Rapport annuel au Parlement 2005 sur la Loi sur la protection des renseignements personnels et les documents électroniques

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

(613) 995-8210, 1 800 282-1376
N° de téléc. : (613) 947-6850
ATS : (613) 992-9190

© Ministre des Travaux publics et Services gouvernementaux Canada 2006
N° de cat. : IP51-1/2005-1
ISBN : 0-662-69647-6

Ce document peut être consulté dans notre site Web, à l’adresse suivante : www.priv.gc.ca.

---

Mai 2006

L’honorable Noël A. Kinsella, sénateur
Président
Sénat du Canada
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s’échelonnant du 1^er janvier au 31 décembre 2005.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Mai 2006

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa

Monsieur,

J’ai l’honneur de remettre au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s’échelonnant du 1^er janvier au 31 décembre 2005.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Avant-propos

J’aimerais pouvoir dire que dans le domaine de la protection de la vie privée au Canada, tout va pour le mieux dans le meilleur des mondes possible. Malheureusement, ce n’est pas encore le cas. Plus que jamais, les Canadiennes et les Canadiens s’inquiètent du sort de leur vie privée et du risque que leurs renseignements personnels soient utilisés à mauvais escient. Leurs inquiétudes sont le fruit de menaces toujours plus nombreuses surgissant à l’ère électronique de la circulation massive et continue de données.

La loi actuelle adoptée pour protéger les renseignements personnels dans le secteur privé n’offre qu’une partie de la solution. La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est pleinement en vigueur depuis maintenant deux ans et protège les différents aspects de la vie privée de l’ensemble de la population canadienne, sauf au Québec (qui a adopté sa propre loi pour la protection des renseignements personnels dans le secteur privé en 1994). En vertu de la Loi, les organisations doivent désormais se conformer à une série d’obligations applicables à la collecte, à l’utilisation et à la communication de renseignements personnels.

Dans la foulée de la LPRPDE, plusieurs provinces ont voulu adopter leur propre loi, des lois subséquemment jugées « essentiellement similaires » à la LPRPDE. Ainsi, la Colombie-Britannique et l’Alberta ont l’une et l’autre adopté une loi en 2003, puis ce fut le tour de l’Ontario en 2005 (pour la protection des renseignements personnels sur la santé).

En 2006, le Parlement procédera à l’examen de la LPRPDE. Cet examen revêt un caractère essentiel, car nous aurons la chance unique de vérifier si la Loi permet d’assurer aux Canadiennes et aux Canadiens que leur droit à la protection de la vie privée, qui leur est si cher, est bien protégé. En outre, les parlementaires et la population pourront examiner les solutions possibles aux atteintes de plus en plus nombreuses qui visent les renseignements personnels et la vie privée de tous et chacun, soit le vol d’identité, les pourriels et les activités électroniques frauduleuses.

Même s’il ne s’agit pas d’une panacée, la LPRPDE et les lois provinciales qui lui sont essentiellement similaires ont permis de changer en profondeur les comportements et les perceptions concernant la protection des renseignements personnels au Canada. En effet, les Canadiennes et les Canadiens s’attendent désormais à ce que les organisations qui recueillent et utilisent leurs renseignements personnels expliquent et justifient leurs actions. Ils s’expriment également beaucoup plus qu’auparavant sur la question et savent davantage de quoi il retourne.

Les dernières années ont été synonymes de défis pour les organisations visées par la LPRPDE qui ont travaillé, à leur propre rythme et en obtenant divers degrés de succès, à mettre en œuvre les principes de la Loi. Dans l’ensemble, les organisations canadiennes se conforment dans une très large mesure aux obligations qui leur sont imposées en vertu de la LPRPDE. Les entreprises, de petite et de grande taille, ont fait preuve de bonne volonté et d’engagement en faveur des valeurs collectives; elles ont aussi démontré qu’elles étaient ouvertes aux changements nécessaires à la protection de la vie privée. Je crains toutefois que la conformité apparente ne soit pas nécessairement garante de pratiques véritablement efficaces en matière de sécurité et de protection de la vie privée. La bonne volonté doit maintenant se traduire par des actions concrètes.

En raison des nouvelles technologies, des tendances de consommation et des inquiétudes relatives à la sécurité nationale, on ne cesse de trouver de nouveaux motifs de recueillir et d’utiliser un nombre toujours plus grand de renseignements personnels. Il nous faut donc revoir nos définitions et l’application de nos règles de fonctionnement. Dans quelle mesure ces règles sont-elles appropriées à l’ère de l’Internet, des mini-ordinateurs de voiture, des dispositifs de localisation cousus aux vêtements, de la surveillance de voisinage par satellite et de l’impartition du traitement de renseignements dans des pays où la protection de ceux-ci n’est pas assurée? Même si le Canada se dote d’un cadre efficace de protection des renseignements personnels, il n’est pas nécessairement en mesure d’étendre sa protection au-delà de ses frontières. En outre, il ne peut pas non plus exercer un contrôle efficace sur les transactions qui, par la voie de l’Internet, passent outre les frontières du pays, entraînent la manipulation de renseignements personnels de la population canadienne et échappent à la portée de la LPRPDE.

Le Commissariat à la protection de la vie privée du Canada (le Commissariat) poursuit son travail en faveur de la protection de la vie privée grâce à l’éducation, à la sensibilisation, à la résolution de plaintes et à l’adoption de mesures préventives. À titre d’ombudsman, j’encourage la conformité volontaire aux principes de protection des renseignements personnels ainsi que l’adaptation de ces principes aux besoins particuliers de l’industrie et des consommateurs. Je suis très heureuse de constater que la propension à résoudre les plaintes adressées au Commissariat semble vouloir se poursuivre. Près de la moitié de l’ensemble des plaintes sont en effet résolues à la satisfaction de toutes les parties concernées.

Les normes de protection de la vie privée sont de mieux en mieux connues, et l’on s’attend de plus en plus à ce qu’elles soient respectées. Il est désormais inacceptable d’omettre de prendre des mesures correctives directes lorsque la protection des renseignements personnels est négligée. En 2005, j’ai décidé de demander aux organisations visées par des plaintes fondées d’énoncer les mesures qu’elles songeaient à prendre, avec l’intention de porter la plainte devant la Cour fédérale au besoin. À ce jour, dans les quelques situations où j’ai dû adopter cette approche, presque toutes les organisations se sont rapidement engagées à prendre les mesures nécessaires et à revoir en profondeur leur façon de fonctionner.

Également, nous vérifions de façon continue si les changements recommandés par suite de plaintes d’années précédentes ont bien été mis en œuvre. Ici encore, le niveau de conformité est élevé et, lorsque nous intervenons par suite d’une plainte, la coopération des organisations concernées est généralement fort louable.

Il reste néanmoins difficile, voire impossible, pour la population de se plaindre de l’utilisation de ses renseignements personnels si elle ne saisit pas bien la façon dont les renseignements sont utilisés. Dans notre monde hautement technologique et opaque, seuls quelques experts sont véritablement en mesure de comprendre les tenants et les aboutissants de la circulation et de l’utilisation des renseignements personnels. Puisque les Canadiennes et les Canadiens ne comprennent pas pleinement tous les aspects du traitement de leurs renseignements personnels, le Commissariat doit se rapporter à des indicateurs de problèmes autres que les plaintes provenant du public. Par conséquent, nous avons recours à différents outils, comme les vérifications, l’examen des systèmes de gestion de l’information, les évaluations des renseignements personnels, la communication d’information publique et la sensibilisation du grand public afin d’aider celui-ci à exercer un certain contrôle sur ses renseignements personnels et les entreprises à respecter leurs obligations. Nous effectuons aussi des travaux de recherche sur les nouveaux enjeux et, au besoin, nous prenons des mesures juridiques.

Le mandat qui nous est conféré en vertu de la LPRPDE est vaste et exigeant, et notre incertitude financière ne nous a pas permis d’aller aussi loin que nous l’aurions souhaité. La réalisation des activités en vertu de la LPRPDE n’a pas été appuyée par un financement permanent, et ce n’est qu’en 2003 que des fonds à cette fin ont été affectés puis renouvelés chaque année. La Loi est pleinement en vigueur depuis 2004, et les demandes sont de plus en plus nombreuses. Nous avons donc sollicité une augmentation pluriannuelle importante de notre base de financement, et nous prévoyons une croissance importante. Un financement adéquat nous permettra de respecter le mandat que nous accorde la Loi et de réagir aux pressions du gouvernement et des groupes commerciaux toujours plus avides de renseignements personnels.

Je souhaite remercier l’honorable Gérard V. La Forest pour son excellente étude sur la possibilité de fusion du Commissariat à l’information du Canada et du Commissariat à la protection de la vie privée du Canada. Il a conclu que la structure qui convient le mieux pour faire appliquer les lois canadiennes en matière de protection des renseignements personnels demeure celle conçue précisément pour la protection de la vie privée. Le fait de conserver cette structure permet aussi d’éviter les bouleversements administratifs qui auraient résulté de la fusion des deux entités. Pour l’heure, il est beaucoup plus important que le Commissariat se concentre sur les préoccupations actuelles touchant le domaine de la vie privée et qu’il se prépare à traiter les nombreux autres enjeux qui ne manqueront pas de surgir.

Notre mandat renforcé

Jusqu’ici, le Commissariat n’a pas obtenu les fonds permanents nécessaires pour s’acquitter des responsabilités que lui confère la LPRPDE. Des fonds ne lui ont été accordés que pour trois ans. La LPRPDE, dont l’application s’est échelonnée en plusieurs étapes, est entrée en vigueur en 2001 et a atteint sa pleine mise en œuvre en 2004. Il nous semblait important de laisser retomber la poussière avant de définir nos besoins financiers à long terme. La LPRPDE est pleinement en vigueur depuis maintenant deux ans, et les demandes qui nous sont adressées en vertu de cette loi sont de plus en plus nombreuses. Notre capacité financière actuelle ne nous permet pas de répondre aux exigences d’un mandat aux multiples facettes. Conséquemment, nous devons composer avec un arriéré considérable de plaintes à traiter; les personnes qui ont déposé ces plaintes commencent à s’impatienter, ce que nous comprenons sans peine. L’équipe des vérificateurs est trop réduite pour nous permettre d’effectuer des vérifications efficaces en vue d’assurer la conformité. Bien que nous ayons mis en place une approche axée sur la gestion du risque, il nous faut intensifier nos activités de vérification. De plus, en raison des restrictions financières, notre stratégie de communication est essentiellement réactive, alors que c’est d’une stratégie proactive de sensibilisation du grand public sur les droits et les obligations en matière de protection de la vie privée dont nous avons besoin. Pour leur part, la Direction de la recherche et des politiques ainsi que la Direction des services juridiques, plutôt que de prévoir et de composer efficacement avec tout nouveau problème relatif à la protection de la vie privée, se limitent à répondre aux urgences.

Les dernières années ont été éprouvantes pour le Commissariat. Mais à quelque chose malheur est bon : les difficultés nous ont permis de revoir de fond en comble les façons de faire du Commissariat. Celui-ci en ressort renouvelé et engagé sur la bonne voie. Il est maintenant temps d’instaurer la nouvelle vision du Commissariat, ce qui nécessitera toute une gamme d’outils afin de la mettre en œuvre.

Nous travaillons à embaucher de nouveaux talents et à nous adjoindre des personnes hautement qualifiées. Nous avons mené à terme un ambitieux programme qui visait à corriger toutes les lacunes au sein de la direction de l’organisme. Jusqu’ici, les vérifications et les évaluations du Commissariat effectuées par le Bureau du vérificateur général du Canada, la Commission de la fonction publique ainsi que par la Commission canadienne des droits de la personne ont été positives. Nous avons aussi mis en œuvre un processus réfléchi et systématique pour déterminer nos besoins organisationnels. Le Commissariat est à nouveau une institution digne de la confiance du Parlement et de la population canadienne dont il sert les intérêts.

Vision du Commissariat à la protection de la vie privée du Canada

Le Commissariat a procédé à deux importantes analyses : le document Vision et plan de service institutionnel ainsi que l’analyse de rentabilisation en vue d’un financement permanent. Ces deux documents définissent notre rôle tel qu’il doit être, en tant que représentant du Parlement au service des intérêts des Canadiennes et des Canadiens, et ce dont nous avons besoin pour atteindre nos objectifs.

Doté de fonds adéquats, le Commissariat pourra effectuer les activités suivantes, conformément à la LPRPDE :

• mener un nombre significatif de vérifications et d’examens pour promouvoir une plus grande conformité et contribuer à l’élaboration d’un solide cadre de gestion de la protection de la vie privée dans le secteur privé;
• effectuer des analyses de nature juridique et politique de lois et de projets de loi afin d’appuyer les travaux du Parlement;
• avoir recours, de façon plus proactive, efficace et importante, aux outils d’application de la loi que lui a confiés le Parlement, comme les plaintes émanant de la commissaire, les poursuites en justice et la communication d’information d’intérêt public;
• effectuer des recherches sur les nouvelles tendances et les nouveaux enjeux relatifs à la protection de la vie privée afin d’aider les citoyens et les décideurs à mieux comprendre les défis d’aujourd’hui et de demain dans cette sphère;
• contribuer à de vastes projets de sensibilisation du grand public visant à mieux informer les personnes de leurs droits et à mieux informer les organisations de leurs obligations;
• utiliser un processus d’enquête simplifié pour s’attaquer à l’arriéré des plaintes;
• soutenir les efforts de renouvellement organisationnel.

Analyse de rentabilisation : ressources

Au terme d’une analyse exhaustive, qui comprenait l’examen du processus opérationnel lié aux fonctions d’enquêtes et de demandes de renseignements ainsi que l’examen approfondi de toutes les autres fonctions, le Commissariat a demandé une augmentation de plus de 50 % de ses ressources. Le Commissariat prévoit actuellement ses activités en fonction d’une augmentation de ses ressources d’ici les deux prochaines années, souhaitant pouvoir compter sur une équipe composée d’environ 140 employés et sur un budget annuel global d’environ 18 millions de dollars.

Il est impératif que le Commissariat obtienne des fonds accrus, stables et à long terme, non seulement pour l’organisme lui-même, mais aussi pour les Canadiennes et les Canadiens ainsi que pour les organisations visées par les lois fédérales sur la protection de la vie privée. En effet, le Commissariat entend se défaire de son approche réactive et fondée sur les plaintes, au profit d’une approche proactive et multidisciplinaire correspondant davantage au mandat que lui a confié le Parlement.

Politiques

À la défense de la vie privée

Cette année encore, les activités en matière de recherche et de politiques ont porté sur la disposition visant à accroître la capacité des organismes chargés de l’application des lois et de la sécurité nationale d’obtenir des renseignements personnels. Nous avons examiné de façon approfondie cette question dans le rapport annuel de 2004-2005 sur la Loi sur la protection des renseignements personnels; nous nous y pencherons de nouveau dans le prochain rapport annuel sur cette loi. Cette question requiert notre attention, car les lois présentées ou discutées au Parlement cette année tendent à contraindre les organisations du secteur privé à communiquer des renseignements personnels.

La commissaire a comparu devant le Comité spécial du Sénat sur la Loi antiterroriste le 9 mai 2005. L’énoncé de position du Commissariat met en lumière l’augmentation des pouvoirs en matière de surveillance électronique du gouvernement, lequel cherche à accéder aux banques de données personnelles du secteur privé :

Depuis les attentats du 11 septembre, le gouvernement canadien a instauré une série de mesures pour renforcer son pouvoir de surveillance des citoyennes et des citoyens, de même que des résidantes et des résidants du Canada. Il a également investi considérablement dans le développement de systèmes intégrés d’information qui collectent, traitent et échangent les renseignements personnels des citoyennes et des citoyens, de même que des résidantes et des résidants, portant sur des aspects variés de leur vie économique et civique : déplacements, investissements, consommation, prestations de programmes sociaux, pour ne nommer que ceux-là.

Ces systèmes d’information traversent les frontières organisationnelles et juridictionnelles et redéfinissent les paramètres du temps et de l’espace. Il est maintenant possible de conserver des dossiers indéfiniment, d’y accéder par des nœuds délocalisés ainsi que de les combiner et de les rassembler afin de surveiller pratiquement tous les aspects de la vie privée. Des systèmes de forage de données et de tabulateur comparatif des renseignements personnels permettent de catégoriser, de trier et de classifier les gens et d’en déduire et d’émettre des jugements prédictifs sur les attitudes et les comportements individuels. Bon nombre de ces systèmes font appel à la biométrie pour fouiller en profondeur la vie personnelle et l’identité.

La commissaire a également comparu devant le Sous-comité de la sécurité publique et nationale de la Chambre des communes le 5 juin 2005 pour commenter la Loi antiterroriste et émettre certaines réserves. Elle s’est notamment inquiétée de la surveillance exercée par les organismes investis de pouvoirs spéciaux en vertu de la Loi antiterroriste. Tout au long de l’année, le Commissariat a également exprimé ses préoccupations quant à l’érosion de la LPRPDE induite par l’accès du gouvernement à des bases de données du secteur privé contenant des renseignements personnels. Nous nous inquiétons sérieusement de ce que des renseignements d’abord recueillis à des fins privées ou commerciales se retrouvent ensuite entre les mains du gouvernement. Si la frontière entre les secteurs public et privé s’estompe, des entreprises privées pourraient être amenées à jouer le rôle d’agents de l’État sans toutefois avoir à respecter les mesures de protection fondamentales d’une démocratie. Il faut contrer cet accès du gouvernement aux données du secteur privé. On justifie le recours à des pouvoirs envahissants en invoquant des motifs en apparence convaincants, comme les attaques terroristes ou les pandémies imminentes, mais le besoin réel de tels pouvoirs est le plus souvent contestable.

D’aucuns affirmeront que la Loi sur la protection des renseignements personnels peut faire contrepoids à ces pouvoirs envahissants. Mais cette loi, qui régit les activités gouvernementales de collecte et de gestion de renseignements personnels, a plus de 20 ans; elle est désuète et ne suffit plus à assurer la protection nécessaire et à réparer les torts causés. La Loi a été rédigée avant même l’apparition des ordinateurs de bureau et de toute la gamme des nouvelles solutions technologiques de surveillance qu’on active à l’aide d’une simple touche de clavier.

Le 15 novembre 2005, le ministre de la Sécurité publique et de la Protection civile du Canada a présenté le projet de loi C-74, Loi régissant les installations de télécommunication en vue de faciliter l’interception licite de l’information qu’elles servent à transmettre et concernant la fourniture de renseignements sur les abonnés de services de télécommunication. Bien qu’il soit mort au feuilleton lorsque l’élection fédérale a été déclenchée en janvier 2006, le projet pourrait être présenté de nouveau, tel quel ou modifié.

Conformément à ce projet de loi, les fournisseurs de services de télécommunication auraient été tenus de mettre en place et de maintenir les moyens nécessaires à l’interception licite d’information transmise par la voie de télécommunications. En outre, ils auraient été tenus de communiquer des renseignements de base sur leurs abonnés à la Gendarmerie royale du Canada (GRC), au Service canadien du renseignement de sécurité (SCRS), au commissaire de la concurrence et à tout service de police constitué en vertu d’une loi provinciale. Avec ce projet de loi, les normes qui régissent l’accès aux renseignements personnels et leur communication et qui constituent actuellement une garantie de vie privée auraient été affaiblies. Les principales dispositions étaient les suivantes :

• Exiger de tous les fournisseurs de services de communication à fil, sans fil ou par Internet ainsi que de tous les autres fournisseurs de services de télécommunication de disposer des moyens nécessaires à l’interception d’information et d’adapter ces moyens lorsqu’ils modernisent leurs réseaux. Une vérification aurait été effectuée pour s’assurer de la conformité des fournisseurs à cette exigence;
• Donner aux organismes chargés de l’application des lois, c’est-à-dire la GRC et tout service de police constitué en vertu d’une loi provinciale, le SCRS ou le commissaire de la concurrence, les moyens d’exiger des fournisseurs de services de télécommunication, sans autorisation judiciaire, qu’ils fournissent certains renseignements de leurs abonnés (nom, numéro de téléphone, adresse, courriel, adresse IP) sur demande. Il s’agirait d’un changement par rapport à ce qui prévaut actuellement, car, conformément à l’alinéa 7(3)c.1) de la LPRPDE, les entreprises peuvent refuser toute demande d’accès en l’absence d’autorisation judiciaire. Le projet de loi C-74 prévoyait l’élimination de cette disposition.

L’ancien projet de loi C-74 aurait également exigé des fournisseurs de services de télécommunication :

• De se doter des moyens nécessaires pour l’interception des communications produites ou transmises par l’entremise de leur réseau;
• De transmettre les communications interceptées aux organismes chargés de l’application des lois ainsi qu’au SCRS;
• De faire le retrait d’une communication ou d’isoler une communication d’autres communications si l’interception de la première est autorisée;
• De se doter des moyens nécessaires pour l’interception simultanée, par les personnes autorisées de multiples organismes nationaux chargés de l’application des lois et de la sécurité nationale, des communications d’utilisateurs multiples. Par exemple, une entreprise de télécommunication aurait été tenue de se doter des moyens nécessaires pour permettre à plusieurs organismes d’intercepter de multiples communications en même temps. Le projet de loi proposait de fixer l’interception maximale à une communication pour chaque tranche de 5 000 abonnés.

Le projet de loi a été proposé à la fin de 2005 et, même s’il n’a pas été adopté, il constitue l’exemple par excellence de la volonté du gouvernement de donner aux entreprises du secteur privé le rôle d’agent de l’État. Certes, la surveillance électronique des communications – soit l’écoute téléphonique – ne date pas d’hier, mais à l’ère du commerce électronique et de la prestation de multiples services Internet, l’information qui peut être révélée est beaucoup plus vaste que celle provenant de l’écoute téléphonique. Le projet de loi C-74 a suscité de nombreuses préoccupations; si une nouvelle version du projet est présentée, il est à prévoir que le Commissariat et de nombreux groupes de défense des libertés civiles feront à nouveau connaître leurs inquiétudes.

Nous avons également suivi avec intérêt les consultations du ministère des Finances sur l’amélioration du régime canadien de lutte contre le blanchiment des capitaux et le financement des activités terroristes en vue de satisfaire aux engagements internationaux du Canada. Le Canada fait partie du Groupe d’Action Financière (GAFI), un organisme intergouvernemental dont le mandat est de mettre en place des initiatives de lutte contre le blanchiment des capitaux et le financement des activités terroristes et d’effectuer la surveillance de ces initiatives. Dans notre lettre au ministère des Finances, nous avons fait valoir que les pays se différencient sur plusieurs plans et que l’industrie financière canadienne est réglementée par des lois efficaces en matière de protection de la vie privée applicables aux institutions et aux documents financiers. Nous avons reconnu qu’il faut éviter que le Canada ne devienne une sorte de paradis pour les blanchisseurs d’argent, mais nous avons aussi établi que nous ne pouvons pas adopter chacune des mesures proposées par le GAFI sans d’abord nous interroger sur l'incidence qu'elles auraient sur la protection de la vie privée.

La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (LRPCFAT) restreint considérablement la protection que doivent assurer la LPRPDE et la Loi sur la protection des renseignements personnels. En raison du caractère confidentiel des activités du Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), les plaintes provenant des citoyens perdent de leur validité et les pouvoirs d’enquête de la commissaire à la protection de la vie privée n’ont plus la même portée. Le rôle du CANAFE consiste à travailler à la détection, à la prévention et à la dissuasion du recyclage des produits de la criminalité, du financement des activités terroristes et de toute menace à la sécurité du Canada. Puisque le CANAFE peut agir en toute confidentialité, les Canadiennes et les Canadiens ne seront plus en mesure de savoir si de l’information les concernant est recueillie ou s’ils font l’objet d’une enquête. De part et d’autre, on cherche à obtenir, à l’insu des personnes, toutes sortes de renseignements pour la surveillance financière. Le Commissariat doit ramener le débat aux problèmes que ces pouvoirs de surveillance du gouvernement posent à l’égard de la protection de la vie privée, des problèmes trop souvent ignorés à l’heure actuelle.

En mai 2005, un groupe de travail composé de multiples intervenants et mis sur pied par le ministre de l’Industrie a fait état d’une étude d’un an sur le problème du multipostage abusif communément appelé « pourriel ». Le Commissariat a participé aux travaux de ce groupe; notre équipe s’est réjouie de constater que le ministre s’était fermement engagé à lutter rapidement contre un problème qui mine la confiance à l’égard d’Internet et qui rend les utilisateurs d’ordinateurs vulnérables aux fraudes, au vol d’identité et même à l’installation de logiciels malveillants ou de logiciels espions qui envahissent subrepticement leurs ordinateurs et corrompent les données que ceux-ci contiennent. À l’instar d’autres enjeux aussi importants, le Commissariat a reçu relativement peu de plaintes concernant l’utilisation d’adresses de courriel sans le consentement de la personne concernée. Nous sommes néanmoins d’avis que le problème s’avère beaucoup plus grave que le nombre restreint de plaintes ne pourrait le laisser croire. Nous espérons faire avancer ce dossier auprès du gouvernement en 2006.

La plupart des pourriels proviennent de l’extérieur du Canada. Il s’agit d’un problème de poids puisqu’il est très difficile d’effectuer des enquêtes et de poursuivre les responsables de pourriels. Des difficultés semblables se présentent pour de nombreuses autres fraudes Internet et même dans le cas d’entreprises légitimes étrangères qui recueillent et traitent des renseignements personnels. Nous l’avons constaté lors de l’examen d’un certain nombre de plaintes déposées cette année en vertu de la LPRPDE. Par conséquent, nous consacrons désormais plus d’efforts en vue d’harmoniser les solutions internationales et nous visons davantage la coopération parmi les commissaires à la protection des données. En 2004, nous avons soulevé de graves préoccupations relativement à la USA PATRIOT Act et à son incidence sur le traitement des renseignements personnels détenus par des organisations situées tant au Canada qu’à l’étranger. Nous avons en outre fait part de la vaste étude qu’a menée le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique sur cette question. Il importe que les gouvernements fédéral et provinciaux gardent l’œil ouvert et demeurent vigilants quant à l’impartition du traitement de renseignements personnels.

Nous devons tous faire preuve d’une plus grande efficacité à l’échelle internationale afin de trouver des solutions aux problèmes que pose l’impartition des services, de la même façon que nous l’avons fait en cherchant des solutions juridiques au problème du blanchiment des capitaux et du financement des activités terroristes à l’échelle mondiale. Nos organismes chargés de la protection des renseignements personnels n’ont pas les ressources nécessaires (ni l’autorité légitime) pour poursuivre les responsables d’infractions au-delà de nos frontières; aussi avons-nous intérêt à harmoniser les normes et les approches internationales. Puisque le Canada profite énormément de l’impartition, nous sommes en bonne position pour proposer des solutions valables autant pour les exportateurs que pour les sociétés des données et les personnes. Il nous semble aussi plus important que jamais d’échanger avec les organismes internationaux qui ont à cœur d’accroître la coopération internationale dans plusieurs sphères. La commissaire a été invitée par l’Organisation de coopération et de développement économiques (OCDE) à jouer un rôle important dans la coopération transfrontalière, et les travaux à cette fin ont commencé à l’automne 2005. Toujours à cette fin, la commissaire adjointe responsable de la LPRPDE a participé cette année à des réunions en Corée et à Hong-Kong au sujet des directives sur la protection des renseignements personnels de la Coopération économique de la zone Asie-Pacifique. Dans le cadre de cet événement, le gouvernement du Canada a mis à profit son savoir-faire et a exercé une influence positive. Conséquemment, ces directives se rapprochent désormais du modèle canadien de protection des renseignements personnels. La commissaire adjointe a également participé à une réunion sur la question des documents de voyage dont l’OCDE et l’Organisation de l’aviation civile internationale ont été les hôtes en Grande-Bretagne.

La commissaire, l’avocate générale des Services juridiques et la directrice de Recherche et Politiques ont participé à la Conférence internationale des commissaires à la protection des données et de la vie privée qui a eu lieu en Suisse en septembre 2005. Le Commissariat sera quant à lui l’hôte de la Conférence internationale de 2007 des commissaires à la protection des données et de la vie privée. Il nous tarde déjà d’accueillir plus de 60 commissaires à la protection des données et leurs employés, des membres de groupes de défense du droit à la vie privée, des représentants du secteur des affaires et bien d’autres intervenants du Canada et des quatre coins de la planète. Avec eux, nous travaillerons à trouver des façons pratiques de mettre en œuvre des mesures pour la protection des données applicables en tout lieu et à toute forme de conservation de renseignements personnels. En concentrant nos efforts sur des enjeux technologiques comme la biométrie, l’identification par radiofréquence (IRF), les normes pour l’authentification et la gestion de l’identité ainsi que les dispositifs de surveillance, nous accélérerons la mise en œuvre des mesures nécessaires à la protection de la vie privée, ce qui fera en sorte de réduire les coûts pour les entreprises.

Le déroulement de l’année au Parlement

L’année 2005 a été marquée par de nombreux échanges entre le Commissariat et le Parlement. L’une des composantes fondamentales de notre travail consiste à comparaître devant des comités du Sénat et de la Chambre des communes pour communiquer nos avis éclairés sur les répercussions de projets de loi sur la protection de la vie privée ou sur toute autre question de politique intéressant le Parlement.

Cette année, le Commissariat a été appelé à comparaître 16 fois devant des comités parlementaires, ce qui représente un défi considérable pour l’organisme de petite taille que nous sommes. La commissaire à la protection de la vie privée étant une haute fonctionnaire du Parlement, ces comparutions demeurent indissociables de son travail.

L’un des comités importants pour le Commissariat est le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Grâce à ce comité mis sur pied à la fin de 2004, les Canadiennes et les Canadiens ont désormais un comité permanent qui veille à leurs intérêts en matière de protection de la vie privée à la Chambre des communes. En 2005, la commissaire à la protection de la vie privée du Canada et d’autres représentants du Commissariat ont comparu quatre fois devant ce comité. Les comparutions visaient notamment à nous interroger et à examiner notre budget des dépenses et nos rapports annuels. Les députés composant le Comité avaient également de nombreuses questions et préoccupations relativement aux principaux défis et possibilités qui attendent les Canadiennes et les Canadiens en matière de protection de la vie privée. Le Commissariat espère continuer d’entretenir une relation de travail productive avec les membres de ce comité au cours de la 39e législature. Les enjeux relatifs à la protection de la vie privée étant de plus en plus nombreux et complexes, il est essentiel que le Parlement se penche sur ces enjeux et qu’il réfléchisse aux inquiétudes de la population canadienne.

La très grande majorité de nos comparutions devant des comités parlementaires se rapportaient à des questions sur des politiques et des projets de loi liés à la Loi sur la protection des renseignements personnels, mais dans trois cas, nous avons abordé des sujets concernant la LPRPDE.

Étude du Sénat concernant le secteur des services financiers

Le 16 février 2005, nous avons comparu devant le Comité sénatorial permanent des banques et du commerce afin de contribuer à l’étude des enjeux de consommation dans le secteur canadien des services financiers. Le Sénat avait chargé le Comité d’examiner les répercussions des initiatives et des lois fédérales visant à protéger les consommateurs du secteur financier. En outre, le Comité devait déterminer l’efficacité des organismes chargés de la protection du consommateur et de la supervision de ce secteur.

Comme les statistiques sur les plaintes présentées dans notre rapport annuel le démontrent, ce sont les institutions financières qui font le plus souvent l’objet de plaintes. Il en est ainsi depuis 2001, année qui marque la première étape de l’entrée en vigueur de la LPRPDE. Néanmoins, comme nous l’avons souligné devant le Comité, il ne faut pas nécessairement en conclure que les institutions financières ne se conforment pas à la LPRPDE. Nous croyons plutôt que cette situation est attribuable à la quantité et au caractère délicat des renseignements personnels que les banques et les autres institutions financières doivent recueillir, au rôle central que celles-ci jouent dans nos vies quotidiennes et peut-être aussi à la complexité de nos liens avec ces institutions.

La plupart du temps, des plaintes sont déposées parce que certains employés omettent de suivre les politiques et les procédures établies par leur entreprise. Dans ces cas, on ne peut conclure à des problèmes systémiques. Lorsque les plaintes sont fondées, les institutions financières acceptent de suivre nos recommandations dans la plupart des cas. Comme nous l’avons indiqué au Comité, le Commissariat entretient généralement des relations très positives avec les institutions financières.

Le Comité n’a pas pu déposer son rapport final en raison du déclenchement de la dernière élection fédérale. Nous nous réjouissons à l’idée de poursuivre nos travaux avec le Comité lors de la reprise des travaux parlementaires.

Le projet de loi C-37 et la liste d’exclusion nationale

Le 8 juin 2005, nous avons comparu devant le Comité permanent de l’industrie, des ressources naturelles, des sciences et de la technologie de la Chambre des communes afin de faire part de nos observations sur le projet de loi C-37, la Loi modifiant la Loi sur les télécommunications. Conformément à ce projet de loi, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) est autorisé à établir une liste d’exclusion nationale, à imposer une pénalité importante aux entreprises de télémarketing qui omettent de suivre les règles et à confier la gestion de la liste d’exclusion à un tiers du secteur privé. Une fois la liste opérationnelle, les Canadiennes et les Canadiens qui souhaitent ne pas être sollicités par téléphone par des entreprises offrant des biens ou des services pourront demander que leur numéro de téléphone figure sur la liste d’exclusion unique et centralisée que les entreprises de télémarketing devront se procurer, respecter et mettre à jour régulièrement. Des systèmes similaires sont en place aux États-Unis et en Grande-Bretagne.

Lorsque nous avons comparu devant le Comité, nous avons fait savoir que nous étions en faveur de la liste d’exclusion. Nous avons toutefois suggéré au Comité de consulter la population canadienne avant d’adopter les exemptions proposées à la liste. Lors de sa comparution, le Commissariat bénéficiait du soutien de quelque 10 commissaires canadiens à la protection de la vie privée qui souhaitaient tous la tenue de consultations auprès de la population canadienne sur les exemptions qui visent, par exemple, les organismes de bienfaisance, les sondeurs ou les entreprises ayant déjà des liens avec leurs clients.

Le projet de loi qui a été revu et adopté par le Parlement présente plusieurs exemptions à la liste d’exclusion. Ainsi, sont exemptées les télécommunications non sollicitées effectuées par ou au nom d’un organisme de bienfaisance, par un parti politique officiel, par un candidat à l’investiture, par un candidat à la direction ou un candidat d’un parti politique ou encore par un regroupement de membres d’un parti politique. Le projet de loi autorise également : 1) les télécommunications faites au destinataire si celui-ci a une relation d’affaires en cours avec la personne qui effectue la télécommunication et s’il n’a pas fait, auprès de cette dernière, une demande d’exclusion; 2) les télécommunications faites dans l’unique but de recueillir des renseignements dans le cadre d’un sondage auprès du public.

Le projet de loi C-37 a obtenu la sanction royale le 25 novembre 2005. Nous en sommes très heureux, mais nous croyons que les exemptions affaiblissent inutilement la portée de la Loi.

Le projet de loi C-57 et les institutions financières

Le 15 novembre 2005, nous avons comparu devant le Comité permanent des finances de la Chambre des communes afin de commenter le projet de loi C-57, la Loi modifiant certaines lois relatives aux institutions financières. Ce projet de loi est venu modifier le cadre de gouvernance des banques, des sociétés de portefeuille bancaires, des compagnies d’assurances, des sociétés d’assurance de portefeuille, des compagnies de fiducie et de prêt ainsi que des associations coopératives de crédit. Le projet de loi a permis de moderniser les lois qui régissent ces institutions afin de leur donner toute l’efficacité des normes adoptées en 2001 pour les sociétés par actions en vertu de la Loi canadienne sur les sociétés par actions. Le projet a également modernisé certaines normes de gouvernance spécifiques aux institutions financières.

Le projet de loi C-57 ne contient que quelques dispositions sur la collecte, l’utilisation et la communication de renseignements personnels. Certaines dispositions obligent les directeurs ou les cadres d’une banque et de toute autre institution financière à rendre compte de tout intérêt qu’ils retirent dans le cadre d’une transaction ou d’un contrat important avec la banque ou l’institution financière. D’autres dispositions permettent aux actionnaires d’avoir accès à cette information. De plus, le projet de loi C-57 autorise les actionnaires à accéder aux renseignements personnels d’autres actionnaires, à condition que ce ne soit qu’aux fins énoncées dans le projet de loi.

Lors de notre comparution devant le Comité, le projet de loi ne nous a pas semblé susciter de préoccupations importantes relativement à la protection de la vie privée ni menacer les renseignements personnels du consommateur. Nous avons même affirmé que l’importance accordée à la gouvernance d’entreprise pouvait contribuer à favoriser la protection de la vie privée, car cela inciterait les entreprises à être davantage sensibilisées aux risques liés à de mauvaises pratiques de gestion. Les entreprises seraient aussi encouragées à déployer beaucoup plus d’efforts pour assurer la sécurité.

Le projet de loi C-57 a obtenu la sanction royale le 25 novembre 2005.

Recherches sur les nouveaux enjeux relatifs à la protection de la vie privée

Dans le cadre de son Programme des contributions, le Commissariat a accordé en 2005 des fonds de 148 850 $ à cinq organisations pour que celles-ci effectuent des recherches sur de nouveaux enjeux relatifs à la protection de la vie privée. Ce programme est prévu dans notre budget annuel depuis l’an 2000, mais n’est opérationnel que depuis 2004. Les recherches qui ont ainsi été rendues possibles portent sur l’industrie florissante du courtage de données, l’utilisation d’échantillons d’ADN, la surveillance en milieu de travail ainsi que sur l’application de la LPRPDE et la conformité à celle-ci.

Lancé en juin 2004, le Programme en est à sa deuxième année d’existence. Il vise à appuyer les travaux de recherche des organismes sans but lucratif, de même que les travaux de recherche des établissements d’enseignement et les associations industrielles et commerciales, ainsi que des organismes de défense des consommateurs, des associations bénévoles et des organisations de défense des droits. De façon globale, l’objectif visé est la constitution d’une capacité nationale de recherche au Canada sur la vaste gamme des enjeux ayant des répercussions sur la protection de la vie privée.

Le Commissariat a pour mandat d’assurer la tenue et la publication de travaux de recherche sur la protection des renseignements personnels. Le Programme des contributions a été établi dans le cadre du budget du Commissariat en vertu de son pouvoir de mettre en place des programmes et d’adopter des mesures législatives, conformément à la LPRPDE.

Au cours des deux dernières années, 520 440 $ ont été versés dans le cadre du Programme des contributions. Les organismes de recherche de l’ensemble du Canada sont invités à faire une demande de subvention pour effectuer des recherches sur différents enjeux liés à la protection de la vie privée. Les organismes sélectionnés au terme d’un processus de sélection rigoureux obtiennent les fonds voulus pour réaliser les travaux proposés.

En 2005, les projets suivants ont été financés :

Clinique d’intérêt public et de politique d’Internet du Canada Ottawa, Ontario	La LPRPDE : examen de conformité et Rapport spécial sur l’industrie du courtage de données Évaluer la conformité des organisations à la LPRPDE et mener des études sur l’industrie en croissance du courtage de données	50 000 $
Université Ryerson Toronto, Ontario	La protection de la vie privée en milieu de travail : Le point de vue de l’employeur Faire ressortir divers intérêts, questions et préoccupations qui incitent les employeurs à adopter de nouvelles technologies de surveillance en milieu de travail	36 150 $
Université de la Colombie-Britannique Vancouver, Colombie-Britannique	Examen préliminaire des enjeux relatifs à la protection de la vie privée en milieu de travail au Canada Étudier les problématiques liées à la protection de la vie privée en milieu de travail relativement aux technologies nouvelles et actuelles	27 000  $
British Columbia Civil Liberties Association Vancouver, Colombie-Britannique	Évaluation de l’application de la LPRPDE Comparer l’efficacité de la LPRPDE aux régimes similaires d’autres juridictions	24 200 $
Université d’Ottawa Ottawa, Ontario	Usages sociaux de l’ADN dans le processus de formulation des politiques et analyse de deux projets de loi sur l’identification par les empreintes génétiques Examen des utilisations sociales des renseignements d’identification génétique au moyen d’une analyse comparative de deux projets de loi sur l’identification par les empreintes génétiques	11 500 $

Les projets devraient se terminer en 2006. Le site Web du Commissariat présentera alors des liens permettant d’accéder aux travaux publiés.

Lois provinciales essentiellement similaires à la loi fédérale

Conformément à l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de la LPRPDE en ce qui a trait à la collecte, à l’utilisation ou à la communication de renseignements personnels dans une province ayant adopté une loi essentiellement similaire à la LPRPDE.

Cette disposition a pour objectif de permettre aux provinces et aux territoires de réglementer les pratiques de gestion des renseignements personnels des organisations qui exploitent des activités à l’intérieur de leurs frontières ainsi que de promouvoir l’uniformisation des normes de protection de la vie privée dans l’ensemble du Canada et des différents secteurs.

Si le gouverneur en conseil signe un décret à cette fin, la LPRPDE ne s’applique alors plus à la collecte, à l’utilisation ou à la communication de renseignements personnels que font les organisations visées par la loi provinciale applicable. Les renseignements personnels qui circulent d’une frontière nationale ou provinciale à une autre sont quant à eux toujours visés par la LPRPDE. Celle-ci continue de s’appliquer aux activités, dans les provinces, des installations, ouvrages, entreprises ou secteurs d’activité fédérale visées par des lois fédérales, comme les banques, les compagnies aériennes et les sociétés de radiodiffusion et de télécommunication.

Processus d’évaluation des lois provinciales et territoriales

Industrie Canada a annoncé que, pour être jugées essentiellement similaires à la loi fédérale, les lois provinciales et territoriales doivent :

• comprendre les dix principes énoncés à l’Annexe 1 de la LPRPDE;
• prévoir un mécanisme indépendant et efficace de surveillance et de recours auquel se rattachent des pouvoirs d’enquête;
• restreindre la collecte, l’utilisation et la communication de renseignements personnels à des fins appropriées et légitimes.

Lois provinciales et territoriales essentiellement similaires à la loi fédérale et adoptées à ce jour

Conformément à l’article 25(1) de la LPRPDE, le Commissariat est tenu de déposer annuellement devant le Parlement un rapport sur « la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la Loi.

En novembre 2003, le gouverneur en conseil a pris un décret (C.P. 2003-1842, 19 novembre 2003) établissant que la Loi sur la protection des renseignements personnels dans le secteur privé du Québec est essentiellement similaire à la loi fédérale. Cette loi, antérieure à la LPRPDE, est entrée en vigueur le 1^er janvier 1994.

En 2003, les provinces de la Colombie-Britannique et de l’Alberta ont adopté des lois applicables à toutes les organisations de ces deux provinces, à l’exception des organisations assujetties à d’autres lois provinciales et à l’exception des installations, des ouvrages, des entreprises ou des secteurs d’activité fédérale toujours visés par la LPRPDE. Les deux lois, qui portent le même titre, soit Personal Information Protection Act, sont entrées en vigueur le 1^er janvier 2004.

Le gouverneur en conseil a pris deux autres décrets (C.P. 2004-1163, 12 octobre 2004, et C.P. 2004-1164, 12 octobre 2004) afin que toutes les organisations autres que les installations, ouvrages, entreprises ou secteurs d’activité fédérale ne soient pas visées par la LPRPDE en Alberta et en Colombie-Britannique.

En Ontario, la Loi sur la protection des renseignements sur la santé est entrée en vigueur le 1^er novembre 2004. Cette loi régit la collecte, l’utilisation et la communication des renseignements personnels sur la santé détenus par les dépositaires en Ontario. Les dépositaires sont les personnes et les organismes énoncés dans la Loi sur la protection des renseignements sur la santé qui, conformément à leurs pouvoirs ou à leurs fonctions, ont la garde de renseignements personnels sur la santé ou exercent un contrôle sur ces renseignements.

En septembre 2004, le Commissariat a indiqué à Industrie Canada qu’à son avis, la Loi sur la protection des renseignements sur la santé est essentiellement similaire à la LPRPDE. En novembre 2005, le gouverneur en conseil a pris un décret (C.P. 2005-2224, 28 novembre 2005) afin d’exclure les dépositaires de renseignements personnels sur la santé de l’Ontario de l’application de la LPRPDE. Par conséquent, les dépositaires ne sont pas visés par la LPRPDE lorsqu’ils recueillent, utilisent et communiquent des renseignements personnels sur la santé. Le commissaire à l’information et à la protection de la vie privée de l’Ontario est par conséquent responsable de veiller à l’application de la Loi sur la protection des renseignements sur la santé, ce qui comprend la tenue d’enquêtes sur les pratiques de gestion de l’information des dépositaires des renseignements personnels sur la santé de la province.

Le Commissariat à la protection de la vie privée du Canada continuera d’assurer la surveillance de la collecte, de l’utilisation et de la communication des renseignements personnels sur la santé qui circulent au-delà des frontières provinciales dans le cadre d’activités commerciales. Le Commissariat surveillera les mêmes activités effectuées par des organisations autres que les dépositaires.

Plaintes

En 2005, la LPRPDE a été appliquée, pour une deuxième année, à toutes les activités commerciales effectuées dans les provinces n’ayant pas adopté une loi essentiellement similaire. L’année 2005 a été marquée par une diminution importante du nombre de plaintes déposées en vertu de la LPRPDE. Nous avons reçu 400 plaintes en 2005, comparativement à 723 pour l’année civile précédente.

Plaintes reçues entre le 1er janvier et le 31 décembre 2005 - Répartition par secteur	Nombre	Pourcentage
Institutions financières	113	28,25
Assurances	60	15,00
Télécommunications	55	13,75
Ventes	44	11,00
Transports	39	9,75
Services d’hébergement	17	4,25
Professionnels	13	3,25
Santé	4	1,00
Services	2	0,50
Location	1	0,25
Autres	52	13,00
Total	400	100,00

Nous n’avons que des hypothèses pour expliquer la diminution du nombre de plaintes. En 2004, le nombre de plaintes avait augmenté par rapport aux années précédentes, une hausse largement attribuable à la pleine mise en œuvre de la Loi et au fait que celle-ci couvrait désormais de nouvelles activités comme les assurances, la vente au détail, les services d’hébergement ainsi que des professions comme le droit. Les 400 plaintes reçues en 2005, qui ne représentent que 55 % des plaintes reçues en 2004, demeurent malgré tout considérablement plus nombreuses que les plaintes déposées en 2001, en 2002 ou en 2003.

Nous espérons que cette diminution est attribuable à une connaissance accrue qu’ont les organisations de leurs obligations en vertu de la LPRDPÉ. Cette meilleure sensibilisation comporterait au moins deux avantages. D’une part, cela voudrait dire que les organisations auront davantage tendance à adopter des pratiques de gestion des renseignements personnels conformes à la LPRPDE. D’autre part, en cas de problèmes, les responsables de la protection de la vie privée au sein des organisations, davantage au fait de la LPRPDE, seront peut-être plus à même de résoudre les problèmes directement avec les personnes concernées.

Avec le temps, la LPRPDE deviendra sans doute mieux connue et mieux comprise. En 2005, on remarque une diminution des plaintes surtout dans les secteurs qui sont visés par la LPRPDE depuis la toute première phase de mise en œuvre de cette loi, en 2001. La LPRPDE s’applique depuis 2001 aux institutions financières, aux télécommunications et aux transports interprovinciaux et internationaux. Les institutions financières, qui sont les organisations qui manipulent la plus grande quantité de renseignements personnels, sont une fois de plus celles qui font le plus souvent l’objet de plaintes, bien que le nombre de celles-ci ne représentent qu’un peu plus de la moitié (53 %) du nombre de plaintes de 2004. Le taux de diminution du nombre de plaintes est similaire dans le secteur des transports (58 % du total de 2004) et des télécommunications (44 %). Dans le secteur de la santé, qui n’est visé par la Loi que depuis 2002, la diminution a été très rapide; nous n’avons enregistré que 11 % du nombre de plaintes reçues en 2004 (mais en raison du nombre peu élevé de plaintes, ces statistiques ne sont peut-être pas de bons indicateurs des tendances).

Le nombre de plaintes concernant les secteurs visés depuis moins longtemps a également diminué, sauf pour ce qui est du secteur des services d’hébergement, pour lequel le nombre de plaintes est demeuré à peu près égal à celui de l’année précédente. Dans le secteur de la vente au détail, les plaintes représentent 54 % du total des plaintes de 2004, ce qui pourrait révéler que le secteur s’est rapidement conformé aux principes de la LPRPDE. Ailleurs, la diminution a été moins marquée. Le nombre de plaintes visant des compagnies d’assurances représente 73 % du nombre de plaintes déposées dans ce secteur en 2004. Quant aux plaintes visant des professionnels, elles représentent 87 % des plaintes de l’année précédente (ici encore, les tendances observées sont peut-être biaisées en raison du nombre peu élevé de plaintes).

Définitions des types de plaintes déposées en vertu de la LPRPDE

Les plaintes adressées au Commissariat sont classées en fonction des principes et des dispositions législatives de la LPRPDE qui sont présumés enfreints :

• Accès. Une personne s’est vu refuser l’accès aux renseignements personnels qu’une organisation détient à son sujet ou n’a pas reçu tous les renseignements, soit en raison de l’absence de certains documents ou renseignements ou parce que l’organisation a invoqué des exceptions afin de soustraire les renseignements.
• Responsabilité. Une organisation a failli à l’exercice de ses responsabilités à l’égard des renseignements personnels qu’elle possède ou qu’elle garde ou elle a omis de désigner une personne responsable de surveiller l’application de la Loi.
• Exactitude. Une organisation a omis de s’assurer que les renseignements personnels qu’elle utilise sont précis, complets et à jour.
• Possibilité de porter plainte. Une organisation a omis de mettre en place les procédures ou les politiques qui permettent à une personne de porter plainte en vertu de la Loi ou elle a enfreint ses propres procédures et politiques.
• Collecte. Une organisation a recueilli des renseignements personnels non nécessaires ou les a recueillis par des moyens injustes ou illégaux.
• Consentement. Une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement de la personne concernée ou elle a fourni des biens et des services à la condition que la personne consente à la collecte, à l’utilisation ou à la communication déraisonnable de renseignements personnels.
• Correction/annotation. L’organisation n’a pas corrigé, à la demande d’une personne, les renseignements personnels qu’elle détient à son sujet ou, en cas de désaccord avec les corrections demandées, n’a pas annoté les renseignements afin d’indiquer la teneur du désaccord.
• Frais. Une organisation a exigé plus que des frais minimaux pour fournir à des personnes l’accès à leurs renseignements personnels.
• Conservation. Les renseignements personnels sont conservés plus longtemps qu’il n’est nécessaire aux fins qu’une organisation a déclarées au moment de la collecte des renseignements ou, s’ils ont été utilisés pour prendre une décision au sujet d’une personne, l’organisation n’a pas conservé les renseignements assez longtemps pour permettre à la personne d’y avoir accès.
• Mesures de sécurité. Une organisation n’a pas protégé les renseignements personnels qu’elle détient par des mesures de sécurité appropriées.
• Délais. Une organisation a omis de fournir à une personne l’accès aux renseignements personnels qui la concernent dans les délais prévus par la Loi.
• Utilisation et communication. Les renseignements personnels sont utilisés ou communiqués à des fins autres que celles auxquelles ils avaient été recueillis, sans le consentement de la personne concernée, et l’utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée ne font pas partie des exceptions prévues dans la Loi.

Plaintes reçues entre le 1^er janvier et le 31 décembre 2005

Type de plainte	Nombre	Pourcentage
Utilisation et communication	143	35,75
Accès	80	20,00
Collecte	68	17,00
Mesures de sécurité	34	8,50
Consentement	21	5,25
Délais	18	4,50
Responsabilité	10	2,50
Transparence	8	2,00
Exactitude	5	1,25
Correction/annotation	5	1,25
Frais	3	0,75
Conservation	3	0,75
Possibilité de porter plainte	1	0,25
Autres	1	0,25
Total	400	100,00

Cette année, les plaintes les plus fréquentes ont eu trait à l’utilisation inappropriée ou communication de renseignements personnels. Ces plaintes, ainsi que celles qui découlent d’un refus d’accès ou de la collecte inappropriée de renseignements personnels, représentent près de 73 % de toutes les plaintes reçues. Les chiffres de l’année dernière présentent un portrait similaire, alors que ces types de plaintes représentaient 79 % du total des plaintes.

Définitions des conclusions et d’autres dispositions

Le Commissariat a élaboré des définitions de conclusions et de décisions afin d’expliquer les résultats des enquêtes effectuées conformément à la LPRPDE :

• Non fondée. L’enquête n’a pas permis de déceler des éléments de preuves qui suffisent à conclure qu’une organisation a enfreint les droits du plaignant en vertu de la LPRPDE.
• Fondée. L’organisation n’a pas respecté une disposition de la LPRPDE.
• Résolue. L’enquête a corroboré les allégations, mais avant la fin de l’enquête, l’organisation a pris des mesures correctives pour remédier à la situation, à la satisfaction du Commissariat, ou s’est engagée à prendre ces mesures.
• Fondée et résolue. La commissaire est d’avis, au terme de son enquête, que les allégations semblent fondées sur des preuves, mais fait une recommandation à l’organisation concernée avant de rendre ses conclusions, et l’organisation prend ou s’engage à prendre les mesures correctives recommandées. Il s’agit d’une catégorie qui ne figure pas dans les statistiques étant donné qu’elle n’existe que depuis la fin de 2005. Elle sera intégrée aux tableaux de l’année prochaine.
• Réglée en cours d'enquête. Le Commissariat aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. Aucune conclusion n’est rendue.
• Abandonnée. Il s’agit d’une enquête qui est terminée avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour en arriver à une conclusion.
• Hors juridiction. L’enquête a démontré que la LPRPDE ne s’applique pas à l’organisation ou à l’activité faisant l’objet de la plainte.
• Réglée rapidement. Situation dans laquelle l’affaire est réglée avant même qu’une enquête officielle ne soit entreprise. À titre d’exemple, si une personne dépose une plainte concernant un sujet qui a déjà fait l’objet d’une enquête par le Commissariat et qui a été jugé conforme à la LPRPDE, nous donnons les explications nécessaires à la personne plaignante. Cette conclusion s’applique également lorsqu’une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du Commissariat.

Les résumés des conclusions d’enquêtes réalisées par le Commissariat en vertu de la LPRPDE peuvent être consultés dans le site Web du Commissariat, à l’adresse suivante : www.priv.gc.ca.

Conclusions par type de plainte

Que nous révèlent les plaintes à propos du respect de la LPRPDE dont font preuve les organisations? La prudence est de mise; il ne convient pas d’accorder une importance absolue aux chiffres, puisqu’au terme de nos enquêtes, certaines plaintes auront été jugées non fondées. Il semble donc plus approprié d’examiner les conclusions d’enquête. Le tableau qui suit présente les résultats des enquêtes effectuées en 2005 pour chacune des catégories de plainte.

Plaintes fermées entre le 1^er janvier et le 31 décembre 2005

	Abandonné	Réglée rapidement	Hors juridiction	Non fondée	Résolue	Réglée en cours d'enquête	Fondée	TOTAL
Utilisation et communication	21	6	7	31	9	52	23	149
Accès	11	1	0	10	20	32	7	81
Collecte	7	3	5	17	4	25	3	66
Mesures de sécurité	4	3	2	3	3	12	3	30
Consentement	4	0	1	6	1	9	1	22
Exactitude	0	1	0	2	1	13	0	17
Délais	0	1	0	1	2	4	3	11
Correction/ annotation	0	0	0	5	2	3	0	10
Responsabilité	1	0	0	0	3	0	0	4
Conservation	1	0	0	0	1	2	0	4
Frais	0	0	0	1	1	1	0	3
Transparence	0	0	0	1	0	2	0	3
Possibilité de porter plainte	0	0	0	0	0	0	1	1
TOTAL	49	15	15	77	47	157	41	401

Il convient de noter que, des 401 plaintes déposées, seules 77 d’entre elles (19 %) ont été jugées non fondées. En d’autres mots, la commissaire a pu établir que les organisations respectent leurs obligations en vertu de la LPRPDE dans moins d’un cas sur cinq. Il est toutefois plus difficile de déterminer avec certitude le nombre de cas où les organisations nese conforment pas à leurs obligations. Le nombre de plaintes classées dans la catégorie des plaintes fondées est relativement peu élevé, soit 41 plaintes ou 10 % du total des plaintes, ce qui s’explique par le fait que les problèmes relatifs à la protection des renseignements personnels sont souvent résolus avant l’aboutissement des enquêtes. Les plaintes sont alors classées dans les catégories des plaintes « réglées en cours d’enquête », « résolues » ou « réglées rapidement ».

Ces chiffres deviennent plus évocateurs dès lors que l’on examine les types de plaintes. La majorité des plaintes sont classées dans les trois catégories suivantes : utilisation et communication (149 plaintes, ou 37 % du total des plaintes), accès (81 plaintes, ou 20 %) et collecte (66 plaintes, ou 16 %). Parmi celles-ci, ce sont les plaintes concernant l’accès – plaintes formulées par les personnes qui se voient refuser l’accès à leurs renseignements personnels par une organisation – qui se résolvent le plus facilement. Une organisation qui refuse à une personne l’accès à ses renseignements personnels peut facilement corriger la situation en accédant à la demande de la personne ou en prouvant que des exceptions légitimes s’appliquent à la situation. Cette facilité de résolution se traduit par la proportion relativement élevée (64 %) de plaintes réglées en cours d’enquête ou résolues par l’organisation. Il n’en demeure pas moins que la grande quantité de plaintes relatives à l’accès peut être inquiétante; il faut peut-être en conclure que certaines organisations éprouvent encore de la difficulté à saisir pleinement les responsabilités qui leur incombent en vertu de la LPRPDE. Le nombre de plaintes résolues a toutefois de quoi nous encourager.

Les plaintes relatives à l’utilisation, à la communication et à la collecte inappropriées sont plus troublantes car plus difficiles à résoudre. Lorsque les renseignements personnels d’une personne sont communiqués de façon inappropriée, il est impossible de faire marche arrière. Impossible également de faire marche arrière lorsqu’il y a collecte inappropriée de renseignements. La commissaire a déterminé que les organisations se conforment à leurs obligations en vertu de la LPRPDE (plaintes non fondées) dans seulement 26 % des cas de plaintes sur la collecte de renseignements et dans 21 % des cas de plaintes sur l’utilisation et la communication de renseignements.

Par conséquent, nous avons intensifié nos efforts en 2005 afin de trouver de nouvelles solutions conformes à la LPRPDE. Nous avons mis en place une nouvelle procédure conformément à laquelle la commissaire exerce davantage de pressions sur les organisations afin que celles-ci modifient leurs pratiques afin que le problème ne se reproduise pas, évitant ainsi que des torts irréparables soient causés à d’autres personnes. Si une enquête révèle que la LPRPDE n’a pas été respectée, la commissaire, avant même de rendre ses conclusions aux termes d’une enquête, intervient rapidement et recommande à l’organisation concernée des mesures correctives. L’organisation doit, à la demande de la commissaire et dans un délai que cette dernière aura fixé, indiquer la façon dont elle entend mettre en œuvre les recommandations. Une fois la réponse de l’organisation obtenue, la commissaire communique ses conclusions.

Cette approche semble donner de bons résultats et nous a amenés à créer une nouvelle catégorie, soit la catégorie « fondée et résolue ». (Cette nouvelle catégorie n’apparaît pas dans les tableaux de cette année puisqu’elle a été créée à la fin de 2005.) Cette nouvelle catégorie, qui ne résulte pas d’un simple exercice de formulation, permet de montrer que presque toutes les organisations ont accepté les recommandations de la commissaire et qu’elles les ont mises en œuvre en temps opportun. Pour une personne dont la vie privée a été atteinte de façon irréversible, il s’agit d’une approche qui apporte davantage que le réconfort de savoir qu’une enquête est en cours; grâce à cette approche, la plainte devient en effet un moteur de changement et de renouveau.

Le tableau sur les plaintes fermées montre que nous continuons de favoriser le règlement des plaintes en cours d’enquête. Nous avions affirmé l’année dernière que cette façon de faire permettait de composer avec la charge de travail liée aux plaintes. Cette année, comme en 2004, ce sont les plaintes réglées en cours d’enquête qui ont été les plus nombreuses. Des 401 plaintes fermées en 2005, 157 (39 %) ont été réglées en cours d’enquête. Ce chiffre comprend 38 % de plaintes relatives à la collecte et 35 % de plaintes relatives à l’utilisation et à la communication. Nous poursuivrons nos efforts dans cette voie, car il s’agit d’un aspect fondamental de la fonction d’ombudsman et d’une façon d’aider les organisations à changer leur mentalité et à régler les problèmes avec leurs clients et employés.

Au cours de l’année, nous avons fermé 401 plaintes. Il s’agit d’une amélioration par rapport aux deux années précédentes et d’un changement par rapport aux trois dernières années, au cours desquelles nous avons reçu plus de plaintes que nous en avons fermé. En 2005, nous avons fermé autant de plaintes que nous en avons reçu. (Une plainte reçue au cours d’une année civile donnée n’est pas nécessairement fermée la même année, ce qui explique qu’il peut nous arriver de fermer plus de plaintes que nous en recevons par année.)

Cette situation nous a permis de réduire notre arriéré de plaintes, mais comme n’importe quelle organisation chargée de traiter des plaintes publiques, nous devons continuellement nous efforcer de parvenir à un équilibre entre les ressources dont nous disposons et les plaintes qui nous sont adressées jour après jour. En 2006, de nouvelles ressources nous seront affectées, mais notre objectif premier consiste à trouver des moyens de simplifier les procédures et de faire preuve de plus d’efficacité et d’efficience.

Délai de traitement des plaintes

Le tableau qui suit indique le nombre moyen de mois nécessaires à la réalisation complète d’une enquête, de la date de réception de la plainte jusqu’à la conclusion de l’enquête ou toute autre prise de décision. Le premier tableau présente les délais par type de conclusion ou de décision, et le second tableau, par type de plainte.

Délais de traitement des plaintes pour la période s’échelonnant du 1^er janvier au 31 décembre 2005, par conclusion ou décision

Conclusion ou décision	Délai moyen en mois
Non fondée	13,79
Résolue	13,21
Fondée	12,44
Hors juridiction	12,27
Réglée	10,17
Abandonnée	7,67
Réglée rapidement	2,53
Moyenne globale	10,94

Délais de traitement des plaintes pour la période s’échelonnant du 1^er janvier au 31 décembre 2005, par type de plainte

Type de plainte	Délai moyen en mois
Possibilité de porter plainte	16,0**
Collecte	11,8
Exactitude	11,5
Utilisation et communication	11,4
Transparence	11,3*
Frais	11,0*
Accès	10,9
Conservation	10,8*
Consentement	10,1
Responsabilité	10,0*
Correction/annotation	9,9
Mesures de sécurité	8,8
Respect des délais	6,6
Moyenne globale	10,9

* Au délai de traitement de ces catégories correspondent quatre plaintes ou moins.
** Au délai de traitement de cette catégorie correspond une seule plainte.

Cette illustration des délais de traitement des plaintes est troublante. Conformément à l’article 13 de la LPRPDE, la commissaire doit, pour chaque plainte, présenter un rapport à l’intérieur de l’année qui suit le dépôt de la plainte. Comme le tableau l’indique, il s’écoule en moyenne un peu moins de 11 mois entre la date du dépôt d’une plainte et la date de la conclusion d’enquête ou de la décision qui convient. Certes, nous respectons nos obligations légales, mais nous pourrions nous accommoder d’une marge de manœuvre plus grande. Aussi, si on les examine de plus près, les chiffres révèlent que dans certaines catégories, les délais ont été dépassés. En fait, selon le tableau qui présente les données par conclusion/décision, il faut compter en moyenne plus d’une année pour traiter les plaintes qui nécessitent une enquête complète, c’est-à-dire les plaintes fondées, non fondées et résolues. (Pour ce qui est de la catégorie « hors juridiction », le délai de traitement s’explique par la complexité des faits et des enjeux légaux qui doivent être examinés. Lorsqu’il est clair qu’une plainte ne relève pas de notre compétence, les agents chargés des demandes de renseignements ne la transmettent pas à l’étape suivante de traitement. Si une plainte présentant un enjeu juridictionnel se rend à l’étape de l’enquête, c’est parce qu’il y a incertitude sur la juridiction.) La période de temps nécessaire à la réalisation d’une enquête dépend de plusieurs facteurs, y compris les changements à nos procédures et les problèmes liés aux ressources. Peu importe les raisons, cette question nous préoccupe. Aussi, déployons-nous de nombreux efforts pour traiter les plaintes à l’intérieur des délais imposés par la Loi.

Demandes de renseignements

Au Commissariat, l’Unité des demandes de renseignements répond aux demandes sur l’application de la LPRPDE et de la Loi sur la protection des renseignements personnels. Chaque année, le grand public et les organisations adressent au Commissariat des milliers de demandes d’information sur la protection des renseignements personnels dans le secteur privé.

En 2005, le Commissariat a reçu 5 685 demandes de renseignements liées à la LPRPDE, ce qui représente moins de la moitié du total des demandes reçues en 2004 (soit 12 132 demandes). Les demandes reçues en 2004 sont également moins nombreuses qu’en 2003. Comme nous l’avons fait remarquer l’année dernière, cette diminution peut être attribuable au fait que les organisations visées par la LPRPDE comprennent désormais mieux la Loi. En effet, en 2003 et en 2004, de nombreuses organisations ont fait des démarches pour être mieux orientées relativement à la LPRPDE et à sa pleine mise en œuvre le 1^er janvier 2004.

L’équipe des demandes de renseignements répond aujourd’hui à des demandes moins nombreuses mais nécessitant des réponses plus étoffées. Un système téléphonique automatisé a été instauré afin de répondre aux questions les plus fréquentes du grand public, comme les questions sur le vol d’identité, le télémarketing et le numéro d’assurance sociale. Notre site Web, est de plus en plus un outil clé, renfermant un large éventail de renseignements fort utiles.

Statistiques sur les demandes de renseignements
Du 1^er janvier au 31 décembre 2005

Demandes relatives à la LPRPDE reçues par l’Unité des demandes de renseignements
Demandes téléphoniques	4 597
Demandes écrites (lettres et télécopies)	1 088
Nombre total de demandes de renseignements reçues	5 685

Demandes relatives à la LPRPDE fermées par l’Unité des demandes de renseignements
Demandes téléphoniques	4 623
Demandes écrites (lettres et télécopies)	1 587
Nombre total de demandes de renseignements fermées	6 210

Suivi des enquêtes effectuées aux termes de la LPRPDE

Depuis 2004, la Direction des enquêtes et des demandes de renseignements effectue un suivi auprès des organisations visées par la LPRPDE afin d’établir si celles-ci respectent leurs engagements pris en cours d’enquête et de voir l’évolution de la mise en œuvre des recommandations proposées dans les lettres de conclusions du Commissariat. Le Commissariat s’attend à ce que le suivi incite davantage les organisations à prendre les mesures nécessaires pour régler les problèmes identifiés dans le cadre d’enquêtes. Il s’agit aussi d’une façon de consigner l’information sur les moyens qu’ont pris les organisations pour s’acquitter de leurs responsabilités en vertu de la LPRPDE.

Voici quelques exemples de mesures découlant de nos recommandations :

• Une personne se plaint que son ancien employeur a accédé à son compte et apporté des changements par l’entremise d’un programme de récompenses. Dans sa lettre de conclusions, la commissaire adjointe recommande à l’organisation désormais responsable du programme de récompenses de mettre en place des mots de passe pour contrôler l’accès, dans son système automatisé, aux renseignements des titulaires de comptes. Notre suivi a permis de confirmer que l’organisation avait mis en place une technologie d’empreinte vocale ainsi que des mots de passe pour protéger l’accès aux renseignements des titulaires de comptes.
• Une personne conteste une demande de règlement d’assurance automobile qui la vise et demande à obtenir différents documents, dont la déclaration du demandeur. La compagnie d’assurance refuse de communiquer la déclaration sans le consentement de son auteur. La commissaire adjointe recommande à la compagnie de biffer ou de retirer les renseignements personnels de l’auteur de la déclaration et de fournir à la personne qui se plaint l’accès aux renseignements personnels qui la concernent. Elle recommande également que les experts qui travaillent pour le compte de la compagnie d’assurance informent les tiers que leur déclaration sera communiquée à la personne visée si celle-ci le demande et que seuls les renseignements personnels qui ne sont pas directement liés à la déclaration seront biffés ou retirés. Notre suivi a permis de confirmer que la compagnie a donné à la personne qui s’est plainte une copie de la déclaration de laquelle on avait supprimé les renseignements personnels du demandeur, et que la compagnie avait modifié ses pratiques conformément à nos recommandations.
• Une personne se plaint que la banque ne lui donne pas l’option de refuser de recevoir la publicité accompagnant ses relevés de carte de crédit. Les « circulaires » jointes aux relevés visent à faire connaître différents produits et services, comme des magazines ou de l’assurance voyage; elles sont offertes par la banque conjointement avec d’autres organisations. Par suite des recommandations de la commissaire adjointe, la banque a adopté une procédure qui permet à ses clients de refuser que de la publicité leur soit envoyée.
• Un ancien employé d’une compagnie aérienne se plaint que son employeur a indûment détruit son dossier d’emploi. La commissaire adjointe conclut que le dossier du plaignant a été éliminé conformément au Règlement de l’aviation canadien et que la plainte est non fondée. Elle recommande toutefois à la compagnie de fixer une période maximale de conservation de ce type de dossiers ainsi que de consigner et d’archiver l’information se rapportant à la destruction des dossiers, à savoir qui a détruit les dossiers et de quelle manière. Notre suivi a permis de confirmer que la compagnie aérienne a modifié ses directives internes, qu’elle fixe désormais des périodes minimales et maximales de conservation des dossiers de pilote et qu’elle a instauré un système de suivi de la destruction des dossiers.
• Une personne se plaint que son fournisseur de services Internet ne protège pas ses renseignements personnels de façon adéquate, qu’il ne lui fournit pas d’explication satisfaisante en réponse à ses préoccupations et qu’il lui refuse l’accès à ses renseignements personnels. L’enquête a permis de conclure que les allégations relatives à la protection des renseignements personnels sont non fondées. Quant à la question de l’accès, celle-ci est réglée en cours d’enquête. Pour ce qui est des responsabilités du fournisseur, la commissaire adjointe a recommandé à ce dernier de mettre en œuvre une procédure selon laquelle les problèmes relatifs à la protection des renseignements personnels sont transmis à l’agent de la protection de la vie privée de l’organisation. L’organisation avait déjà une telle procédure mais a reconnu qu’elle devait sensibiliser et mieux informer ses employés quant aux questions de protection des renseignements personnels. L’organisation s’est engagée à offrir la formation requise.
• Une personne se plaint qu’une banque utilise ses renseignements personnels à des fins de marketing. La commissaire adjointe conclut que la plainte est non fondée puisque le plaignant n’avait pas demandé que son nom soit éliminé des listes de marketing. Elle note toutefois que selon la politique de la banque, les clients doivent obtenir et remplir un formulaire afin que leur nom soit retiré des listes de marketing. Selon la commissaire adjointe, cette procédure ne répond pas aux critères qui définissent une « attente raisonnable pour la plupart des personnes »; la procédure devrait permettre l’accès à un moyen immédiat, facile et peu coûteux de retirer son consentement à la collecte, à l’utilisation et à la communication de renseignements personnels. Par conséquent, la commissaire adjointe recommande que la banque revoie sa procédure relative à l’option de refus. Cette dernière a donc modifié sa politique et ses procédures de marketing direct. Désormais, les clients qui souhaitent que leurs renseignements personnels ne soient pas utilisés à des fins de marketing secondaire peuvent appeler n’importe laquelle des succursales de la banque ou encore son centre d’appels.

Processus d’enquête en vertu de la LPRPDE

Vérification et revue

L’objectif de la Direction de la vérification et de la revue est de procéder de façon objective et indépendante à la vérification et à l’examen de systèmes de gestion des renseignements personnels dans le but de promouvoir la conformité aux lois, aux politiques et aux normes en vigueur ainsi que d’améliorer les pratiques en matière de protection de la vie privée et de reddition de comptes.

Conformément au paragraphe 18(1) de la LPRPDE, la commissaire peut, sur préavis suffisant et à toute heure convenable, procéder à la vérification des pratiques de l’organisation en matière de gestion des renseignements personnels si elle a des motifs raisonnables de croire que cette organisation a contrevenu à l’une des dispositions de la LPRPDE.

En raison de l’ampleur des enjeux et des risques à la protection de la vie privée avec lesquels les Canadiennes et les Canadiens doivent composer, les activités de vérification doivent être davantage au cœur du travail du Commissariat ; celui-ci doit adopter des façons de faire plus proactives. Nous nous sommes attelés à l’élaboration minutieuse des critères définissant les motifs raisonnables qui justifient la tenue d’une vérification. Nous prévoyons être en mesure de rendre publics ces critères en juillet 2006.

En outre, en prévision de l’examen imminent de la LPRPDE, nous songeons à proposer des modifications qui donneraient à la commissaire à la protection de la vie privée le pouvoir discrétionnaire nécessaire de rendre visite à des organisations du secteur privé et d’examiner leurs pratiques et leur cadre de gestion de la protection de la vie privée. Cet examen permettrait de voir si les risques importants en matière de protection de la vie privée peuvent être détectés et gérés, même lorsqu’un problème donné n’est pas du domaine public. Ce pouvoir devrait aussi être exercé lorsqu’un problème important d’atteinte à la vie privée est révélé et que la commissaire juge qu’il doit y avoir une assurance indépendante que l’organisation concernée prend les mesures correctives appropriées. Dans le cadre de la vérification, un diagnostic serait posé sur les pratiques et systèmes internes pour combattre les problèmes à la source et en éviter d’autres.

Parallèlement, nous favorisons la prise de mesures qui encouragent et aident les organisations à s’autoréglementer et à assumer les responsabilités qui leur incombent en vue d’assurer leur propre gouvernance et leur propre gestion de la protection de la vie privée. C’est pour cette raison, notamment, que nous travaillons à l’élaboration d’un outil d’autoévaluation de la protection de la vie privée.

L’utilisation de dispositifs d’identification par radiofréquence au Canada

Cette année, la Direction de la vérification et de la revue a effectué une étude sur une technologie suscitant d’importantes préoccupations dans le domaine de la vie privée : l’identification par radiofréquence (IRF).

L’IRF appartient aux technologies dites d’identification automatique utilisées pour permettre à des appareils de détecter des objets. Les dispositifs d’IRF peuvent être intégrés à presque n’importe quel article de vente ou objet, y compris les cartes bancaires, les cartes de crédit, les billets de banque, les passeports, les bagages, les insignes et les bracelets, les vêtements, les véhicules, les pièces de véhicule, les appareils électroménagers, les téléphones, les médicaments et les emballages alimentaires. Les dispositifs d’IRF peuvent aussi être implantés à des animaux d’élevage, et au moins une entreprise fait de la publicité pour l’implant humain. L’une des principales caractéristiques de l’IRF est sans doute que celle-ci permet d’identifier de façon unique chaque produit ou objet. Cette caractéristique, ainsi que la petite taille des dispositifs, peuvent toutefois être la source de menaces à la vie privée, par exemple :

• Collecte subreptice de renseignements. Les dispositifs d’IRF sont minuscules et peuvent être fixés ou intégrés à des objets et à des documents à l’insu des personnes qui les acquièrent. Les dispositifs peuvent être lus à distance par des lecteurs invisibles intégrés à presque n’importe quel milieu. Ainsi, sans avis clair à ce sujet, le recours à la technologie d’IRF peut passer inaperçu. Les consommateurs n’ont alors pratiquement aucun moyen de savoir s’ils sont « scannés » et à quel moment ils le sont.
• Suivi des déplacements de personnes. Si des dispositifs d’IRF sont fixés à des vêtements ou à des véhicules, par exemple, et s’il y a un réseau de lecteurs suffisamment dense en place, il devient possible d’effectuer le suivi des dispositifs dans le temps et dans l’espace. Certains vendeurs proposent des applications précisément conçues à cette fin, des applications qui combinent la technologie de l’IRF et celle du système mondial de localisation (GPS). Ensuite, si on associe un dispositif donné à une personne, on peut suivre les déplacements de celle-ci. Par exemple, un dispositif intégré à un vêtement peut servir à identifier la personne qui le porte. Même si l’information sur l’article comportant le dispositif demeure somme toute générale, elle peut servir à associer des personnes à certains événements, comme des rassemblements politiques ou des manifestations.
• Établissement du profil des consommateurs. Avec les codes à barres, les bouteilles d’eau d’une même marque ont toutes le même code. La technologie de l’IRF permet, pour sa part, d’attribuer un code d’identification unique à chacun des objets de la planète. (Ainsi, les bouteilles d’eau, même d’une même marque, peuvent toutes avoir leur propre code.) Il pourrait donc s’ensuivre la création d’un système d’enregistrement mondial par lequel chaque objet existant serait codé et permettrait d’associer son acheteur ou son propriétaire au lieu de vente ou de transfert. Ces liens entre une personne et les objets qu’elle acquiert (liens effectués grâce à un numéro de carte de crédit, par exemple) permettent de dresser facilement le profil de consommation d’une personne.
• Utilisation secondaire (en particulier en ce qui concerne le contrôle et la restriction de l’utilisation secondaire des renseignements). Par exemple, la communication de renseignements personnels comme les médicaments prescrits à une personne ou ses antécédents médicaux peuvent avoir des conséquences sur son admissibilité à une assurance ou sur ses possibilités d’emploi.

L’identification par radiofréquence au Canada

Au début de 2005, nous avons écrit à 14 organisations canadiennes pour leur demander de nous aider à mieux comprendre l’utilisation de plus en plus fréquente de l’IRF au Canada.

Douze organisations ont accepté de participer à notre étude, laquelle ne se voulait pas nécessairement représentative de l’ensemble des entreprises canadiennes. Il s’agissait plutôt d’une étude sur les sociétés de grande envergure dont les activités commerciales sont susceptibles de faire appel à l’utilisation de l’IRF. Les organisations participantes faisaient partie des industries de la fabrication, du commerce de détail, du transport, de la distribution ainsi que de la fabrication de dispositifs d’IRF. Chaque organisation a donc reçu une lettre pour solliciter de l’information sur l’utilisation actuelle ou à venir de l’IRF.

Des douze organisations ayant répondu, deux effectuaient des activités liées à la production d’IRF. Parmi les dix autres organisations, deux envisageaient de recourir à la technologie d’IRF, quatre s’en servaient déjà; les quatre autres s’apprêtaient à l’essayer ou l’avaient déjà fait.

Parmi les quatre organisations utilisant déjà la technologie d’IRF, trois s’en servent pour faire le suivi de marchandises, deux s’en servent pour établir des liens avec des renseignements personnels. Une organisation a indiqué qu’elle recourait à cette technologie pour faire le suivi de ses employés sans toutefois recueillir de renseignements personnels.

Six des dix organisations ont fourni des indications relativement aux questions sur la protection de la vie privée contenues dans notre lettre. L’une d’elles a indiqué qu’elle effectuerait une Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour examiner la possibilité d’utiliser l’IRF; une autre a indiqué qu’elle ne ferait pas cette évaluation; deux autres ont indiqué qu’elles envisageraient la possibilité d’effectuer soit une ÉFVP, soit un autre type d’évaluation pour vérifier la conformité aux principes de protection de la vie privée; enfin, deux organisations ont affirmé qu’une ÉFVP n’était pas nécessaire puisqu’elles n’utilisaient pas l’IRF pour identifier des personnes ou établir des liens avec les renseignements personnels de personnes.

Nous avons appris l’existence d’une organisation centrale qui, dans l’industrie de l’IRF, définit les normes applicables à l’utilisation de l’IRF. Cette organisation exige également de ses abonnés qu’ils respectent certains principes de protection des renseignements personnels. Par exemple, les consommateurs doivent être informés de la présence d’un dispositif d’IRF lorsqu’ils achètent un article; ils doivent aussi pouvoir rendre le dispositif inopérant après l’achat. De plus, les dispositifs ne doivent pas contenir de renseignements personnels. Pour nous, l’attention accordée à la protection de la vie privée est un signe positif; nous encourageons donc toute organisation canadienne qui a recours à l’IRF à adopter des pratiques responsables similaires.

À ce jour, il semble que la seule utilisation que le gouvernement prévoit faire de l’IRF a trait aux passeports canadiens. Nous surveillons de près l’évolution de ce dossier. Nous savons également qu’un groupe d’Industrie Canada appuie actuellement le développement commercial de la technologie de l’IRF.

Nécessité de faire connaître l’IRF et d’en définir l’orientation

Bien qu’elle soit encore récente, la technologie de l’IRF est déjà utilisée à d’autres fins que le simple suivi de marchandises. En effet, l’IRF est utilisée pour établir des liens avec des renseignements personnels et parfois pour suivre le déplacement de personnes.

À l’heure actuelle, il semble qu’il n’y ait aucun cadre solide de gestion des risques à la protection des renseignements personnels pour régir l’utilisation de l’IRF. Sans doute peut-on attribuer cette situation au fait qu’il s’agit d’une technologie récente, que les entreprises sont pour l’instant davantage préoccupées par leurs analyses de rentabilisation sur l’IRF et que les fabricants de dispositifs d’IRF travaillent encore aux aspects techniques, comme la mise en place de normes de sécurité, la compatibilité et l’interopérabilité.

Il est essentiel de travailler maintenant à mieux informer le grand public et les intervenants politiques sur le danger que pose la nature envahissante de l’IRF. Le Commissariat élaborera des lignes directrices de façon à ce que le jour où l’IRF fera partie de notre quotidien, notre droit à la vie privée sera protégé.

Vérification de suivi de la Banque Canadienne Impériale de Commerce

De 2001 à 2004, la Banque Canadienne Impériale de Commerce (CIBC) a mal acheminé un certain nombre de télécopies contenant les renseignements personnels de clients. Le Commissariat a mené une enquête et détecté des problèmes sur le plan des mesures visant à assurer la protection des renseignements personnels à la CIBC. En mars 2005, nous avons communiqué les résultats de notre enquête à la CIBC. Puisque d’autres enquêtes du genre ont eu lieu, nous avons vivement et publiquement exhorté toutes les organisations bancaires visées par la LPRPDE à examiner leurs politiques et leurs pratiques de gestion des renseignements personnels et à remédier à toute lacune détectée.

La CIBC a ensuite présenté un certain nombre de mesures visant à détecter les problèmes et à améliorer ses mesures de protection des renseignements personnels des clients. Elle a également procédé à une vérification interne.

Dans une lettre envoyée à la CIBC en mars 2005, nous avons informé celle-ci que des représentants de la Direction de la vérification et de la revue se rendraient dans ses locaux afin de vérifier les mesures correctives prises et de discuter des autres risques potentiels à la protection des renseignements personnels. En décembre 2005, nous avons de nouveau écrit à la CIBC pour l’informer que nous entreprendrions ce processus en mars 2006. Nous avons invité la CIBC à nous envoyer de l’information avant la visite de nos représentants afin que ceux-ci soient au fait de ses mesures correctives. Nous avons indiqué que nous examinerions les résultats de sa vérification interne d’août 2005 ainsi que les mesures prises subséquemment par sa direction.

Quelques semaines plus tard, la CIBC a suggéré que nous nous rencontrions avant la tenue de notre vérification afin d’en confirmer la portée et de comprendre le processus qui serait adopté. Tel que convenu, la banque a accepté de laisser le Commissariat examiner les documents pertinents en prévision de la vérification. Nous lui savons gré de sa coopération. Les résultats de notre vérification de suivi seront publiés dans notre prochain rapport annuel.

Gestion des renseignements personnels : autoévaluation

Dans notre dernier rapport annuel, il était indiqué que nous avions entrepris l’élaboration d’un outil d’autoévaluation sur la protection des renseignements personnels que les organisations allaient pouvoir utiliser et adapter à leurs besoins. Une première ébauche est en voie d’être finalisée grâce à la contribution d’experts internes et externes. L’outil vise à aider les organisations à se conformer à la LPRPDE et à promouvoir de bonnes pratiques de gestion des renseignements personnels. Il pourra également être utile à toute entité qui souhaite approfondir ses principes de protection des renseignements personnels. Nous espérons être en mesure de rendre public le fruit de ces travaux en juillet 2006.

Devant les tribunaux

Demandes en vertu de la LPRPDE

Conformément aux articles 14 et 15 de la LPRPDE, une personne qui porte plainte, ou la commissaire elle-même, peut, dans certaines situations, demander que la Cour entende toute question dont il est fait mention dans le rapport de la commissaire et qui est visée par les articles et dispositions de la LPRPDE énoncés à l’article 14.

Dans notre rapport annuel de 2004 sur la LPRPDE, nous avions rendu compte de l’avancement des cas devant les tribunaux. Depuis, les dossiers ont progressé et de nouvelles demandes ont été déposées. Dans les pages qui suivent, nous présentons l’évolution des dossiers en cours et les nouvelles demandes déposées en 2005.

Conformément à notre mandat, nous avons décidé de ne pas publier l’intitulé de la cause tel qu’il appert officiellement pour respecter la vie privée des personnes ayant déposé une plainte. Nous ne publions que le numéro de dossier de la Cour et le nom de l’organisation.

Dossiers en cours

(Voir le rapport annuel de 2004 sur la LPRPDE aux pages 90 et 91.)

Une audience a eu lieu à Vancouver en septembre 2005. Le 29 novembre 2005, le juge Gibson a rendu sa décision. Il a conclu que : 1) la Telecommunications Workers Union n’était pas une partie dans l’affaire (c’est-à-dire qu’il ne s’agit pas d’une « personne » autorisée à présenter une demande d’audience à la Cour); 2) la collecte de renseignements par empreinte vocale constituerait, aux termes du paragraphe 5(3) de la Loi, une collecte qu’une personne raisonnable estimerait raisonnable dans les circonstances; 3) Telus a respecté les obligations relatives au consentement imposées par la Loi.

Les demandeurs en ont appelé de la décision le 22 décembre 2005.

(Voir le rapport annuel de 2004 sur la LPRPDE aux pages 89 et 90.)

La demande a été entendue le 15 mars 2005; la décision a été rendue le 29 mars. La Cour a conclu, comme l’avait auparavant conclu la commissaire adjointe, que puisque rien ne prouve que Alta Flights a enregistré des conversations, il est impossible de conclure à la collecte ou à l’utilisation de renseignements personnels par l’entreprise. En l’absence de texte légal explicite ou implicite à cet égard, on ne peut interpréter la LPRPDE en fonction de principes de common law relatifs à l’atteinte à la vie privée. La Cour a donc conclu qu’une tentative de collecte ne contrevient pas à la Loi.

Le demandeur en a appelé de la décision en avril 2005. Une demande d’audience a été déposée le 4 août 2005; l’audience a été fixée au 21 mars 2006.

Nouveaux dossiers d’intérêt

Le plaignant assumait depuis longtemps les fonctions de directeur général pour le compte du Brampton Flying Club (BFC) au moment où il a été remercié de ses services. Par suite de son congédiement, il a entrepris des poursuites et a également fait une demande d’accès à ses renseignements personnels détenus par le BFC.

En décembre 2003, il s’est plaint à la commissaire à la protection de la vie privée que le BFC : 1) ne lui avait pas fourni ses renseignements personnels dans les 30 jours suivant sa demande écrite; 2) avait voulu lui réclamer la somme déraisonnable de 1 500 $ pour effectuer une vérification judiciaire de cinq jours qui, de l’avis du BFC, était nécessaire pour répondre à la demande du plaignant; 3) ne lui avait toujours pas fourni tous ses renseignements personnels.

La commissaire adjointe a déterminé que le délai fixé aux termes du paragraphe 8(3) n’avait pas été respecté, que la somme de 1 500 $ exigée ne répond pas au critère de « droits minimes » énoncé au principe 4.9.4 et que certains des renseignements personnels du plaignant avaient été indûment omis par l’organisation.

Le 3 février 2005, le plaignant a demandé une audience à la Cour fédérale en vertu de l’article 14 de la LPRPDE. Le 18 mai 2005, la commissaire à la protection de la vie privée a été intégrée à la cause à titre de partie.

Selon la commissaire à la protection de la vie privée, le fait que le plaignant puisse avoir demandé l’accès à des documents en vue d’autres poursuites judiciaires impliquant les mêmes parties ne peut justifier le refus d’accès. Les motifs d’un plaignant ne devraient pas être invoqués pour empêcher celui-ci d’accéder à ses renseignements personnels en vertu de la LPRPDE. Dans ces circonstances extraordinaires, la commissaire à la protection de la vie privée a déposé un affidavit auprès de la Cour afin d’indiquer les documents auxquels le plaignant souhaitait accéder et que l’organisation n’avait pas fournis.

Le 3 janvier 2006, l’affaire a été suspendue pendant 60 jours pour la tenue de discussions en vue d’un règlement.

Le plaignant a allégué que le Dr Wyndowe, le médecin indépendant qui l’a examiné pour le compte de sa compagnie d’assurances, lui a refusé l’accès à ses renseignements personnels. Le plaignant a demandé une copie des questions posées par le médecin et des réponses à ces questions. Le Dr Wyndowe a refusé en affirmant qu’à son avis, ces renseignements ne faisaient pas partie du dossier médical du plaignant et qu’il ne s’agissait pas, par conséquent, de ses renseignements personnels.

La commissaire adjointe a conclu que les notes prises par le Dr Wyndowe pour son rapport constituaient des renseignements personnels du plaignant en vertu de l’article 2 de la LPRPDE. Le Dr Wyndowe a soutenu que l’examen médical indépendant avait eu lieu en raison d’un litige et qu’on pouvait par conséquent refuser au plaignant l’accès aux renseignements, ceux-ci étant protégés par le secret professionnel. La commissaire adjointe n’a pas admis cette interprétation de l’alinéa 9(3)a) de la LPRPDE, puisque la compagnie d’assurances n’avait pas fait appel au Dr Wyndowe à titre d’expert pour le règlement du litige. En effet, le Dr Wyndowe devait plutôt aider la compagnie à définir ses obligations selon la police d’assurance collective.

La commissaire adjointe n’a pas convenu qu’on pouvait invoquer dans ce cas-ci l’alinéa 9(3)d), en vertu duquel une organisation peut refuser de communiquer à une personne ses renseignements personnels fournis dans le cadre du règlement officiel d’un différend. En effet, le traitement de la demande de règlement n’a pas constitué un processus de règlement formel d’un différend.

La commissaire adjointe a donc recommandé au Dr Wyndowe de permettre au plaignant d’accéder à ses renseignements personnels.

Le 25 avril 2005, le plaignant a demandé une audience à la Cour fédérale en vertu de l’article 14 de la LPRPDE. Le 7 juillet 2005, la commissaire à la protection de la vie privée a été incluse dans cette affaire à titre de partie. Une demande d’audience a été présentée le 3 octobre 2005, mais aucune date n’a encore été fixée.

Une personne s’est plainte qu’au moins un employé de la Banque Scotia avait obtenu des renseignements personnels la concernant sans son consentement et que ces renseignements avaient été communiqués à un tiers.

L’enquête a révélé que l’un des employés de la banque avait effectivement accédé au compte de la plaignante indûment et sans le consentement de cette dernière et qu’il avait communiqué certains renseignements au directeur de la succursale, mais pas à un tiers de l’extérieur. Au moment de l’enquête, la banque avait déjà pris des mesures disciplinaires à l’endroit de l’employé à la suite de sa propre enquête.

La commissaire adjointe a conclu que l’employé de la banque avait enfreint des dispositions de la LPRPDE et que la plainte était fondée.

Le 1^er décembre 2005, la plaignante a fait une demande d’audience à la Cour fédérale en vertu de l’article 14 de la LPRPDE. L’affaire est en traitement.

Une personne s’est plainte que la RBC Actions en Direct Inc. lui avait refusé l’accès à tous ses renseignements personnels en réponse à la demande qu’elle avait présentée en vertu de la LPRPDE. Parmi les renseignements demandés, le plaignant souhaitait obtenir la transcription de directives qu’il avait communiquées par téléphone à un représentant de la RBC Actions en Direct Inc. au sujet d’un compte qu’il disait être un compte conjoint qu’il avait avec un tiers. L’organisation a soutenu que les renseignements étaient ceux du tiers seulement et n’a pas communiqué la transcription.

La commissaire adjointe à la protection de la vie privée a conclu qu’un document d’information peut contenir les renseignements personnels de plus d’une personne. Dans le cas présent, l’information détenue par l’organisation contenait des renseignements personnels de la tierce partie du compte conjoint, mais la transcription de la conversation téléphonique du plaignant constitue ses renseignements personnels. Par conséquent, la plainte a été jugée fondée et la commissaire adjointe a recommandé à l’organisation de communiquer au plaignant la transcription de la conversation téléphonique. La RBC Actions en Direct Inc. a fourni la transcription au plaignant après avoir soustrait pratiquement tous les renseignements qu’elle contenait, affirmant – en dépit des conclusions de la commissaire adjointe – qu’il s’agissait des renseignements personnels du titulaire du compte seulement.

Puisque plus de 45 jours s’étaient écoulés depuis le dépôt du rapport de la commissaire, celle-ci a demandé le prolongement du délai normal afin de présenter à la Cour fédérale une demande d’audience en vertu de l’alinéa 15a) relativement à la RBC Actions en Direct Inc. L’autorisation de présenter une demande d’audience a été accordée le 16 décembre 2005.

Demandes abandonnées

Une personne s’est plainte qu’une infirmière de la Compagnie des chemins de fer nationaux du Canada (le CN) ait communiqué ses renseignements personnels et donné à son superviseur suffisamment d’information pour que celui-ci puisse déduire que le plaignant participait au programme de traitement de la toxicomanie de la compagnie. Le plaignant s’est également plaint que l’infirmière ait communiqué d’autres renseignements personnels à son sujet par courriel à son superviseur, au surintendant et à deux autres superviseurs du CN.

La commissaire adjointe à la protection de la vie privée a conclu que l’infirmière avait effectivement communiqué trop de renseignements personnels dans les deux cas et qu’il n’était pas justifié de le faire dans les circonstances. Par conséquent, le CN a indûment utilisé les renseignements personnels du plaignant et a contrevenu au principe 4.3.

Le 14 mai 2004, le plaignant a fait une demande d’audience à la Cour fédérale en vertu de l’article 14 de la LPRPDE. La commissaire à la protection de la vie privée a été incluse dans cette affaire à titre de partie en octobre 2004 afin de présenter ses arguments sur : 1) la portée de sa juridiction et de celle de la Cour fédérale dans les cas de plaintes formulées en vertu de la LPRPDE relativement à une convention collective; 2) l’interprétation appropriée du paragraphe 5(3) et du principe 4.3 de la LPRPDE.

La demande a été abandonnée le 8 juin 2005.

(Voir le rapport annuel de 2004 sur la LPRPDE à la page 94.)

L’entreprise a abandonné la plainte en juin 2005.

(Voir le rapport annuel de 2004 sur la LPRPDE à la page 92.)

La commissaire à la protection de la vie privée avait été incluse dans cette affaire à titre de partie le 24 octobre 2005. Le 18 novembre 2005, les parties ont réglé leur différend par l’entremise d’un processus de médiation. La demande a été abandonnée le 20 janvier 2006.

(Voir le rapport annuel de 2004 sur la LPRPDE aux pages 91 et 92.)

Une demande d’audience à la Cour fédérale a été présentée le 1^er décembre 2004 en vertu de l’article 14 de la LPRPDE. Le différend a été réglé par l’entremise d’un processus de médiation. La demande a été abandonnée le 15 juin 2005.

Un employé de l’Agence canadienne d’inspection des aliments, qui travaille dans une usine de transformation de la viande enregistrée auprès du gouvernement fédéral, s’est plaint que l’organisation avait recueilli des renseignements personnels sans son consentement grâce à des caméras vidéo dirigées vers son poste de travail. L’organisation a affirmé que les caméras devaient servir à assurer la salubrité des aliments. Toutefois, aucune preuve ne démontre que les caméras peuvent enregistrer des images suffisamment détaillées pour servir efficacement à cette fin. La commissaire ajointe à la protection de la vie privée a donc conclu que l’organisation recueillait des renseignements personnels sur le plaignant sans son consentement, ce qui contrevient au principe 4.3, et qu’elle le faisait à des fins qui, aux termes du paragraphe 5(3) de la LPRPDE, sont susceptibles de ne pas être estimées acceptables dans les circonstances.

Le 9 mars 2005, le plaignant a demandé une audience à la Cour fédérale en vertu de l’article 14 de la LPRPDE afin d’obtenir, entre autres choses, que l’organisation retire la caméra de surveillance dirigée vers son poste de travail. La demande a été abandonnée le 4 novembre 2005.

Révisions judiciaire

En vertu de l’article 18.1 de la Loi sur les Cours fédérales, deux demandes de révision judiciaire ont été présentées au sujet de décisions ou d’actions de la commissaire à la protection de la vie privée pour des motifs d’erreur juridictionnelle.

(Voir le rapport annuel de 2004 sur la LPRPDE à la page 93.)

La Cour fédérale a rejeté la révision judiciaire sur le fond en mars 2005. Le juge Mosley avait alors affirmé que lorsque la commissaire à la protection de la vie privée est saisie d’une plainte sur la conservation et l’utilisation de renseignements personnels, elle a la responsabilité d’établir les faits et le devoir de rédiger un rapport sur ses conclusions. La commissaire ne peut toutefois pas assumer efficacement ce rôle si on lui refuse, par allégation de privilège, l’accès à l’information nécessaire. La Cour a jugé que la commissaire était en droit d’exiger de la partie intimée de lui fournir les documents dont elle avait besoin pour évaluer elle-même la demande d’invoquer le secret professionnel. Puisque la commissaire est légalement tenue à la confidentialité, le fait qu’elle exige les documents ne limite pas ou n’exclut pas par ailleurs la possibilité, pour la partie intimée, d’invoquer le secret professionnel par la suite.

En avril 2005, le demandeur en a appelé de la décision. Une demande d’audience a été présentée en septembre 2005, mais aucune date n’a encore été fixée.

Une plainte a été déposée contre une organisation de recherche de données et d’établissement de profils située aux États-Unis. La commissaire à la protection de la vie privée a déterminé que, pour effectuer une enquête auprès de cette organisation, elle devrait avoir l’autorisation légale d’exercer ses pouvoirs à l’extérieur du Canada. La commissaire a conclu que la LPRPDE n’a aucune portée au-delà des frontières canadiennes. L’information connue n’établissait de façon ni suffisante ni concrète la présence de liens entre l’organisation et le Canada pour déterminer que l’organisation est assujettie à la LPRPDE. Le demandeur a donc été informé que la commissaire à la protection de la vie privée ne pouvait pas traiter sa plainte puisqu’elle n’avait pas le pouvoir d’obliger l’organisation à présenter les preuves qui lui permettraient de faire une enquête et de rendre des conclusions.

Le 19 décembre 2005, le plaignant a fait une demande en vertu de l’article 18.1 de la Loi sur les Cours fédérales pour faire annuler la décision de la commissaire à la protection de la vie privée selon laquelle celle-ci n’a pas les pouvoirs nécessaires pour faire enquête.

Communications et sensibilisation du grand public

En vertu de l’article 24 de la LPRPDE, la commissaire à la protection de la vie privée est chargée d’effectuer des activités de communication, de sensibilisation du grand public et de recherche sur des enjeux liés à la protection de la vie privée.

En vertu de la Loi, la commissaire doit :

• offrir au grand public des programmes d’information destinés à lui faire mieux comprendre la partie I de la LPRPDE qui traite de la protection des renseignements personnels dans le secteur privé;
• faire des recherches liées à la protection des renseignements personnels, notamment celles que lui commande le ministre de l’Industrie, et en publier les résultats;
• encourage les organisations à élaborer des politiques détaillées, notamment des codes de pratiques, en vue de se conformer aux articles 5 à 10;
• prend toute autre mesure indiquée pour la promotion de l’objet de la partie I de la Loi.

En 2005, le Commissariat a pris plusieurs mesures générales pour mieux comprendre les points de vue des Canadiennes et des Canadiens sur les questions de protection de la vie privée, informer la population et la sensibiliser à la protection de la vie privée. De façon plus particulière, le Commissariat a travaillé à aider les organisations à comprendre leurs responsabilités, et les personnes, leurs droits, conformément à la LPRPDE. À cette fin, le Commissariat a notamment effectué des recherches sur l’opinion publique, organisé des activités de relations avec les médias, prononcé des discours, participé à des conférences et à des événements spéciaux, produit et diffusé des publications et, enfin, publié de l’information dans son site Web.

Recherche sur l’opinion publique

Cette année, le Commissariat a chargé la firme EKOS Research Associates de réaliser une étude sur l’opinion publique afin de mieux connaître les points de vue des Canadiennes et des Canadiens sur d’importantes questions relatives à la protection de la vie privée.

L’étude a révélé que la population canadienne est en faveur de lois vigoureuses et sensibles en matière de protection des renseignements personnels pour les secteurs privé et public. Environ 70 % des personnes interrogées estiment que la vie privée et la protection de leurs renseignements personnels se sont grandement dégradées et, à leur sens, la protection de la vie privée figure parmi les enjeux les plus importants auxquels le pays est confronté. Il existe néanmoins un décalage entre l’importance qu’on semble accorder à la protection de la vie privée et aux lois connexes, et la mesure dans laquelle les gens ont de véritables connaissances sur ces questions. Une personne sur cinq seulement disait saisir « clairement » ce que sont les lois sur la protection de la vie privée; aussi reste-t-il beaucoup de travail à faire pour informer les gens.

L’étude a également révélé que la population est extrêmement préoccupée par la question de l’échange transfrontalier des renseignements personnels et qu’elle souhaite vivement qu’il faille obtenir le consentement des personnes concernées avant que leurs renseignements puissent circuler. Environ 90 % des personnes interrogées ont affirmé qu’elles voulaient non seulement être informées de la circulation de leurs renseignements personnels, mais aussi que les gouvernements et le secteur privé soient tenus d’obtenir leur consentement avant de procéder à ce type d’activité. Depuis, le gouvernement a élaboré des lignes directrices de façon à protéger les renseignements personnels qu’il détient lorsqu’il a recours à l’impartition. Il s’agit d’un pas dans la bonne direction.

Une majorité importante des personnes interrogées disait croire que la vie privée n’était pas réellement protégée puisque la technologie actuelle offrait au gouvernement des moyens efficaces et (trop) faciles de faire le suivi des personnes. Environ trois personnes sur dix étaient favorables à l’idée que leurs habitudes de consommation soient suivies par des entreprises en échange de rabais sur des produits et des services, mais la vaste majorité souhaitait toutefois être avisée de l’incidence de tout achat de produit ou de service sur leurs renseignements personnels.

Discours et événements spéciaux

Les conférences, les réunions et autres événements spéciaux sont pour le Commissariat des occasions privilégiées de s’adresser directement au grand public et de contribuer de façon importante à la protection des renseignements personnels au Canada et à l’étranger.

Le Commissariat tient des conférences sur la protection de la vie privée dans ses locaux, à raison d’une fois par mois environ, avec des conférenciers experts de la protection de la vie privée provenant de différents horizons. Ces événements sont une occasion de réunir des invités du gouvernement, du milieu universitaire ou autre, ainsi que nos employés.

En 2005, des représentants du Commissariat ont fait plus de 50 présentations, dont plusieurs sur la LPRPDE. Par exemples, dans les Territoires du Nord-Ouest, nous avons donné des orientations sur l’application de la LPRPDE à l’industrie du tourisme; nous nous sommes rendus à Toronto pour expliquer l’importance des normes de protection de la vie privée à des organisations œuvrant dans le secteur de la comptabilité réunies pour un événement; lors d’une conférence à Banff sur l’industrie technologique, nous avons également parlé de l’importance des normes de protection de la vie privée.

La commissaire à la protection de la vie privée et d’autres représentants ont aussi participé à un certain nombre de réunions et de conférences internationales. Il importe que nous participions à ces événements afin de communiquer à l’étranger la position canadienne sur les enjeux relatifs à la protection de la vie privée ainsi que de défendre les intérêts du Canada relativement à l’adoption de solides normes internationales de protection de la vie privée, de façon à ce que les renseignements personnels de la population canadienne qui sont traités à l’extérieur du pays ne soient pas mis en péril en raison de l’absence de normes efficaces. À cette fin, le Commissariat a participé à des conférences internationales sur la protection des données ainsi qu’à des réunions de la Coopération économique de la zone Asie-Pacifique (APEC) et de l’Organisation de coopération et de développement économiques (OCDE). Notre site Web contient certaines des dernières résolutions adoptées par les commissaires à la protection des données et de la vie privée lors de la conférence internationale qui s’est déroulée à Montreux (Suisse) en 2005. Cette conférence annuelle est importante pour l’adoption d’approches communes et pour l’avancement du débat sur les défis mondiaux relatifs à la protection de la vie privée. En 2007, le Commissariat aura l’honneur d’être l’hôte de la prochaine conférence internationale, qui se tiendra à Montréal.

Publications

Chaque année, le Commissariat produit des milliers d’exemplaires de ses publications et les diffuse auprès de personnes et d’organisations qui souhaitent s’informer sur la protection de la vie privée. Les Canadiennes et les Canadiens consultent de plus en plus ces documents dans notre site Web. Parmi ces documents figurent les rapports annuels, des guides sur la LPRPDE à l’intention des organisations et des personnes, des fiches d’information ainsi que les lois elles-mêmes, soit la LPRPDE et la Loi sur la protection des renseignements personnels.

En 2005, nous avons publié un nouveau document d’information intitulé Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, qui fait l’examen et le résumé de l’expérience du Québec de sa loi sur la protection des renseignements personnels dans le secteur privé entrée en vigueur en 1994.

Le Québec possède plus de dix ans d’expérience dans l’interprétation et l’application de sa loi, et ce, dans de nombreux secteurs et de multiples situations. Il jouit aujourd’hui d’une riche jurisprudence dont peuvent aussi s’inspirer les autres juridictions responsables d’assurer la protection des renseignements personnels dans le secteur privé. Il semble que cette publication ait été extrêmement utile pour l’interprétation de la LPRPDE et d’autres lois similaires.

Site Web

Les consultations du site Web du Commissariat ont augmenté de façon importante et régulière au cours des dernières années. Comme pour bien d’autres organisations, notre site Web est devenu un outil clé pour la communication d’information à un large public. Nous sommes heureux d’annoncer qu’en 2005, près d’un million de personnes ont visité notre site, ce qui représente un jalon important pour le Commissariat. Nous versons de façon périodique de nouveaux documents dans notre site, comme des discours, des fiches d’information, des communiqués, des liens utiles et des conclusions d’enquêtes réalisées en vertu de la LPRPDE. Ces documents donnent de l’information concrète sur l’application de la Loi dans différentes situations.

Bien que les communications et la sensibilisation du grand public constituent des volets importants de notre mandat, le manque de ressources humaines et financières nous impose certaines restrictions. En effet, au lieu de prévoir les enjeux et d’élaborer des stratégies conséquentes de sensibilisation du grand public, nous avons dû réagir aux enjeux au fur et à mesure qu’ils se sont présentés. Aussi, devrions-nous obtenir une augmentation de fonds afin d’entreprendre des initiatives de sensibilisation du grand public beaucoup plus vastes et de mettre en œuvre une stratégie exhaustive et proactive de communication et de rayonnement.

Gestion intégrée

En 2005, la grande priorité de la Direction de la gestion intégrée a été de finaliser son analyse de rentabilisation afin d’obtenir un financement stable et à long terme. En deuxième lieu, la Direction souhaitait renforcer sa capacité de gestion des ressources humaines.

Planification et présentation de rapports

Parmi les éléments essentiels du renouveau organisationnel du Commissariat figure un processus stratégique de planification, de présentation de rapports et de contrôle. L’année 2005 a marqué la deuxième année du nouveau processus. Le plan stratégique élaboré au début de 2005 a constitué notre feuille de route pour les douze mois qui ont suivi. Nous avons également examiné et modifié nos plans et budgets tout au long de l’année. Pour faciliter la production de rapports, nous avons poursuivi notre travail sur le cadre de gestion du rendement. Notre système de rapports sur le rendement mensuel est en place depuis maintenant 18 mois; il s’avère un outil de gestion essentiel nous permettant d’établir si nos résultats correspondent aux objectifs du Commissariat.

Ressources humaines

Nous travaillons de façon continue à une meilleure qualité du milieu de travail au Commissariat et à perfectionner nos activités. Des améliorations importantes ont ainsi été apportées aux politiques et aux pratiques de gestion des ressources humaines.

Nous avons mis en œuvre plusieurs politiques de ressources humaines en consultation avec les syndicats et les organismes centraux et conformément aux exigences de la nouvelle Loi sur l’emploi dans la fonction publique. Ces politiques nous permettront de poursuivre notre travail en nous appuyant sur nos réussites de l’année dernière et de jeter de nouveaux jalons pour le renouvellement du Commissariat. Un outil de délégation pour la gestion des ressources humaines a été élaboré et aidera les gestionnaires à composer avec les enjeux liés aux ressources humaines. Le nouveau plan stratégique des ressources humaines, la stratégie de dotation et le nouveau plan d’action pour l’équité en emploi permettront au Commissariat de réaliser son mandat et de veiller au recrutement d’employés hautement qualifiés formant un effectif diversifié et représentatif. Conformément à l’engagement du Commissariat qui vise à accroître la transparence du processus de dotation, un bulletin des employés est maintenant distribué de façon mensuelle à tout le personnel.

Nous avons grandement fait avancer l’apprentissage organisationnel; nous avons entre autres choses élaboré une stratégie d’apprentissage conjointement avec l’École de la fonction publique du Canada (ÉFPC), des séances de formation et d’information sur la dotation axée sur les valeurs, des séances de formation linguistique, des évaluations du rendement des employés et des séances de sensibilisation au harcèlement en milieu de travail, et nous avons mis en place une gestion du rendement. Lors des réunions trimestrielles destinées à tout le personnel et à la haute direction, nous avons présenté des séances d’information sur la Loi sur la modernisation de la fonction publique et la Loi sur l’emploi dans la fonction publique. Le programme et la stratégie d’apprentissage de l’ÉFPC permettent aux employés d’accroître leur savoir-faire et d’acquérir les nouvelles compétences nécessaires à leur travail, ce qui, du même souffle, permet aux employés d’assumer de nouvelles fonctions et responsabilités. La stratégie d’apprentissage a été modifiée afin qu’elle corresponde aux exigences de formation entraînées par la nouvelle Loi sur l’emploi dans la fonction publique.

De concert avec la Commission de la fonction publique et l’Agence de gestion des ressources humaines de la fonction publique du Canada, nous poursuivons notre travail en vue de répondre aux recommandations formulées dans leurs rapports de vérification, ce qui comprend la prise de mesures visant à redonner au Commissariat ses pleins pouvoirs de délégation.

Finances et administration

Le Bureau du vérificateur général du Canada a émis une opinion favorable après avoir vérifié les états financiers de 2004-2005 du Commissariat, tout comme pour les états financiers de 2003-2004. Ces conclusions révèlent très clairement que le Commissariat a avancé dans la voie du renouveau organisationnel. Le Commissariat s’est appuyé sur ses réussites et a mis en place des cycles de planification et d’examen et a simplifié et amélioré ses pratiques et ses politiques de gestion financière.

Gestion de l’information et technologie de l’information (GI/TI)

La Division de la GI/TI a abattu beaucoup de travail au cours de la dernière année. Nous avons renouvelé l’infrastructure du serveur et augmenté la capacité de stockage de données de façon à rendre possible le balayage de documents. Notre projet de gestion de l’information a beaucoup progressé. Nos systèmes de gestion des dossiers et de suivi de la correspondance ont été mis à niveau. Nos systèmes financiers – le Système de gestion des salaires et FreeBalance – ont également été mis à niveau, tout comme le serveur de FreeBalance. Cinq nouveaux systèmes de suivi ont été mis sur pied pour la Direction de la vérification et de la revue afin que celle-ci puisse effectuer le suivi des dossiers de vérification. Nous avons finalisé le plan d’action de gestion en vue de la conformité aux normes sur la technologie de l’information, et nous poursuivons notre travail en vue de respecter le délai de décembre 2006.

Besoins en ressources

Tel qu’établi plus tôt dans ce rapport, le Commissariat a examiné l’ensemble de ses processus opérationnels. Par suite de cet examen, nous avons demandé une augmentation de plus de 50 % de nos ressources. Nous planifions sur la base d’un budget d’environ 18 millions de dollars, d’une équipe de 140 équivalents temps plein et d’une distribution révisée des nouvelles ressources de façon à permettre au Commissariat d’être proactif.

Information financière

Dans de précédents rapports annuels du Commissariat, nous avons présenté des tableaux financiers sur nos dépenses. Le cadre financier global encadrant les activités du Commissariat est établi selon l’année financière gouvernementale et non pas selon l’année civile. Pour la LPRPDE, les rapports sont produits par année civile, tandis que pour la Loi sur la protection des renseignements personnels, les rapports sont produits par année financière. Pour éviter toute confusion, nous n’incluons pas les tableaux financiers du Commissariat à ce rapport; nous les présentons dans nos rapports sur les plans et les priorités ainsi que dans nos rapports ministériels sur le rendement. Pour en savoir davantage sur l’aspect financier, prière de consulter notre site Web, à l’adresse suivante : www.priv.gc.ca.