appel relativement à cette décision en avril 2005.
3web Corporation c. Llano Gorman et la commissaire à la protection de la vie privée du Canada
No de dossier de la Cour fédérale T-1603-04
M. Gorman s'est plaint que 3web Corporation, un fournisseur de services Internet qui a été son employeur, avait installé des caméras Web pour surveiller ses employés sur les lieux de travail. Ces caméras se trouvaient au service de la vente et du marketing et dans la section du personnel de soutien technique. La commissaire adjointe a conclu que la plainte était fondée. Pour ce faire, elle a déclaré ce qui suit : a) il est improbable qu'une personne raisonnable considère que le productivité des employés constitue une raison appropriée pour recourir à la surveillance vidéo et audio ; b) en utilisant des caméras Web de la manière décrite dans cette plainte, l'entreprise ne reconnaissait pas le droit fondamental de ses employés à la vie privée ; l'équilibre à laquelle fait référence l'article 3 de la LPRPDE s'éloigne beaucoup trop de la protection de la vie privée des personnes. L'utilisation de caméras à ces fins met en péril la LPRPDE.
La LPRPDE permet à un plaignant ou à la commissaire à la protection de la vie privée de demander à la Cour fédérale la tenue d'une audience sur toute question dont traite le rapport de la commissaire. Si le rapport de la commissaire contient uniquement des recommandations, il n'existe aucune disposition du genre pour une organisation défenderesse. Dans la présente affaire, l'organisation a formulé une demande de contrôle judiciaire. L'entreprise a nommé M. Gorman à titre d'intimé, bien qu'elle ait aussi sollicité une ordonnance pour que le rapport de la commissaire adjointe à la protection de la vie privée soit déclaré « illégal et invalide ».
En octobre 2004, la commissaire à la protection de la vie privée a déposé une requête afin de demander a) qu'elle soit ajoutée à titre d'intervenante et b) que la demande de contrôle judiciaire soit radiée. Cette requête a été entendue en février 2005, date à laquelle la commissaire a été ajoutée en qualité d'intervenante aux procédures. La Cour a rejeté la requête de la commissaire qui demandait que soit radiée la requête dans son ensemble et a conclu qu'il valait mieux la soumettre à l'instruction.
L'entreprise a abandonné les procédures en juin 2005.
Sensibilisation du grand public et communications
Le Commissariat à la protection de la vie privée du Canada est chargé, en vertu de la LPRPDE, d'élaborer et d'entreprendre des programmes d'information afin que le public et les organisations comprennent et reconnaissent davantage les règles qui régissent la collecte, l'utilisation et la communication des renseignements personnels. Bien qu'aucun mandat législatif de sensibilisation du grand public ne soit spécifié aux termes de la Loi sur la protection des renseignements personnels, le Commissariat a bel et bien le mandat de s'assurer que les ministères et organismes sont tenus responsables de leurs pratiques en matière de traitement des renseignements personnels. Il s'avère souvent nécessaire d'informer le public, ainsi que les ministères et les organismes, des exigences de la Loi et des politiques connexes ainsi que des répercussions des initiatives du gouvernement, courantes ou proposées, sur le droit à la vie privée des Canadiennes et des Canadiens.
En 2004, le Commissariat a entrepris un projet de planification stratégique des communications avec l'expertise de consultants externes ; cela a donné lieu à une stratégie exhaustive en matière de communications et d'information pour les prochains exercices. Cette stratégie permettra au Commissariat d'adopter une approche plus globale et plus proactive de la planification et de la prestation des activités de communications, une approche des communications se rapportant à la LPRPDE davantage axée sur la sensibilisation du grand public afin de mieux faire connaître le Commissariat et les principaux enjeux en matière de protection de la vie privée conformément aux deux lois.
En plus de l'élaboration de cette stratégie, le Commissariat a entrepris les activités de communication suivantes en 2004 :
Discours et événements spéciaux
Les discours ont aidé le Commissariat à sensibiliser les divers auditoires et autres milieux aux enjeux relatifs à la protection de la vie privée, notamment des associations professionnelles et d'industries, des organismes sans but lucratif, des groupes de défense et des universités. En 2004, la commissaire, les commissaires adjoints et les autres représentants ont présenté plus de 19 discours portant sur des enjeux ayant des répercussions sur la protection des renseignements personnels tels que des initiatives en matière de sécurité et la prestation de soins de santé.
En mars 2004, le Commissariat a commencé à présenter une série de conférences internes (en moyenne une par mois). Lors de ces séances d'information, des experts invités ont abordé diverses questions portant sur la protection des renseignements personnels devant des membres du milieu de la protection de la vie privée et devant le personnel du CPVP. En 2004, le Commissariat a présenté dix de ces séances d'information.
Relations avec les médias
En 2004, les médias ont continué à porter un intérêt soutenu sur la protection de la vie privée couvrant abondamment des questions telles l'entrée en vigueur de l'ensemble des dispositions de la LPRPDE, comme le témoignent de nombreux appels médiatiques au CPVP et des entrevues accordées par ce dernier. De plus, grâce à d'autres efforts proactifs en matière de relations médiatiques, tels que la diffusion de communiqués de presse, le Commissariat a eu l'occasion d'entreprendre des activités de sensibilisation, notamment pour le lancement de son programme des contributions, pour faire connaître le point de vue de la commissaire sur d'importantes lois telle la Loi sur la sécurité publique et sur le projet de loi visant à créer une liste nationale des abonnés auto-exclus, et pour communiquer le point de vue du Commissariat sur la circulation transfrontalière des renseignements personnels.
Site Web
Nous affichons de façon continue sur notre site Web des renseignements nouveaux et pertinents. Des fiches d'information, communiqués, discours, résumés de conclusions d'enquêtes en vertu de la LPRPDE sont affichés sur le site afin de maintenir l'intérêt des personnes et des organisations. En 2004-2005, le Commissariat a restructuré son site Web afin qu'il soit conforme à la normalisation des sites Internet telle qu'elle a été établie par le Conseil du Trésor. Résultat : la conception et les outils de navigation du site ont été améliorés en vue de faciliter la consultation du site. Le Commissariat a également rendu le site plus interactif en y intégrant un discours téléchargeable de la commissaire sur la conformité à la LPRPDE. Il nous fait plaisir de signaler que depuis 2001, le nombre de visites de notre site a plus que quadruplé, atteignant 922 106 en 2004.
Publications
Le Commissariat a produit des documents d'information, dont des guides sur la LPRPDE à l'intention des personnes, des organisations et des entreprises, ainsi que de nouvelles fiches d'information traitant de sujets tels que le consentement, l'utilisation du numéro d'assurance sociale dans le secteur privé, la circulation transfrontalière des renseignements personnels et la façon dont le Commissariat mène des enquêtes sur de possibles violations de la vie privée.
En 2004-2005, en plus de préparer de nouvelles fiches d'information, nous avons élaboré une trousse d'information électronique à l'intention des entreprises pour aider celles-ci à se conformer à la nouvelle loi. Nous avons révisé la teneur de nos guides afin de nous assurer que ceux-ci étaient à jour pour la mise en oeuvre intégrale de la LPRPDE le 1er janvier 2004. Nous avons reçu tous les jours des demandes au sujet de ces documents. Ceux-ci étaient acheminés aux personnes qui en faisaient la demande ou distribués lors de conférences et événements spéciaux, et les visiteurs de notre site Web pouvaient également les obtenir en format électronique. En 2004, près de 22 000 publications du Commissariat (guides, fiches d'information, rapports annuels, copies des deux lois fédérales sur la de protection des renseignements personnels) ont été distribuées, sans compter les 742 000 publications téléchargées de notre site Web.
Communications internes
Le Commissariat a également mis l'accent sur les activités de communications internes, qui ont joué un rôle majeur en 2004 en favorisant une plus grande transparence entre le personnel et la direction, en particulier pendant le renouveau institutionnel en cours, mais aussi lors des activités quotidiennes. Les activités de communications internes en 2004 consistaient à fournir au personnel des renseignements, notamment sur des questions en matière de ressources humaines, les discours à venir, les présentations devant le Parlement, les réunions des comités de la haute direction et de consultation patronale-syndicale et des activités spéciales telles que des réunions de l'ensemble du personnel et des séances d'information. Le Commissariat travaille actuellement à la mise sur pied d'un réseau intranet, un portail de communications internes qui accueillera toutes les communications internes et maximisera l'accès à l'information pour le personnel. Le réseau sera lancé en 2005.
Au cours de la prochaine année, le Commissariat continuera à prendre en charge les activités ci-haut mentionnées. Nous espérons également être en mesure d'entreprendre davantage d'activités de sensibilisation du grand public plus proactives dans notre stratégie en matière de communications et d'information.
Gestion intégrée
Vers le renouveau institutionnel
La priorité numéro un de la commissaire a été de diriger le renouveau institutionnel du Commissariat en renforçant les processus de gestion du CPVP, en particulier la gestion des ressources humaines et la gestion financière — planification, budgétisation, établissement de rapports et mécanismes de contrôle.
Le cadre financier global du Commissariat suit l'exercice du gouvernement (2004 - 2005).
La planification et l'établissement de rapports
Un élément de base du renouveau institutionnel du Commissariat est la mise en place d'un processus stratégique de planification, d'établissement de rapports et de contrôle. En 2004-2005, nous avons conclu une première année sous ce processus révisé. Le plan stratégique élaboré en début d'exercice nous a servi de feuille de route tout au long de l'année. Les possibilités en matière d'examen et d'établissement de rapports faisaient partie de ce nouveau processus. Nous avons ajusté les plans et les budgets tout au long de l'année. Pour nous aider à établir des rapports et à procéder à des examens, nous avons mis sur pied un cadre de mesure du rendement et un rapport mensuel sur le rendement. Nous avons également initié une révision des processus pour l'ensemble de l'organisme, ce qui permettra au Commissariat de déterminer avec plus de justesse les besoins en ressources et de rédiger une analyse de rentabilisation pour le financement permanent.
Les ressources humaines
Nous continuons à travailler à l'élaboration et à la mise en oeuvre de changements en vue d'améliorer la façon dont le Commissariat est géré et la qualité du milieu de travail. Des changements considérables et des améliorations ont été apportés aux pratiques et aux politiques de gestion des ressources humaines.
Nous avons élaboré un certain nombre de politiques en matière de ressources humaines, en consultation avec des organismes centraux et des syndicats. Ces politiques nous guideront pendant que nous tirons profit de nos succès de la dernière année et que nous poursuivons notre cheminement vers le renouveau institutionnel. Nous avons établi un instrument de délégation en matière de gestion des ressources humaines qui nous servira à informer et à aiguiller les gestionnaires et permettra à ceux-ci de gérer les ressources humaines. Un nouveau plan stratégique en matière de ressources humaines et une stratégie en matière de dotation ainsi qu'un plan d'action sur l'équité en matière d'emploi aideront le CPVP à respecter son mandat et à assurer le recrutement d'effectifs hautement qualifiés, diversifiés et représentatifs de la société canadienne. En vertu de l'engagement du CPVP à faire preuve d'une meilleure transparence dans le processus de dotation, un bulletin du personnel a été mis sur pied ; il est distribué chaque mois à tout le personnel.
Tout au long du dernier exercice, nous avons fait des progrès considérables dans le domaine de l'apprentissage organisationnel, en élaborant notamment une stratégie d'apprentissage en collaboration avec l'École de la fonction publique du Canada (ÉFPC), des séances d'information et de formation sur la dotation en personnel fondées sur les valeurs, des séances de formation linguistique, des évaluations de rendement pour les gestionnaires et les employés et une politique sur le harcèlement en milieu de travail. L'élaboration et la mise en oeuvre d'une stratégie d'apprentissage et d'un programme éducatif en collaboration avec l'ÉFPC permettront au personnel de continuer à développer son expertise et les compétences requises pour accomplir ses tâches, et l'amènera à assumer de nouvelles fonctions et responsabilités.
Nous avons continué à travailler en collaboration avec des organismes centraux tels que l'Agence de gestion des ressources humaines de la fonction publique du Canada et la Commission de la fonction publique du Canada sur des mesures de suivi, conformément aux recommandations de la Commission de la fonction publique et au rapport de la vérificatrice générale du Canada en 2003. Certaines de ces mesures donneront au Commissariat la possibilité de reprendre ses pleins pouvoirs de délégation en matière de dotation.
Finances et administration
Le Bureau du vérificateur général a émis une opinion favorable à la suite de la vérification des états financiers du Commissariat pour l'exercice 2003-2004. Voilà un jalon important et un indicateur que l'organisme a effectivement progressé dans son cheminement vers le renouveau institutionnel. Notre organisme a profité de ce succès en mettant au point des cycles d'examen et de planification, de même qu'en simplifiant et en améliorant les politiques et les pratiques de gestion financière.
Gestion de l'information et technologie de l'information
Des progrès considérables ont également été accomplis en ce qui a trait à la gestion de nos ressources d'information. Nous avons terminé la vérification de nos systèmes de gestion de l'information ainsi qu'une évaluation de la vulnérabilité de notre technologie de l'information. Nous avons également élaboré une stratégie en matière de technologie de l'information. Cela nous aidera non seulement à remplir nos obligations dans le cadre de la gestion des renseignements administratifs et des politiques en matière de sécurité mais, surtout, à nous guider pendant que nous procédons à l'amélioration de la gestion de nos ressources d'information. Au cours de l'année, nous avons considérablement amélioré notre système de suivi des dossiers et d'établissement des rapports, l'Application d'enquête intégrée (AEI). Finalement, nous avons également mis au point un cadre pour un site intranet interne. Ce site permettra aux employés de communiquer et d'échanger des renseignements efficacement.
Pour l'année qui vient
La planification stratégique est un exercice annuel important au CPVP. Notre dernière session, en janvier 2005, a permis aux gestionnaires et aux employés de réexaminer les priorités du Commissariat pour 2005-2006, ainsi que les actions qu'ils entreprendront pour les mener à bien.
Gestion intégrée — priorités pour l'exercice 2005 - 2006 :
- élaborer et mettre en oeuvre un cadre de responsabilisation de gestion (CRG) ;
- mettre en oeuvre et maintenir une stratégie en ressources humaines qui habilitera le Commissariat à recruter, à conserver et à former le personnel, de même qu'à favoriser un environnement d'apprentissage continu ;
- satisfaire aux exigences des organismes centraux afin de recouvrer les pouvoirs délégués et de permettre au Commissariat d'assumer une nouvelle délégation afin d'appliquer la Loi sur la modernisation de la fonction publique ;
- élaborer et mettre en oeuvre la gestion intégrée de l'information ;
- rédiger une analyse de rentabilisation des ressources pour le CPVP ;
- examiner les politiques et les processus de la Direction de la gestion intégrée et de la Direction des ressources humaines ; et
- continuer à procurer des services financiers intégrés efficaces au CPVP.
Besoins en matière de ressources
Au début de l'exercice 2004-2005, le budget du Commissariat s'établissait à 11,2 millions de dollars, soit le même montant que celui de l'exercice précédent. De cette somme, 6,7 millions de dollars visent les activités du Commissariat à l'égard de la LPRPDE. Le financement des activités du CPVP est toujours un enjeu capital.
Compte tenu des menaces constantes à l'endroit du droit à la protection de la vie privée, les activités du Commissariat doivent être adéquatement financées de façon à ce que ce dernier prenne des mesures pour traiter la multitude des nouveaux enjeux en matière de protection de la vie privée dans les secteurs public et privé.
Le Commissariat ne possède pas les ressources adéquates pour exercer pleinement ses pouvoirs et assumer ses responsabilités en vertu des deux lois. Sans financement permanent suffisant, le Commissariat n'est pas en mesure de :
- renforcer ses fonctions de vérification et d'examen de façon à traiter efficacement l'application des deux lois régissant la protection des renseignements personnels, ou renforcer notre capacité de surveillance, de recherche et de réponse aux nouveaux enjeux en matière de technologie et de protection de la vie privée ;
- mener des activités d'information et de sensibilisation du grand public afin d'influer sur les changements pour que les politiques et programmes soient perçus selon un leitmotiv respectant la protection de la vie privée ;
- continuer à mener des enquêtes en temps opportun et à régler un nombre de plus en plus élevé de plaintes en vertu des deux lois ; et
- continuer à fournir des avis juridiques et stratégiques ainsi qu'un soutien juridique en vertu des deux lois régissant la protection des renseignements personnels, et renforcer les méthodes et procédures établies pour régler les plaintes entre les différentes juridictions.
À cette fin, la priorité du Commissariat au cours du dernier trimestre de l'exercice 2004 - 2005 a consisté à mener à terme un examen de ses processus opérationnels à l'échelle de l'organisme. Il a donc fallu, notamment, établir des indicateurs de charge de travail et revoir les exigences législatives ainsi que les facteurs, tant internes qu'externes, qui ont une incidence sur les activités du Commissariat. Cela permettra au Commissariat d'élaborer une analyse de rentabilisation et de déposer un document de présentation officielle au Secrétariat du Conseil du Trésor et au Parlement plus tard en 2005, en vue de stabiliser les ressources dont il dispose et de demander un financement permanent.
Nous espérons qu'avec un financement permanent, le Commissariat sera en mesure d'offrir une assurance renouvelée au Parlement pour veiller au respect du droit des Canadiennes et des Canadiens à la protection de leurs renseignements personnels dans les secteurs public et privé.
Renseignements financiers
Du 1er avril 2004 au 31 mars 2005
Dépenses globales ($) |
% du total | |
---|---|---|
Loi sur la protection des renseignements personnels | 3 745 058 | 32 |
LPRPDE | 6 849 650 | 58,5 |
Gestion intégrée | 1 107 296 | 9,5 |
Total | 11 702 004 | 100 |
Note : Bien que le budget salarial du CPVP ait permis environ 100 ETP (équivalent temps plein), le Commissariat ne comptait que 86 employés à temps plein à la fin de mars 2005.
Dépenses détaillées (1) | Loi sur la protection des renseignements personnels | LPRPDE | Gestion intégrée |
Total |
---|---|---|---|---|
Salaires et traitements | 3 330 147 | 3 039 732 | 419 120 | 6 788 999 |
Cotisations au régime d’avantages sociaux des employés | 190 327 | 844 575 | 154 640 | 1 189 542 |
Transports et communications | 41 238 | 266 129 | 81 282 | 388 649 |
Information | 1 907 | 147 911 | 5 239 | 155 057 |
Services professionnels | 171 783 | 1 397 579 | 210 403 | 1 779 765 |
Locations | 2 730 | 107 874 | 23 759 | 134 363 |
Réparations et entretien | 4 698 | 155 805 | 85 353 | 245 856 |
Approvisionnements et fournitures | 9 304 | 50 764 | 21 633 | 81 701 |
Achat d’appareils et d’équipements | 384 | 451 788 | 98 026 | 550 198 |
Autres subventions et paiements | -7 460 | 20 084 | 7 841 | 20 465 |
Paiements de transfert | 0 | 367 409 | 0 | 367 409 |
Total | 3 745 058 | 6 849 650 | 1 107 296 | 11 702 004 |
(1) Les dépenses globales correspondent aux données des Comptes publics du Canada.
États financiers
La lettre de responsabilité de la direction à l’égard des états financiers et les états financiers vérifiés en date du 31 mars 2005 pourront être consultés sur notre site Web www.priv.gc.ca en octobre 2005.
Supports de substitution
- PDF (1,4 Mo) Accessibilité non vérifiée
- Date de modification :