Rapport annuels au Parlement concernant la Loi sur la protection des renseignements personnels 2007-2008

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario)
K1A 1H3

Téléphone : 613-995-8210, 1-800-282-1376
Téléc. : 613-947-6850
ATS 613-992-9190

© Ministre des Travaux publics et des Services gouvernementaux Canada 2008
No de cat. : IP50-2008
ISBN : 978-0-662-05790-1

---

Décembre 2008

L’honorable Noël A. Kinsella, sénateur
Président
Le Sénat
Ottawa (Ontario)  K1A 0A4

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2007 au 31 mars 2008 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Décembre 2008

L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario)  K1A 0A6

Monsieur,

J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1^er avril 2007 au 31 mars 2008 conformément à la Loi sur la protection des renseignements personnels.

Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.

La commissaire à  la protection de la vie privée du Canada,

---

Message de la commissaire

Le Commissariat à la protection de la vie privée du Canada a été mis sur pied il y a 25 ans.

Le premier commissaire à la protection de la vie privée du Canada, John Grace, a résumé le sens profond de son nouveau mandat de protection de la vie privée des Canadiennes et des Canadiens dans son premier rapport annuel :

Les sociétés qui traitent la vie privée avec mépris et utilisent les renseignements personnels comme des produits de peu de valeur auront tôt ou tard les mêmes attitudes à l’égard de leurs citoyens. Par conséquent, la vie privée n’est pas simplement une ressource humaine précieuse et souvent irremplaçable; le respect de la vie privée est la reconnaissance du respect de la dignité humaine et de l’individualité de l’être humain.

La source d’une préoccupation à l’égard de la vie privée est un respect inné de la personne humaine. La vie privée est la dernière protection de chaque individu. C’est pourquoi la revendication du droit à la vie privée représente bien davantage qu’un appel à la tranquillité ou qu’une obsession à la mode.

Un quart de siècle plus tard, ces mots demeurent plus pertinents que jamais. La vie privée reste une valeur profonde, mais elle est aussi de plus en plus fragile.

Dans le premier rapport annuel, on mentionnait déjà ceci : « il est banal de dire que la vie privée est menacée comme elle ne l’a jamais été dans l’histoire. [?] La convergence de techniques nouvelles et de revendications toujours plus insistantes de l’État en vue de savoir ou d’être efficace ou les deux a modifié la nature quantitative et qualitative du problème ».

Et depuis, la puissance des ordinateurs a augmenté de façon exponentielle.

Tout comme l’avidité de l’État pour les renseignements personnels des citoyens. Au Canada comme ailleurs, les motifs de sûreté et de sécurité nationale ont été invoqués pour justifier une phénoménale augmentation de la quantité de renseignements personnels que recueillent, analysent et partagent les gouvernements.

Ce rapport annuel 2007-2008 sur la loi sur la protection des renseignements personnels qui s’applique au secteur public canadien met une fois de plus en relief la combinaison explosive de l’intérêt de l’État pour les renseignements personnels et des avancées technologiques qui permettent de recueillir et d’exploiter ces données à grande échelle. (Notre travail en ce qui concerne les organisations du secteur privé est décrit dans nos rapports annuels sur la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE.)

Ce qui menace cette valeur fragile aujourd’hui

Cette année, par exemple, le Commissariat, avec ses homologues provinciaux et territoriaux, a sonné l’alarme concernant le Programme fédéral de protection des passagers – aussi connu sous le nom de liste des personnes interdites de vol – et l’utilisation secrète de renseignements personnels pour déterminer qui peut monter à bord d’un avion. Le programme soulève de grandes questions quant au droit à la vie privée et à d’autres droits comme la liberté de circulation et d’établissement, l’accès aux renseignements personnels et l’application régulière de la loi, et rien ne prouve encore l’efficacité de telles listes.

Nous avons également soulevé les risques potentiels pour la vie privée et la sécurité que pose le permis de conduire amélioré comme solution de rechange au passeport canadien.

Le Commissariat, tout comme ses homologues provinciaux et territoriaux, se préoccupe des renseignements personnels des conducteurs inscrits qui passent la frontière, vu le risque que les étiquettes d’identification par radiofréquence (IRF) des permis permettent la localisation subreptice des personnes. Nous nous inquiétons également de notre incapacité, dans la pratique, de surveiller comment les autorités des États-Unis reçoivent et utilisent ces renseignements.

Les initiatives comme la liste des personnes interdites de vol et le permis de conduire amélioré procèdent de bonnes intentions. L’une vise la prévention d’incidents terroristes à bord des avions, l’autre consiste en une pièce d’identité de remplacement pour traverser la frontière Canada-États-Unis.

Nous ne prétendons pas que l’État est mal intentionné ou qu’il veut faire intrusion dans la vie privée de ses citoyens, et ce, même lorsqu’il crée des programmes qui mènent à une surveillance plus étroite des Canadiennes et des Canadiens.

Cependant, il faudra prendre davantage conscience que notre droit à la vie privée est fragile aux mains de l’État. Ce droit vacille chaque fois que nous troquons le personnel et le privé contre la promesse d’une plus grande sécurité, d’une meilleure efficacité ou d’un service plus rapide.

Il faudra également reconnaître davantage le fait que chaque promesse bien intentionnée s’accompagne d’une plus grande érosion de la vie privée, d’un risque accru pour la sécurité des données, d’une restriction de la liberté intellectuelle et d’une perte d’autonomie.

La dystopie orwellienne était fondée sur une société totalitaire. Dans notre démocratie, il semble que ce soient nos bonnes intentions qui nous poussent vers une société de surveillance.

Favoriser le respect du droit à la vie privée

Le droit à la vie privée, à l’instar des autres libertés, n’est pas un droit absolu. Il est conditionnel, limité par les autres droits que nous avons reconnus dans nos lois. Certaines situations commandent que la protection de la vie privée cède la place à des intérêts supérieurs comme la santé publique, la protection du consommateur ou la sécurité nationale.

Cependant, ce sacrifice ne devrait nous être demandé que lorsqu’il est évident que le résultat promis – comme des transports aériens plus sécuritaires – sera effectivement atteint et qu’il n’existe pas d’options moins envahissantes pour y arriver.

L’État doit prendre en compte les facteurs suivants : la nécessité l’emporte-t-elle nettement sur la perte de vie privée? La mesure proposée est-elle susceptible d’être efficace pour atteindre l’objectif? L’intrusion dans la vie privée est-elle proportionnelle au bénéfice attendu? Existe-t-il un moyen moins envahissant d’arriver aux mêmes fins?

Malheureusement, les initiatives fédérales récentes ne passent pas toujours ce test.

Les technologies évoluent sans que l’État ne donne de signe de reconnaissance que la collecte et l’analyse de tonnes de renseignements personnels – presque tous des renseignements de citoyens ordinaires – ne sont peut-être pas le moyen le plus efficace de protéger les citoyens.

Depuis la création du Commissariat à la protection de la vie privée, les menaces pour la vie privée se sont multipliées, avec les bases de données qui grossissent sans arrêt, le réseautage informatique, le profilage des consommateurs et les questions de sécurité nationale. La liste des menaces est impressionnante.

Je ne peux qu’imaginer les défis qu’un commissaire à la protection de la vie privée aura à relever dans à peine 15 ans avec l’omniprésence de l’informatique, des appareils de poche, des nanotechnologies et de techniques de surveillance plus puissantes encore.

Malgré tous ces problèmes, nos efforts pour protéger les renseignements personnels dans le secteur public ne sont pas aussi efficaces qu’ils le devraient : la loi en matière de protection des renseignements personnels régissant les programmes fédéraux est désespérément dépassée.

Réforme de la Loi sur la protection des renseignements personnels

La Loi sur la protection des renseignements personnels (LPRP) doit être remaniée.

Au printemps 2008, nos espoirs d’une meilleure protection de la vie privée pour les Canadiennes et les Canadiens ont été ravivés par le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, qui a annoncé un examen de la LPRP.

Après cette annonce, notre stratégie a consisté à soumettre au Comité des propositions ayant de fortes chances d’être adoptées assez rapidement. Nous avons proposé 10 modifications rapides – des suggestions simples et directes pour améliorer la Loi. Des experts de l’ensemble du Canada, y compris des membres de notre Comité consultatif externe, ont témoigné en faveur de cette nécessaire réforme.

Les modifications permettront d’améliorer sensiblement la protection des renseignements personnels, mais n’élimineront aucunement la nécessité d’un examen exhaustif et d’un remaniement en profondeur.

Nous attendons les recommandations du Comité, en espérant qu’elles contiendront de bonnes nouvelles sur la réforme législative à signaler dans le rapport du prochain exercice.

Signaux d’alarme

L’importance d’adopter de solides mesures pour protéger les renseignements personnels détenus par les gouvernements – et le risque potentiel que courent les citoyens en l’absence de mesures de protection – a été illustrée clairement à l’occasion d’une atteinte grave à la sécurité des données survenue au Royaume-Uni à la fin de 2007.

Une erreur administrative (l’envoi de deux CD non chiffrés par messagerie interne) a compromis la sécurité des renseignements personnels de 25 millions de personnes.

Une sévère législation sur la protection des renseignements personnels peut contribuer à prévenir ces erreurs simples, mais catastrophiques, qui font courir à la population de sérieux risques de vol d’identité ou autres préjudices.

Dans ce rapport, nous nous concentrons sur des lacunes tout aussi importantes dans la façon dont certaines institutions fédérales canadiennes traitent les renseignements personnels des citoyens qu’elles sont censées servir.

Des vérifications faites par le Commissariat ont mis en lumière de graves problèmes dans les pratiques de protection des renseignements personnels de trois organisations qui conservent une grande quantité de renseignements personnels de nature hautement délicate : la Gendarmerie royale du Canada (GRC), Passeport Canada et le ministère des Affaires étrangères et du Commerce international (MAECI).

Vérification de la GRC

Les problèmes liés à la protection des renseignements personnels que nous avons découverts en vérifiant les fichiers inconsultables de la GRC – conçus pour soustraire à l’accès du public les dossiers les plus confidentiels qui concernent la sécurité nationale et les renseignements criminels – étaient suffisamment graves pour nous inciter à utiliser nos pouvoirs pour présenter un rapport spécial au Parlement, une première depuis la création du Commissariat.

La vérification a permis de constater que des dizaines de milliers de dossiers conservés dans les fichiers inconsultables de la GRC n’auraient pas dû s’y trouver, ce qui a soulevé des questions sur la transparence du gouvernement et son obligation de rendre des comptes. Les Canadiennes et les Canadiens devraient pouvoir avoir accès à leurs renseignements personnels, à moins que leur communication ne menace la sécurité nationale, les affaires internationales ou des enquêtes conformes à la loi.

Les répercussions d’une si piètre gestion des renseignements sont potentiellement graves. Les personnes citées dans un fichier inconsultable risquent de subir de sérieux préjudices.

Vérification de Passeport Canada

Dans ce rapport, nous publions les conclusions d’une vérification qui a permis de relever de graves faiblesses dans les pratiques et les procédures de protection des renseignements personnels reliées aux services de passeports canadiens.

La vérification a permis de découvrir une inquiétante série de problèmes dans la manière dont Passeport Canada et le MAECI traient les renseignements personnels. Ces problèmes pourraient représenter un risque pour la vie privée des personnes qui demandent un passeport.

Formation des fonctionnaires

Notre vérification à Passeport Canada a mis au jour le fait que certains des employés qui traitent les demandes ne comprenaient pas clairement leur obligation de protéger la vie privée des personnes.

La formation est essentielle pour s’assurer que tous les fonctionnaires comprennent les importantes responsabilités que leur imposent la LPRP et les directives connexes du Secrétariat du Conseil du Trésor. La formation sur la protection des renseignements personnels doit être obligatoire pour tous les fonctionnaires qui traitent de grandes quantités de renseignements personnels.

Mesures internationales

Le Commissariat s’efforce également – par nécessité – de se tourner vers l’étranger pour trouver des solutions qui amélioreront la protection des renseignements personnels des Canadiennes et des Canadiens.

La circulation transfrontalière des données et Internet ont fait de la protection des renseignements personnels un enjeu mondial. Étant donné la vitesse à laquelle les données circulent à l’échelle de la planète, de solides mesures internationales doivent garantir la protection de la vie privée des Canadiennes et Canadiens.

La protection des renseignements personnels ne peut plus se faire de manière cloisonnée dans chaque pays; elle ne peut se faire qu’en traitant collectivement les enjeux liés à la vie privée et à la sécurité.

La situation du Canada est idéale pour contribuer à cet effort. Avec les années, nous avons développé un mode de protection des données souple et collaboratif dans le contexte mondial. Les traditionnels liens étroits avec les États-Unis et notre rôle à titre de membre de la Coopération économique de la zone Asie-Pacifique (APEC) et de l’Organisation de coopération et de développement économiques (OCDE) placent le Canada dans une excellente position stratégique pour faciliter la coopération entre les pays.

J’ai eu l’honneur de travailler avec le Groupe de travail de l’OCDE sur la sécurité de l’information et la vie privée, qui fait un travail crucial pour garantir une protection suffisante de l’ensemble des données qui circulent. La Recommandation de l’OCDE relative à la coopération transfrontière dans l’application des législations protégeant la vie privée adoptée l’an dernier était un pas en avant, mais il reste encore beaucoup à faire.

Nous avons également participé aux travaux de l’APEC, c’est-à-dire à la mise en œuvre du cadre de protection de la vie privée de l’APEC.

En septembre, nous avons accueilli à Montréal des défenseurs et des experts de la protection de la vie privée de partout dans le monde à l’occasion de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée, que nous nous étions engagés en 2002 à tenir. Cette conférence a été une excellente occasion de discuter des préoccupations mondiales en ce qui a trait à la protection de la vie privée ainsi que des solutions. Les commissaires ont résolu d’accroître la coopération et de collaborer à la mise sur pied de normes internationales et universelles dans le domaine des technologies de l’information en ce qui a trait à la protection de la vie privée.

Nous poursuivrons nos efforts pour encourager l’élaboration de normes internationales qui profiteront à la population du monde entier.

Départ d’un commissaire adjoint

Pour terminer, sur une note un peu plus personnelle, le Commissariat dit au revoir à Raymond D’Aoust, commissaire adjoint responsable de la LPRP.

Raymond est arrivé au CPVP à un moment très difficile de l’histoire du Commissariat alors qu’un commissaire et une poignée de hauts fonctionnaires venaient de démissionner en plein scandale public.

Raymond avait les qualités personnelles idéales pour remonter le moral des employés et résoudre une crise organisationnelle, soit la gentillesse, la sensibilité et une passion pour les gens. Il a encouragé l’adoption d’une approche équilibrée en ce qui concerne le travail et la vie personnelle, et a même organisé la tenue de cours de yoga le midi dans la salle de conférence du Commissariat.

Au cours de sa longue carrière vouée au service public, Raymond a acquis une grande expérience dans des domaines comme l’évaluation et la révision des programmes, la consultation publique, la planification stratégique, la planification des affaires ainsi que la gestion de la qualité. Il s’est servi de ce savoir pour apporter une contribution majeure au renouvellement institutionnel du CPVP.

Grâce à sa remarquable capacité d’analyse, Raymond pouvait toujours repérer avec intelligence les éléments essentiels d’une situation, puis en faire une évaluation juste. Homme de principe et professionnel accompli, Raymond fournissait des efforts constants et faisait preuve d’un sens de la diplomatie à la fois ferme et efficace, qualités à la base de ses nombreux succès.

Raymond était également tout dévoué à la protection du droit à la vie privée et son travail a été motivé par une profonde compréhension de ce que la tâche du Commissariat signifie pour chaque citoyen. Il a été à l’avant-plan et au centre de nombreux grands dossiers, y compris la protection de l’ADN, les dossiers de santé électroniques, les permis de conduire améliorés et la liste des personnes interdites de vol, pour n’en nommer que quelques-uns. Je dois également le féliciter pour son soutien exceptionnel à la réforme de la LPRP. Il a mené à bien de nombreuses études sur les politiques gouvernementales et a contribué à la mise sur pied de l’Association francophone des autorités de protection des données personnelles.

Le Commissariat à la protection de la vie privée a grandement bénéficié de son travail et nous sommes heureux qu’il continue de travailler avec nous à titre de conseiller spécial des commissaires jusqu’à sa retraite.

Un très grand merci Raymond.

Une équipe solide

J’aimerais aussi remercier les autres membres de notre merveilleuse équipe pour leur travail dévoué en 2007-2008. Comme en fait foi ce rapport, les problèmes sur lesquels nous nous penchons chaque jour sont variés, complexes et difficiles. Cette année, nous avons eu la chance d’avoir pu attirer dans nos rangs de nouveaux experts en protection de la vie privée exceptionnellement talentueux.

J’adresse un remerciement tout particulier à ceux qui travaillent si fort aux activités liées à la réforme de la LPRP, à la protection internationale des données et à la réorganisation du processus d’enquête, qui sont toutes des activités cruciales pour s’assurer que le CPVP demeurera longtemps un gardien fort et efficace du droit à la vie privée des Canadiennes et Canadiens.

Jennifer Stoddart
Commissaire à la protection de la vie privée du Canada

Principales réalisations en 2007-2008

En vertu de la Loi sur la protection des renseignements personnels, le Commissariat à la protection de la vie privée du Canada (CPVP) sert trois principaux groupes de clients : le Parlement, les ministères et organismes fédéraux et la population canadienne.

Le texte qui suit décrit quelques-unes de nos principales réalisations en 2007-2008.

Soutien proactif au Parlement

• Présentation du premier rapport spécial de la commissaire à la protection de la vie privée au Parlement décrivant les conclusions d’une vérification des fichiers inconsultables de la GRC.
• Préparation d’un mémoire et comparution devant la Commission d’enquête relative aux mesures d’investigation prises à la suite de l’attentat à la bombe commis contre le vol 182 d’Air India.
• Six comparutions devant des comités parlementaires sur des questions comme le vol d’identité et la Loi électorale du Canada.
• Collaboration avec le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique sur l’examen de la LPRPDE prévu par la loi; réponse à une consultation d’Industrie Canada sur l’examen de la LPRPDE.
• Travail conjoint avec des homologues provinciaux et territoriaux pour l’adoption de résolutions conjointes sur les risques pour la protection des renseignements personnels que pose le permis de conduire amélioré ainsi que sur la nécessité d’apporter des modifications en profondeur au programme d’interdiction de vol.

Prestation de services à la population canadienne

• Réponse à 4 258 demandes de renseignements liées à la LPRP et à 2 367 demandes de renseignements généraux.
• Enquête sur des centaines de plaintes concernant la vie privée dans les secteurs public et privé.
• Création d’un blogue pour stimuler une discussion sur des questions liées à la protection de la vie privée avec les Canadiennes et les Canadiens.
• Amorce d’une campagne de marketing social de sensibilisation à la protection de la vie privée des enfants en ligne qui incite à passer à l’action.
• Participation à des affaires judiciaires afin de développer une jurisprudence qui tienne compte de la protection de la vie privée au Canada.

Soutien aux institutions fédérales

• Examen des politiques et des initiatives gouvernementales qui touchent la législation sur la protection des renseignements personnels et formulation de commentaires à des institutions fédérales ainsi qu’à des parlementaires.
• Examen de 93 évaluations des facteurs relatifs à la vie privée.

Initiatives internationales

• Tenue de la 29^e Conférence internationale des commissaires à la protection des données et de la vie privée, tel que promis en 2002.
• Collaboration avec des homologues internationaux pour l’adoption de résolutions sur la nécessité de normes universelles de protection des données sur les passagers, d’une plus grande coopération internationale sur des questions de protection des renseignements personnels; et d’une participation active dans l’élaboration de normes internationales et universelles en matière de vie privée dans le domaine des technologies de l’information.
• Présidence d’un groupe de l’OCDE chargé d’améliorer la coopération entre les autorités de protection des données et d’autres organismes chargés de l’application du droit à la vie privée partout dans le monde. L’OCDE a adopté une recommandation sur la coopération transfrontalière fondée sur le travail du groupe bénévole.
• Participation aux efforts d’un groupe de l’APEC sur la confidentialité des données pour mettre en œuvre un nouveau cadre de protection de la vie privée pour les membres de l’APEC.
• Collaboration avec le Conseil canadien des normes à l’élaboration de normes internationales en matière de protection de la vie privée.
• Participation aux activités de l’Organisation internationale de normalisation (ISO) et participation à un important groupe de travail ISO dont la tâche est d’élaborer et de mettre à jour des normes et des lignes directrices sur la sécurité de la gestion de l’identité, de la biométrie et de la protection des données personnelles.
• Participation aux activités de l’International Working Group on Data Protection in Telecommunications, qui s’est concentré dernièrement sur la protection de la vie privée sur Internet.
• Rôle de premier plan dans la création d’une association internationale d’autorités de protection des données et d’agences chargées de l’application de la loi dans des États francophones.
• Nouvellement membre du forum des autorités chargées de la protection de la vie privée de la zone Asie-Pacifique.

Promotion de la recherche et des débats

• Appui financier accordé à 22 projets de recherche sur les nouveaux enjeux en matière de protection de la vie privée.
• Publication d’un document de consultation pour obtenir des commentaires sur l’incidence de l’utilisation des technologies d’identification par radiofréquence en milieu de travail.
• Publication d’un document de travail sur l’identité : son rôle dans la société et les enjeux relatifs à la vie privée qui y sont liés.

2007-2008 : La protection de la vie privée en chiffres

Nombre mensuel moyen de demandes de renseignements liées à la LPRP	354
Nombre mensuel moyen de plaintes déposées en vertu de la LPRP	63
Nombre mensuel moyen d’enquêtes fermées	73
Nombre d’enquêtes fermées durant l’année	880
Évaluations des facteurs relatifs à la vie privée examinées	78
Comparutions devant le Parlement	6
Lois/projets de loi examinés sous l’angle des répercussions sur la protection de la vie privée	19
Rapports de recherche publiés	16
Événements publics organisés	7
Visites officielles d’intervenants externes en matière de protection de la vie privée	39
Activités de recherche commandées	22
Allocutions et présentations données	86
Demandes des médias	417
Entrevues accordées	268
Communiqués diffusés	37
Nombre mensuel moyen de visites sur notre site Web	128 091
Nombre mensuel moyen de visites sur notre blogue (de septembre 2007 à mars 2008)	17 345
Décisions rendues dans le cadre du règlement de litiges aux termes de la LPRP	1

Vérification de Passeport Canada : Risques importants pour la protection de la vie privée

L’absence de mesures de protection adéquates rend les renseignements personnels des personnes qui font une demande de passeport vulnérables à une utilisation malveillante.

Une vérification du CPVP a révélé des problèmes importants dans les activités de Passeport Canada en ce qui concerne la protection des renseignements personnels et la sécurité pour les citoyens qui font une demande de passeport.

La vérification réalisée à Passeport Canada et au ministère des Affaires étrangères et du Commerce international (MAECI) a malheureusement révélé des lacunes dans toutes les étapes du processus de demande, que ce soit dans les méthodes utilisées pour la collecte et la conservation des renseignements personnels, dans la manière d’accéder à ces renseignements ou dans la façon d’en effectuer le retrait ultime.

Par exemple, les demandes de passeport et les documents à l’appui étaient conservés dans des sacs en plastique transparent sur des rayons à libre accès; des documents contenant des renseignements personnels étaient parfois jetés dans des poubelles et des bacs de recyclage ordinaires sans être déchiquetés et une partie des documents déchiquetés par une entreprise privée pouvaient facilement être reconstitués. De plus, les systèmes informatiques permettaient à beaucoup trop d’employés d’accéder à certains dossiers de passeport, et les outils de contrôle, comme les listes de contrôle et le chiffrement, étaient inexistants.

Ces failles dans la protection des données et dans la sécurité sont particulièrement inquiétantes étant donné la nature très délicate des renseignements personnels utilisés pour le traitement des demandes de passeport. Il y a un risque que ces renseignements servent à des fins malhonnêtes s’ils tombent entre de mauvaises mains.

Nous nous réjouissons de la décision de Passeport Canada et du MAECI de prendre les mesures nécessaires pour suivre nos recommandations.

Contexte

Passeport Canada a traité plus de 3,6 millions de demandes de passeport en 2006-2007. L’organisme a actuellement la charge de plus de 30 millions de dossiers de passeport. Les renseignements indiqués sur les formulaires de demande, les documents à l’appui ainsi que les passeports renferment des renseignements personnels extrêmement confidentiels.

Passeport Canada relève du MAECI, qui a le mandat de délivrer les passeports. Il donne également des conseils aux missions du MAECI qui délivrent des passeports à l’étranger.

Les missions ont délivré environ 136 000 passeports pendant l’exercice 2006-2007. Bien que ce nombre ne représente que 3,5 pour cent des passeports délivrés, le MAECI a reconnu que la prestation des services de passeport à l’étranger est exposée à un haut degré inhérent de risque.

Les détenteurs de passeport risquent de subir des conséquences telles que le vol d’identité si leurs renseignements personnels sont perdus ou volés. Il est évident que de plus solides mesures de sécurité s’imposent pour protéger ces données.

Malheureusement, même si Passeport Canada a adopté de bonnes mesures de protection des renseignements personnels et de sécurité, notre vérification a relevé des lacunes. Il existe de nombreuses possibilités de renforcement du cadre et des pratiques de gestion des renseignements personnels du programme de passeports.

Cadre de gestion de la protection de la vie privée

Passeport Canada n’a pas de responsable de la protection de la vie privée. En fait, le MAECI n’a pas délégué à Passeport Canada les pleins pouvoirs en matière de protection des renseignements. Ainsi, les responsabilités clés en ce qui a trait à la vie privée dans le cadre du programme des passeports sont éparpillées et, selon nous, n’ont pas fait l’objet d’une attention suffisante.

Si la désignation d’un responsable de la protection de la vie privée n’est pas une obligation en vertu de la loi, cette pratique est de plus en plus courante dans les ministères et organismes fédéraux qui détiennent de grandes quantités de renseignements personnels.

La présence d’un responsable de la protection de la vie privée permet de veiller à ce que les enjeux liés à la protection de la vie privée puissent être défendus par un champion lors de la prise de décisions organisationnelles, et à ce que l’organisme rende des comptes sur ses pratiques de gestion des renseignements personnels.

Questions liées à la collecte

La liste des autres préoccupations du Commissariat commence par la demande de passeport elle-même. Passeport Canada concentre de nombreux renseignements confidentiels sur un seul formulaire. Les informations liées aux cartes de crédit sont recueillies avec d’autres renseignements permettant d’établir l’identité comme le nom, l’adresse, les numéros de téléphone, la date de naissance et parfois le numéro d’assurance sociale du demandeur.

Les données financières et les autres renseignements personnels – particulièrement le numéro d’assurance sociale – sont les renseignements les plus recherchés par les voleurs d’identité.

Comme les informations sur les cartes de crédit figurent avec les autres renseignements sur la demande (physiquement et électroniquement), pratiquement n’importe quel employé qui participe au processus de délivrance des passeports peut avoir accès aux numéros de cartes de crédit même s’il n’en a pas besoin pour traiter la demande.

Accès trop élargi

Trop d’employés du MAECI sont en mesure de voir les documents de passeport complets et les renseignements personnels qu’ils contiennent.

L’accès aux renseignements personnels que contiennent les demandes de passeport n’est pas restreint de façon à ce que seuls les employés qui en ont besoin puissent les voir.

Par exemple, les fonctionnaires consulaires des missions à l’étranger – y compris le personnel embauché sur place – ont un accès informatique aux dossiers de passeport traités par les autres missions à l’étranger, et ce, même si l’accès à ces renseignements est rarement nécessaire et qu’il existe d’autres moyens de les obtenir en fonction du besoin de connaître. De plus, le personnel d’une mission dans une ville donnée peut consulter les dossiers de passeport des autres missions et vice-versa.

La vérification que nous avons effectuée nous a permis de découvrir qu’une ancienne employée de mission avait toujours accès au système de gestion des passeports même si elle avait quitté cet emploi six mois auparavant. Un employé responsable des visites protocolaires et officielles avait un droit d’accès sans réserve même si son travail n’avait rien à voir avec la délivrance des passeports. D’autres employés figuraient toujours sur la liste d’accès, mais n’avaient plus accès aux dossiers de passeport.

Passeport Canada a augmenté le niveau de sécurité des employés qui traitent les passeports au niveau « secret ». Cependant, beaucoup d’employés consulaires, y compris la plupart de ceux embauchés sur place, ont toujours un niveau de « fiabilité » de base. Dans de nombreux pays, les difficultés pour obtenir les dossiers criminels et de renseignements posent problème lorsqu’il s’agit de rehausser le niveau de sécurité du personnel non canadien embauché sur place.

Le MAECI pourrait atténuer les risques inhérents associés au personnel embauché sur place en mettant en place de meilleures restrictions d’accès et en tenant un registre des personnes qui consultent les dossiers de passeport.

Nous avons été surpris de constater que les systèmes de TI qui gèrent les dossiers de demande de passeport remplies à Passeport Canada et au MAECI n’étaient pas dotés de mesure de sécurité pour assurer le suivi des personnes qui consultent les dossiers.

L’absence de piste de vérification constitue un risque pour les renseignements personnels contenus dans le système de passeport du Canada qui pourrait mener, si rien n’est fait, à des risques pour la sécurité et à des atteintes à la protection des renseignements personnels non décelés.

Lacunes liées à la sécurité

Dans certains bureaux de Passeport Canada et certaines missions à l’étranger, les dossiers de passeport et les documents à l’appui étaient entreposés dans des sacs en plastique transparent sur des rayons à libre accès.

L’utilisation de dispositifs de stockage portables, l’absence de chiffrement des renseignements personnels entreposés ainsi que l’envoi de courriels contenant des renseignements sur les passeports à l’extérieur du MAECI et de Passeport Canada posent également des risques pour la protection des renseignements personnels.

Ni Passeport Canada ni le MAECI n’ont de politique organisationnelle restreignant l’utilisation par les employés de dispositifs de stockage portables comme les clés USB ou les téléphones cellulaires au travail. De tels dispositifs sont petits, faciles à utiliser et ils peuvent contenir une grande quantité de renseignements personnels. N’importe qui ayant accès aux systèmes d’information sur les passeports pouvait photographier, télécharger et copier incognito les renseignements personnels sur un dispositif portable.

Notre vérification ne visait pas à détecter les atteintes à la protection des données et aucune n’a été portée à notre attention pendant la vérification (à l’exception de l’incident lié au passeport en direct), mais il est évident qu’une grande confiance est accordée aux employés qui traitent les demandes de passeport, y compris au personnel embauché sur place dans les missions. Nous reconnaissons que la confiance est essentielle au processus, mais de meilleurs contrôles contribuent à renforcer la confiance et à atténuer les risques.

Nous avons aussi découvert que Passeport Canada archive les dossiers de passeport électroniques pour une période pouvant atteindre 100 ans (les raisons d’une si longue durée de conservation demeurent nébuleuses).

Les risques que la sécurité de ces renseignements personnels soit compromise sont aggravés par le fait que les données stockées dans la base de données principale de Passeport Canada et dans le système de passeport du MAECI ne sont pas chiffrées. Une autre préoccupation d’ordre technologique concerne les courriels qui contiennent des renseignements personnels envoyés hors des réseaux internes sécurisés alors qu’ils risquent de ne pas être protégés par chiffrement. Ces courriels sont vulnérables à l’interception et à un usage inapproprié par des pirates et beaucoup des employés interrogés ignoraient que les courriels pouvaient ne pas être protégés.

Le Commissariat s’inquiète également de la manière dont Passeport Canada élimine les versions papier et électronique des dossiers de passeport.

Un certain nombre de bureaux de Passeport Canada et de missions canadiennes à l’étranger jetaient les formulaires de passeport, qui contiennent des renseignements personnels comme le nom et la date de naissance du demandeur, dans des poubelles ou des bacs à recyclage ordinaires.

Dans une des installations de déchiquetage du secteur privé liée par contrat à Service Canada, nous avons découvert que même après le déchiquetage des documents, des photos de passeport demeuraient intactes et des documents pouvaient sans peine être reconstitués.

Enfin, l’aménagement des zones consulaires dans certaines missions n’offre pas suffisamment de confidentialité pour les clients. Les conversations confidentielles entre les demandeurs et les fonctionnaires peuvent être entendues par les personnes qui se trouvent dans les salles d’attente publiques.

Risques en ligne

Pendant la vérification, le CPVP a appris par les médias l’existence d’une atteinte à la sécurité du système de passeport en direct. Un Ontarien qui utilisait le système a découvert qu’il pouvait avoir accès aux renseignements confidentiels d’autres demandeurs de passeport en changeant au hasard un chiffre dans l’URL qui s’affiche en haut de chaque page de tout site Internet.

Passeport Canada a fermé le système et corrigé le problème de programmation.

L’organisme nous a fait savoir qu’à sa connaissance, l’incident était la seule atteinte du genre. Comme la personne qui a pu avoir accès aux renseignements personnels d’autres demandeurs a immédiatement signalé sa découverte à Passeport Canada, l’organisme a considéré comme minime le risque pour les renseignements des passeports des Canadiennes et des Canadiens. Passeport Canada poursuit son enquête et nous fera parvenir un rapport complet.

Passeport Canada prévoit remplacer d’ici un an le système en direct par une nouvelle méthode de chiffrement et de protection des données personnelles.

Recommandations et prochaines étapes

Le Commissariat a formulé 15 recommandations à Passeport Canada et au MAECI pour le renforcement de leur cadre de gestion de la protection des renseignements personnels dans le contexte des services liés aux passeports.

En voici quelques-unes :

• Embaucher un responsable de la protection de la vie privée à Passeport Canada.
• Faire suivre au personnel un programme de formation continue sur la protection des renseignements personnels et la sécurité.
• Mettre en place de meilleurs contrôles d’accès aux renseignements que contiennent les demandes de passeport.
• Réévaluer l’actuelle durée de conservation de ces renseignements (100 ans).
• Instaurer des mesures de sécurité de base, y compris un accès plus restreint aux espaces de traitement des passeports, la confidentialité des conversations pour les demandeurs de passeport, une réévaluation de la suffisance de l’enquête de sécurité sur les employés, des politiques sur l’utilisation des dispositifs de stockage portables et des appareils d’enregistrement comme les téléphones cellulaires, ainsi que l’utilisation plus répandue du chiffrement.

En réponse à notre rapport de vérification, Passeport Canada et le MAECI se sont déclarés en accord avec la majorité de nos recommandations.

Nous assurerons le suivi de nos recommandations auprès de Passeport Canada et du MAECI à l’aide d’une post-vérification.

Nous tenons à remercier les employés de Passeport Canada et du MAECI pour leur professionnalisme, leur coopération et leur réceptivité pendant la vérification.

Le rapport de vérification complet, y compris les réponses de la direction, se trouve sur le site Web du CPVP.

Organismes administratifs et quasi judiciaires : Équilibre entre ouverture et protection de la vie privée à l’ère d’Internet

Des plaintes déposées auprès du Commissariat font ressortir des préoccupations concernant les organismes administratifs et quasi judiciaires fédéraux qui publient des renseignements personnels de nature très délicate sur le Web.

Des renseignements très personnels sur des Canadiennes et des Canadiens qui luttent pour obtenir des prestations du gouvernement et qui participent à d’autres procédures administratives et quasi judiciaires fédérales sont publiés sur Internet, ce qui expose ces citoyens à d’énormes risques pour leur vie privée.

En 2007-2008, le Commissariat a enquêté sur 23 plaintes relatives à la communication de renseignements personnels sur Internet par sept organismes créés par le Parlement pour arbitrer des différends. (Nous avons reçu trois autres plaintes similaires en mai 2008.)

Ces organismes administratifs et quasi judiciaires traitent les questions de refus de prestations de retraite ou d’assurance-emploi, de conformité aux normes d’emploi ou à d’autres normes professionnelles, d’allégations d’infraction à la réglementation et d’irrégularités dans les processus de dotation dans la fonction publique fédérale.

Le processus d’arbitrage nécessite souvent de l’information très privée, comme la situation financière, l’état de santé, le rendement au travail et les antécédents.

Il est indéniable que la transparence du processus d’enquête est d’une importance fondamentale. Mais est-ce dans l’intérêt du public de rendre accessible sans discernement une telle quantité de renseignements personnels de nature délicate à quiconque dispose d’une connexion Internet?

Pour quelle raison une personne respectueuse des lois qui lutte pour obtenir des prestations gouvernementales devrait-elle se voir contrainte d’exposer ainsi sa vie privée?

L’impact humain

Les décisions des décideurs administratifs et quasi judiciaires sont généralement truffées de renseignements personnels que peu de personnes seraient à l’aise de partager publiquement : salaire, problèmes de santé physique ou mentale, description détaillée de différends avec leur employeur ou de prétendus actes répréhensibles au travail.

En plus des renseignements personnels légitimement nécessaires aux motifs des décisions de ces organismes, des renseignements en apparence non pertinents figurent souvent dans la décision, comme le nom des enfants, l’adresse de résidence, le lieu et la date de naissance ou la description des condamnations au criminel pour laquelle un pardon a été octroyé.

De nombreux plaignants nous ont dit avoir été déconcertés d’apprendre – généralement sans préavis – que ce genre de renseignements sur eux pouvait être lu sur Internet par leurs voisins, leurs collègues ou des employés potentiels.

Voici certains des commentaires que nous avons entendus :

« J’ai senti que mon droit à la vie privée était violé par la publication de mon nom. Cela risque de nuire à ma capacité d’obtenir un emploi, à mes affaires et à mon image. Je n’ai jamais donné mon consentement. »

« N’importe qui n’importe où dans le monde entier qui tape mon nom arrive directement sur ces informations personnelles [?] cet affichage m’expose à la critique et à la raillerie ».

« Je ne comprends absolument pas pourquoi on peut faire une chose pareille; je ne peux que conclure qu’il s’agit d’autres mesures punitives contre moi. »

Le risque d’exposer des citoyens à l’embarras, à l’humiliation ou au ridicule est grand. Une infraction ou un manque de jugement ponctuel risque de hanter une personne pendant de très nombreuses années.

Les personnes qui voient leurs renseignements personnels publiés sur Internet, surtout lorsqu’il s’agit d’information de nature financière, risquent davantage d’être victimes d’un vol d’identité. Elles risquent également de subir de la discrimination et du harcèlement et de se faire traquer. Ces renseignements risquent également d’être utilisés par des courtiers en données qui compilent des profils de personnes.

Liste des tribunaux dont la pratique consistant à publier des renseignements personnels sur Internet a conduit à des plaintes qui ont fait l’objet d’enquêtes par le CPVP en 2007-2008 :

Bureau canadien d’appel en santé et sécurité au travail Le Bureau canadien d’appel en santé et sécurité au travail, aujourd’hui connu sous le nom de Tribunal de santé et sécurité au travail Canada, est un tribunal administratif quasi judiciaire qui entend les appels des décisions rendues par des agents de santé et de sécurité ou des directives données par eux. Il relève de Ressources humaines et Développement social Canada. Les décisions rendues par ce tribunal peuvent comprendre le nom d’une personne, ses opinions et son lieu d’emploi. Comité d’arbitrage de la GRC Un comité d’arbitrage de la GRC tient des audiences disciplinaires officielles lorsqu’il s’agit du respect du Code de déontologie adopté dans le cadre de la Loi sur la Gendarmerie royale du Canada par les membres de la GRC. Les décisions comprennent des renseignements sur l’inconduite alléguée et, dans certains cas, d’autres renseignements personnels comme l’état matrimonial et des données médicales. Les décisions du comité d’arbitrage, qui contiennent les noms des personnes, sont publiées dans l’intranet de la GRC et le comité a fait connaître son intention de publier ses décisions sur Internet. Commission d’appel des pensions La Commission d’appel des pensions entend les appels qui découlent des décisions rendues par les tribunaux de révision du Régime de pensions du Canada. Une audience peut être demandée par une personne qui souhaite obtenir des prestations du Régime de pensions du Canada (RPC) ou par le ministre des Ressources humaines et du Développement social. La Commission a le pouvoir, entre autres, de déterminer si une personne est en droit de recevoir des prestations du RPC. Les décisions de la Commission dévoilent une grande quantité de renseignements personnels sensibles sur les personnes qui demandent des prestations, y compris la date de naissance, les antécédents familiaux, scolaires et professionnels, des renseignements détaillés sur la santé et des données financières. Commission de la fonction publique La Commission de la fonction publique est un tribunal quasi judiciaire qui peut mener des enquêtes et des vérifications sur toute affaire relevant de sa compétence, notamment la protection de l’intégrité du processus de dotation et la surveillance de l’impartialité politique de la fonction publique. Ses décisions peuvent contenir des renseignements sur la scolarité ainsi que sur les antécédents médicaux et professionnels d’une personne. Commission des relations de travail dans la fonction publique  La Commission des relations de travail dans la fonction publique, dont le mandat a été actualisé, est un tribunal fédéral chargé de l’administration des régimes de négociation collective et d’arbitrage des griefs dans la fonction publique fédérale. Les décisions peuvent comprendre la description du comportement et des problèmes des personnes au travail, ainsi que des mesures disciplinaires qui leur ont été imposées. Commission d’examen des plaintes concernant la police militaire La Commission d’examen des plaintes concernant la police militaire est un organisme fédéral indépendant chargé de coordonner et d’examiner les plaintes relatives à la conduite des membres de la police militaire. La Commission a le pouvoir d’examiner la manière dont le grand prévôt a traité les plaintes relatives à la conduite des membres de la police militaire, de traiter les plaintes d’ingérence présumée dans des enquêtes de la police militaire et d’effectuer ses propres enquêtes ou de tenir des audiences concernant une plainte si elle juge qu’il est dans l’intérêt du public de le faire. La Commission vérifie le contenu de toutes ces décisions dans l’optique des normes établies par la LPRP. La plupart des décisions que rend la Commission d’examen des plaintes concernant la police militaire sont publiées sur Internet en version résumée et dépersonnalisée. Lorsque les décisions ne sont pas dépersonnalisées, elles peuvent contenir une multitude de renseignements personnels sur le comportement des membres de la police militaire dans l’exercice de leurs fonctions. Décisions des juges-arbitres sur les prestations (Service Canada) La Loi sur l’assurance-emploi permet aux prestataires et à d’autres parties intéressées d’interjeter appel à un juge-arbitre d’une décision rendue en vertu de la Loi sur l’assurance-emploi. Un juge-arbitre a le pouvoir de prendre une décision sur toute question de droit ou de fait nécessaire aux fins de l’appel. Les décisions d’un juge-arbitre ont tendance à révéler des renseignements détaillés sur l’historique d’emploi des prestataires. Une décision type peut également donner des renseignements comme le lieu de résidence, l’état matrimonial et les sources de revenus d’un demandeur.

Accès à la justice

Le Commissariat est également préoccupé par le fait que l’accès à la justice risque de se détériorer si les tribunaux, les commissions et les autres décideurs administratifs continuent de publier leurs décisions sur Internet.

Le risque que des renseignements personnels soient publiés peut rendre les gens de plus en plus réticents à défendre leurs droits devant les organismes administratifs et quasi judiciaires. Les personnes qui tentent d’obtenir les prestations nécessaires pour subvenir à leurs besoins et à ceux de leur famille risquent de croire que la participation à une poursuite en justice est par nature obligatoire et qu’ils n’ont d’autre choix que d’abandonner leur droit à la vie privée.

Dans certains cas, cependant, des personnes ont refusé d’exercer leur droit de faire appel de décisions administratives qui avaient une grande incidence sur elles, car elles y voyaient un trop grand risque pour la protection de leur vie privée.

Le principe de l’audience publique

La pratique répandue des décideurs de publier sur Internet les motifs d’une décision semble reposer sur la présomption que les règles, ou l’absence de règles, qui s’appliquent aux poursuites judiciaires s’appliquent également aux poursuites administratives et quasi judiciaires.

Beaucoup d’institutions sur lesquelles nous avons fait enquête soutiennent que le principe de l’audience publique exige la publication en ligne des décisions.

Le principe de l’audience publique est un élément important de notre système juridique et il existe pour veiller à l’efficacité des règles de la preuve, encourager une prise de décision juste et transparente, promouvoir l’intégrité de l’ordre juridique et informer le public de son fonctionnement. L’exposition du processus décisionnel à l’examen public contribue à atteindre ces objectifs.

Il existe cependant une importante différence entre une cour et les institutions qui ont fait l’objet d’une enquête du Commissariat. La LPRP, qui ne s’applique pas aux cours, s’applique à plusieurs organismes administratifs et quasi judiciaires, pour lesquels elle prévoit des règles précises concernant la communication des renseignements personnels. Par l’entremise de la LPRP, on pourrait dire que le Parlement a établi des restrictions explicites quant à l’application du principe de l’audience publique pour autoriser la publication sur Internet des décisions des tribunaux administratifs régis par ses dispositions.

Trouver l’équilibre

Le respect du principe de l’audience publique est tout à fait compatible avec les obligations que la LPRP impose aux institutions gouvernementales. Il suffit de faire un effort raisonnable pour dépersonnaliser les décisions publiées en ligne en remplaçant les noms par des initiales au hasard.

Il est indéniable que le public doit avoir accès aux renseignements nécessaires de façon à maintenir la confiance dans l’intégrité des procédures du tribunal, améliorer le processus de la preuve, promouvoir la reddition de comptes et accroître l’éducation du public. Toutefois, dans la plupart des cas, ces objectifs importants peuvent être atteints sans communiquer le nom d’une personne comparaissant devant un tribunal.

L’identité des personnes qui comparaissent devant les tribunaux n’influence pas nécessairement le bien-fondé des décisions rendues par ces tribunaux. Étant donné que le principe de l’audience publique vise à soumettre les institutions gouvernementales et non la vie des personnes à l’examen du public, le CPVP a adopté le point de vue selon lequel l’intérêt du public en matière d’accès aux renseignements concernant les procédures judiciaires ne s’appliquait pas nécessairement ou manifestement aux renseignements personnels des participants.

L’avancement des valeurs qui sous-tendent le principe de l’audience publique ne sera pas entravé si, conformément aux obligations que la LPRP impose aux institutions gouvernementales, ne sont publiées que les décisions dépersonnalisées, qui ne révèlent pas l’identité des participants. En outre, les tribunaux peuvent également décider de retrancher tous les renseignements personnels qui pourraient autrement apparaître dans les motifs des décisions, auxquels peut accéder le public. Toutefois, supprimer tout simplement les identifiants directs et évidents, comme les noms, est probablement le moyen le plus efficace et efficient de se conformer à la LPRP. Cette méthode de protection de la vie privée ne présente pas de risque important pour l’indépendance des tribunaux et permet d’assurer que les faits et les questions liés à des cas personnels peuvent être débattus de manière exhaustive et transparente dans un climat d’ouverture et d’accessibilité.

Lorsqu’un intérêt d’ordre public réel et impératif de communiquer des renseignements permettant d’établir l’identité l’emporte nettement sur l’invasion de la vie privée, les institutions disposent de l’autorité nécessaire pour juger de la pertinence de communiquer des renseignements personnels de façon explicite dans leurs décisions. Par exemple, quand le public veut connaître l’identité d’une personne reconnue coupable devant une instance disciplinaire, ou qui est susceptible de représenter un danger pour le public, le tribunal peut exercer son pouvoir discrétionnaire pour communiquer des renseignements personnels au public, y compris le nom de la personne en question.

Dans le même ordre d’idées, si le Parlement ou tout autre organisme habilité à adopter des règlements a établi une loi ou un règlement qui autorise la communication de renseignements personnels, la LPRP permet la communication de renseignements personnels en vertu de cette loi ou de ce règlement. Ainsi, la LPRP reconnaît le droit des législateurs de concevoir des régimes de communication qui répondent aux mandats de certains tribunaux et aux demandes connexes du principe de l’audience publique.

Il n’existe donc pas de conflit insoluble entre les droits et intérêts protégés par le principe de l’audience publique et le respect de la LPRP.

Il est également intéressant de noter que les cours de justice reconnaissent elles aussi de plus en plus la nécessité de limiter la communication de renseignements personnels dans les jugements. Le Conseil canadien de la magistrature a publié un protocole recommandé pour l’usage de renseignements personnels dans les jugements qui reconnaît la pertinence d’omettre certains renseignements personnels dans un jugement afin de protéger la vie privée. Lorsqu’il est approprié de le faire, ces lignes directrices encouragent l’omission dans les jugements d’identificateurs personnels, de renseignements personnels très explicites et de renseignements personnels qui ont peu, voire aucune, pertinence avec les conclusions.

Limites de la Loi sur la protection des renseignements personnels

Au cours des enquêtes, nous avons découvert une absence significative de consensus entre les décideurs administratifs et quasi judiciaires relativement aux limites que la LPRP prévoit quant à la communication de renseignements personnels dans les décisions publiées sur Internet.

Les décisions de la plupart, voire de la totalité, des institutions assujetties à la LPRPcontiennent le type de renseignements personnels protégés par la loi.

La LPRP stipule que les renseignements personnels qui relèvent d’une institution fédérale peuvent être communiqués aux fins pour lesquelles ils ont été recueillis ou préparés, ou pour les usages qui sont compatibles avec ces fins.

Le CPVP a conclu que la communication électronique complète des motifs de décisions de ces organismes dans un intranet ou sur Internet ne correspond pas aux fins pour lesquelles les renseignements ont été obtenus. Les tribunaux recueillent plutôt des renseignements personnels pour rendre des décisions en se fondant sur les faits établis dans chaque affaire particulière dont ils sont saisis.

De plus, la communication systématique sur Internet des décisions administratives ou quasi judiciaires contenant des renseignements personnels permettant d’identifier les personnes n’a pas été jugée raisonnablement nécessaire pour la réalisation des mandats des institutions ayant fait l’objet d’une enquête. Il ne s’agissait pas d’une communication destinée à un usage conforme aux fins pour lesquelles les renseignements avaient été obtenus, notamment lorsque l’usage qui serait fait des renseignements personnels de nature délicate ne pouvait pas être déterminé à l’avance ni contrôlé.

En vertu de la LPRP, les limites à la communication de renseignements personnels ne concernent pas les renseignements auxquels le public a accès. Certaines des institutions sur lesquelles nous avons enquêté ont avancé qu’étant donné la nature publique d’une procédure administrative ou quasi judiciaire, les renseignements personnels présentés devant un tribunal deviennent, aux termes de la LPRP, d’ordre public.

Cependant, aucune de ces institutions n’a pu soumettre une quelconque preuve que les renseignements personnels communiqués pendant une procédure judiciaire sont accessibles au grand public. Le Commissariat a conclu que la communication de renseignements personnels pendant une audience ne suffisait pas à rendre ces renseignements d’ordre public.

La LPRPpermet aussi la communication de renseignements personnels dans le cadre d’une loi fédérale ou d’un règlement qui l’autorise.

Certaines institutions ont soutenu que la communication de renseignements personnels était permise puisque la législation pertinente ne l’interdit pas ou ne prévoit aucune mesure. Nous avons rejeté cet argument. Une loi ou un règlement doit préciser si l’intention du Parlement était de permettre la communication de renseignements personnels en dehors du régime quasi constitutionnel que crée la LPRP.Le silence de la loi sur la question ne constitue pas une autorisation légale de communiquer des renseignements personnels.

Recommandations

En ce qui concerne les enquêtes sur les plaintes fondées, le Commissariat a fait quelques recommandations aux institutions gouvernementales :

• Dépersonnaliser suffisamment les décisions futures qui seront publiées sur Internet en utilisant des initiales au hasard au lieu du nom des personnes ou en ne publiant qu’un résumé de la décision qui serait exempt de renseignements personnels permettant d’identifier les personnes.
• Respecter les lignes directrices suggérées concernant l’exercice du pouvoir discrétionnaire quant à la communication de renseignements personnels dans les affaires où une institution a l’intention de communiquer des renseignements personnels dans les versions électroniques des décisions publiées sur Internet.
• Retirer d’Internet en priorité les décisions qui sont à l’origine des plaintes déposées devant le CPVP jusqu’à ce qu’elles soient suffisamment dépersonnalisées par l’utilisation d’initiales au hasard pour être remises ensuite en ligne conformément à la LPRP.
• Limiter dans les moteurs de recherche mondiaux l’indexation par nom des décisions antérieures grâce à un « fichier d’exclusion des robots » approprié ou retirer les décisions d’Internet ou encore les dépersonnaliser suffisamment en utilisant des initiales au hasard, dans un délai raisonnable.

Réponse aux préoccupations du CPVP

Même après avoir été avisées de problèmes relatifs à la protection de la vie privée, la plupart des institutions fédérales étaient réticentes à changer leurs politiques et leurs pratiques.

En dépit de la quantité et de la gravité croissantes des menaces pour la vie privée des personnes dont les renseignements personnels sont publiés sans discernement sur Internet, quelques institutions fédérales nous ont indiqué qu’elles prévoient continuer de publier des renseignements personnels de nature délicate comme elles l’ont toujours fait.

D’autres institutions ont pris des mesures importantes, quoiqu’insuffisantes, pour améliorer la conformité à la LPRP. À la suite de nos enquêtes, des institutions ont mis en œuvre des mesures techniques pour empêcher que les principaux moteurs de recherche ne génèrent, lorsqu’une requête est effectuée, des documents qui contiennent le nom des personnes qui participent au processus décisionnel. D’autres ont convenu d’utiliser des initiales au lieu du nom complet.

Service Canada et Développement des ressources humaines Canada, quant à eux, ont consenti à mettre en œuvre toutes nos recommandations.

Le CPVP a transmis les résultats de ses enquêtes aux plaignants. Dans les cas où les résultats étaient décevants, le Commissariat demeure déterminé à travailler avec les organismes en question afin d’améliorer la protection de la vie privée des personnes qui participent aux processus administratifs et quasi judiciaires.

Les différents degrés de réceptivité aux recommandations du CPVP signifient que même les tribunaux qui ont fait l’objet d’une enquête ne protègent pas de façon uniforme les renseignements personnels des Canadiennes et des Canadiens qui participent à des actions en justice.

Par ailleurs, il est intéressant de noter que beaucoup d’autres organismes administratifs et quasi judiciaires publient en ligne des motifs de décisions qui permettent de relier des personnes identifiables à une grande quantité de renseignements personnels de nature délicate, mais que personne ne s’en est plaint auprès du CPVP.

Prochaines étapes

Les dispositions de la LPRP ne nous permettent pas de soumettre la question aux tribunaux pour obtenir conseil.

Toutefois, le Commissariat entend poursuivre son travail avec les institutions gouvernementales qui se sont montrées réticentes à mettre en œuvre toutes les recommandations. Nous espérons qu’un dialogue constructif permettra de convaincre ces institutions de prendre les mesures nécessaires pour protéger la vie privée des Canadiennes et des Canadiens.

Nous croyons également qu’une nouvelle politique nationale sur cette question est nécessaire. Étant donné la complexité des enjeux, les recommandations qui découlent des enquêtes sur un petit nombre d’institutions ne sont pas les meilleures bases pour créer des mécanismes visant à assurer le respect de la LPRP à l’échelle de l’administration fédérale. L’élaboration d’une politique globale fondée sur des consultations auprès d’un plus grand nombre d’institutions fédérales est nécessaire.

Nous avons déjà indiqué au Secrétariat du Conseil du Trésor que nous croyons qu’une politique commune est nécessaire. Une politique commune garantirait l’uniformité dans la protection des renseignements personnels des Canadiennes et des Canadiens qui participent aux procédures administratives et quasi judiciaires.

Beaucoup d’institutions sur lesquelles le CPVP a enquêté partagent notre avis qu’une politique commune est nécessaire et l’accueilleraient favorablement. Elles sont disposées à participer à des consultations avec le Conseil du Trésor pour définir les orientations d’une politique, puis à s’y conformer une fois la politique en vigueur.

Le Conseil du Trésor a fait savoir au Commissariat qu’il travaille toujours à l’élaboration d’orientations pour les institutions fédérales qui publient un contenu assujetti à la LPRP sur les sites Web fédéraux. De plus, il a indiqué qu’il nous consulterait pour les versions préliminaires de toute politique qu’il serait susceptible d’élaborer.

La publication électronique de renseignements personnels dans les décisions administratives et quasi judiciaires des institutions gouvernementales est une affaire risquée en matière de protection de la vie privée. Nous sommes enthousiastes à l’idée de travailler avec le Conseil du Trésor sur cet enjeu important qu’est la mise en place d’une politique solide et efficace qui protégera mieux la vie privée des Canadiennes et des Canadiens.

La tendance de l’administration fédérale à mettre en ligne de plus en plus d’information soulève des questions cruciales sur l’équilibre entre l’intérêt public et le droit à la vie privée de chacun.

Certes, l’utilisation d’Internet est une évolution positive qui favorise la transparence et l’obligation de rendre des comptes au sein de l’administration fédérale (publication des contrats ou des frais de déplacement), mais lorsqu’il s’agit de communiquer des renseignements personnels, il faut indéniablement des limites.

Formation sur la protection de la vie privée dans la fonction publique fédérale : Nécessité d’une perspective globale

Un des moyens clés de prévenir les atteintes à la protection des données est de donner une formation sur la protection des renseignements personnels aux employés qui les traitent.

Vers la fin de 2007, une erreur relativement banale d’un fonctionnaire britannique a mené à l’une des plus grosses atteintes à la protection des données de l’histoire.

L’incident a compromis les renseignements personnels de 25 millions de bénéficiaires de prestations pour enfants. Il s’agit d’un avertissement pour les gouvernements du monde entier quant à la nécessité de considérer avec le plus grand sérieux la protection des données, y compris la formation des employés en la matière.

Un fonctionnaire de l’agence responsable du revenu et des douanes au Royaume-Uni a mis deux disques qui renfermaient des renseignements sur des familles inscrites à un fichier de prestations pour enfants dans une enveloppe destinée à un autre ministère.

Les CD ne sont jamais parvenus à destination et n’ont toujours pas été retrouvés.

Cette atteinte à la protection des données, qui a exposé des familles de partout au Royaume-Uni au risque de se faire voler leur identité, a conduit à la démission du président de l’agence responsable du revenu et des douanes et à une importante enquête policière.

Après l’enquête, la British Independent Police Complaints Commission a conclu que les membres du personnel n’étaient pas responsables à titre individuel. Elle a plutôt indiqué que ce sont des pratiques et des procédures de traitement de données « absolument inadéquates » et l’absence de formation du personnel qui sont à l’origine de cette atteinte à la protection des renseignements personnels.

La commission a également souligné l’absence totale de systèmes significatifs, une très mauvaise compréhension de l’importance que revêt le traitement des données et une philosophie du « on se débrouille comme on peut ». Selon la commission, le personnel travaillait au jour le jour sans le soutien, la formation ou les directives nécessaires pour traiter convenablement les renseignements personnels de nature délicate.

À la suite de l’atteinte à la protection des données, le gouvernement britannique a mis en place une formation annuelle obligatoire pour tous les fonctionnaires qui traitent des données personnelles.

Au Canada, le CPVP presse depuis un certain temps l’administration fédérale de fournir aux fonctionnaires une meilleure formation sur les principes de base de la gestion des renseignements personnels. Cette formation sur la protection de la vie privée devrait être obligatoire pour tous les cadres et tous les fonctionnaires qui traitent des renseignements personnels.

Si les programmes de formation adéquats ne sont pas mis en place, un incident regrettable pourrait mener à une atteinte à la protection des renseignements personnels détenus par un ministère ou un organisme fédéral. Un tel incident risque d’avoir des conséquences pour des milliers, voire des millions, de Canadiennes et de Canadiens.

Depuis quelques années, de nombreuses atteintes importantes à la protection des renseignements personnels ont eu lieu partout dans le monde, dans les secteurs privé et public.

Ces atteintes prennent souvent l’allure d’une perte de renseignements personnels résultant de l’inattention ou de la négligence d’un employé, ou encore d’un vol de matériel contenant des données. Dans un grand nombre de ces situations, les atteintes à la protection des renseignements personnels auraient pu être évitées si les personnes qui traitaient les données avaient eu une formation sur les principes de base d’une gestion sécuritaire et responsable des renseignements personnels.

Préoccupations relatives aux vérifications

De récentes vérifications du CPVP ont fait ressortir la nécessité d’une formation complète sur la protection des renseignements personnels pour les employés qui traitent ces renseignements dans les ministères et les organismes fédéraux.

En octobre 2007, le Commissariat a publié les conclusions d’une vérification sur l’efficacité et les résultats des évaluations des facteurs relatifs à la vie privée (ÉFVP) des programmes et services, nouveaux ou redéfinis, effectuées par les ministères et les organismes fédéraux.

Une des principales conclusions de cette vérification aborde la nécessité d’offrir davantage de formation pour veiller à ce que les gestionnaires de programme comprennent leurs responsabilités au regard de la Politique d’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor et qu’ils aient les connaissances et la compétence nécessaires pour faire des ÉFVP efficaces.

Alors que certaines institutions gouvernementales ont déployé de sérieux efforts pour appliquer la politique, davantage de mesures s’imposent pour que les ÉFVP aient l’effet désiré, dont faire de la protection de la vie privée une considération fondamentale dans la prestation des programmes et des services fédéraux. La vérification a également permis de constater une application inégale de la politique et de nombreuses lacunes sur le plan du rendement. Les vérificateurs attribuent ces résultats décevants à de nombreux facteurs, dont le manque de formation.

Une autre vérification importante, décrite en détails dans notre rapport annuel 2005-2006, a permis d’examiner les pratiques de gestion de l’Agence des services frontaliers du Canada (ASFC) en ce qui a trait à la circulation transfrontalière des données et a révélé des problèmes similaires concernant les besoins en formation du personnel clé.

De façon générale, la vérification a permis de déterminer que l’ASFC dispose de plusieurs options pour assurer une meilleure gestion des risques associés à la protection de la vie privée et mieux veiller à son obligation de rendre des comptes, à être plus transparente et à mieux contrôler la circulation transfrontalière des renseignements personnels.

La vérification a fait ressortir la nécessité d’offrir régulièrement des séances de formation sur l’application et le respect de la LPRP. Elle recommande à l’ASFC d’élaborer et de mettre en œuvre un cadre de gestion de la protection de la vie privée, dont un élément serait l’établissement d’un comité de cadres supérieurs chargé de veiller à ce que l’orientation et la formation en matière de protection des renseignements personnels soient fournies.

Enfin, la vérification recommande l’élaboration de modules de formation qui traiteraient particulièrement des problèmes liés à l’échange verbal de renseignements personnels entre les autorités frontalières du Canada et des États-Unis.

Une vérification des activités de Passeport Canada, évoquée précédemment, a également mis en relief à quel point l’absence de formation adéquate peut conduire à des risques pour la protection des renseignements personnels et pour la sécurité.

Un programme de base

Certains ministères et organismes fédéraux ont reconnu l’importance d’offrir au personnel une meilleure formation sur la protection des renseignements personnels. Statistique Canada ainsi que Citoyenneté et Immigration Canada ont mis sur pied des programmes de formation et donné des directives officielles pour attirer l’attention sur les enjeux et la législation liés à la vie privée. Depuis quelques années, le Secrétariat du Conseil du Trésor offre lui aussi de la formation à la communauté de l’AIPRP. De plus, le Secrétariat donne en permanence des conseils sur des enjeux spécifiques liés à la protection de la vie privée aux responsables de l’AIPRP et aux responsables de programmes des institutions.

Malgré ces réussites, nous croyons que, dans l’ensemble, l’administration fédérale pourrait en faire bien davantage.

Une partie du problème relève du fait qu’il n’existe aucun programme de base obligatoire pour sensibiliser les fonctionnaires chargés du traitement ou de la gestion des renseignements personnels quant à leurs devoirs et responsabilités de base qui découlent de la LPRP.

Et il n’existe pas non plus de programme obligatoire de formation de base de ces employés sur les principes largement reconnus d’équité dans le traitement des renseignements personnels qui régissent la collecte, l’utilisation, la communication et le retrait appropriés des renseignements personnels conservés par l’État.

L’École de la fonction publique du Canada offre deux modules de formation sur la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information, mais ils ne sont pas obligatoires. (Les deux cours actuels seront regroupés en un nouveau cours débutant au début de 2009.)

Beaucoup de ministères et d’organismes ont élaboré leurs propres programmes de formation, mais dans la plupart des cas ces formations sont insuffisantes.

La Commission de la fonction publique du Canada (CFP), par exemple, tient des séances d’information pour conseiller et former ses cadres quant à l’incidence de la LPRP sur les divers programmes. Les séances sont si populaires que la CFP a dû refuser certains de ses cadres en 2007 en raison du manque de ressources pour donner la formation. Depuis, la CFP a étendu le programme pour essayer de répondre à la demande.

Le ministère des Affaires étrangères et du Commerce international a mis sur pied une politique, un processus et un programme de formation permanents pour veiller à ce que tous les analystes de l’accès à l’information et de la protection des renseignements personnels reçoivent la formation nécessaire à l’exercice de leurs fonctions. Cependant, le Ministère est convaincu de la nécessité pressante d’offrir de la formation à plus grande échelle.

De toute évidence, certains ministères souhaitent répondre à la demande à l’aide de programmes proactifs qui officialiseraient la formation sur la protection des renseignements personnels. Mais pour combler les besoins en formation, il leur faut davantage de soutien.

Une approche globale

Le Commissariat est d’avis qu’une stratégie concertée et globale doit être élaborée et mise en œuvre par les intervenants fédéraux clés : l’École de la fonction publique du Canada (EFPC), le Secrétariat du Conseil du Trésor (SCT), et les bureaux de l’AIPRP dans chacun des ministères et organismes fédéraux.

Le rôle de l’École de la fonction publique du Canada

Le principal mandat de l’EFPC consiste à s’assurer que tous les employés de la fonction publique ont les connaissances et les compétences nécessaires pour élaborer des politiques et fournir des services aux Canadiennes et aux Canadiens.

Nous croyons que l’EFPC devrait élaborer un programme obligatoire de formation de base sur la protection des renseignements personnels que tous les ministères et organismes gouvernementaux pourraient utiliser pour la formation des employés qui traitent de grandes quantités de renseignements personnels. Le public cible de ce programme de base irait des employés aux superviseurs. Des modules d’enseignement et un guide des formateurs devraient être élaborés en collaboration avec les principales institutions gouvernementales à Ottawa qui traitent de grandes quantités de renseignements personnels.

L’EFPC devrait également élaborer un module distinct de formation obligatoire pour tous les cadres intermédiaires et supérieurs en vue de leur transmettre les bases de la gestion et de la protection des renseignements personnels. Ce module pourrait être intégré aux cours actuels destinés aux cadres ou offert seul, au besoin. (Si l’EFPC offre présentement deux modules de formation sur les lois qui concernent la protection des renseignements personnels et l’accès, ils ne sont pas obligatoires et visent les spécialistes fonctionnels et les superviseurs, ainsi que les gestionnaires.)

L’élaboration d’un programme de base, d’un module de formation et d’un guide des formateurs devrait être menée en collaboration avec le Commissariat à la protection de la vie privée et le Commissariat à l’information.

Le rôle des sections de l’AIPRP

Nous croyons que chaque section de l’AIPRP devrait jouer un rôle de premier plan dans la formation des employés et des superviseurs au sein de son ministère ou organisme.

Le programme de base et le guide des formateurs préparés par l’EFPC et décrits ci-haut seraient à la base de la formation. Nous reconnaissons, toutefois, que les besoins en matière de formation peuvent varier d’un ministère ou organisme à l’autre. En effet, les institutions qui traitent de grandes quantités de données personnelles, comme l’Agence du revenu du Canada ou l’Agence des services frontaliers du Canada, auront des besoins différents de ceux d’un ministère qui, en comparaison, traite peu de renseignements personnels, comme le ministère des Finances. Nous croyons donc que les ministères et organismes devraient pouvoir adapter le programme de base et le guide des formateurs à leurs propres besoins et contextes.

Le rôle du Secrétariat du Conseil du Trésor

Le SCT est chargé de l’administration de la LPRP à l’échelle du gouvernement. Il en coordonne l’administration en rédigeant et en distribuant des politiques et des lignes directrices visant à aider les institutions à interpréter la Loi et à la mettre en application à l’égard de questions de premier plan.

Nous croyons que le SCT devrait rendre obligatoire la formation décrite ci-haut pour l’ensemble de la fonction publique fédérale. En effet, le SCT doit être un chef de file en ce qui a trait à la promotion et à la supervision de la formation et de la sensibilisation en matière de protection des renseignements personnels pour l’ensemble de la fonction publique fédérale. Il ne faut pas sous-estimer son rôle et son importance en ce qui concerne la mise en place d’une culture de protection de la vie privée au sein de la fonction publique.

Nomination de « champions de la formation sur la protection des renseignements personnels »

Chaque ministère et organisme devrait envisager de nommer un « champion de la formation sur la protection des renseignements personnels » chargé de superviser et de promouvoir la formation et l’apprentissage en la matière dans son institution. Cette personne devrait être un membre de la haute direction, par exemple le responsable de la protection de la vie privée de l’organisme.

Conformément à la recommandation du CPVP dans le cadre de la vérification de l’Agence des services frontaliers du Canada, chaque institution fédérale devrait envisager de mettre sur pied un comité de gestionnaires chargé de veiller à ce que l’orientation et la formation nécessaires en matière de protection des renseignements personnels soient fournies aux secteurs des programmes.

Contenu de la formation

Le principal objectif d’un programme de formation sur la protection des renseignements personnels devrait être de donner aux fonctionnaires les bases des exigences fédérales en matière de protection des renseignements personnels que conserve l’État, et de leur faire connaître les pratiques exemplaires dans le domaine de la gestion des renseignements personnels.

Afin d’y arriver, un programme de formation en protection des renseignements personnels à l’intention des fonctionnaires devrait porter sur les thèmes et les sujets clés suivants :

• Exigences des lois et des politiques : Les fonctionnaires doivent connaître leurs devoirs et leurs responsabilités dans le cadre de la LPRP et des dispositions des règlements et autres textes réglementaires qui concernent la protection des renseignements personnels. (Les ministères et organismes pourraient devoir adapter leurs programmes de formation en fonction des exigences qui les concernent selon la loi qu’ils administrent et de leurs politiques internes de gestion des données.)
• Définition de renseignements personnels : Les fonctionnaires qui gèrent des renseignements personnels doivent disposer de solides bases sur la définition des renseignements personnels (renseignements, quels que soient leur forme et leur support, concernant un individu identifiable) et ce qu’ils comprennent.
• Principes de base : Les fonctionnaires fédéraux doivent savoir quels renseignements personnels ils peuvent recueillir, utiliser et communiquer dans le cadre de leurs fonctions. Ils doivent aussi savoir comment conserver ces renseignements personnels de manière sécuritaire. La connaissance des principes de base de la protection des renseignements personnels – souvent appelés « principes relatifs à l’équité dans le traitement des renseignements personnels » – est essentielle.
• Pratiques exemplaires : Certains processus, techniques et méthodes sont mieux que d’autres quand il s’agit d’atteindre des résultats positifs en matière de promotion et de protection des renseignements personnels. Permettre aux fonctionnaires de développer une solide connaissance de ces techniques permettra de veiller à ce que les renseignements personnels des Canadiennes et des Canadiens que conservent les institutions fédérales soient gérés sans problème majeur ni complications inattendues. Les pratiques exemplaires des institutions fédérales, ainsi que celles des provinces, des administrations étrangères et du secteur privé, devraient faire partie intégrante du programme de formation.

Conclusion

L’administration fédérale ne doit pas hésiter à répondre aux besoins de ses employés en ce qui a trait à la formation et à l’apprentissage sur la protection des renseignements personnels. Elle doit le faire immédiatement avant qu’un incident regrettable ne se produise, comme au Royaume-Uni.

Les fonctionnaires qui gèrent les renseignements personnels des Canadiennes et des Canadiens sont les gardiens de la confiance du public, base de notre régime politique.

Ils doivent avoir une profonde connaissance des lois, règles, règlements et politiques qui régissent la protection de la vie privée et la gestion des renseignements personnels au sein de l’administration fédérale. Ils doivent avoir une bonne compréhension de ce en quoi consistent les renseignements personnels, des principes de base de la protection de la vie privée et des pratiques équitables dans le domaine des renseignements personnels, ainsi qu’une bonne connaissance des meilleures pratiques de gestion des renseignements personnels.

Ces connaissances spécialisées ne peuvent s’acquérir que grâce à un programme de formation complet et concerté pour tous les fonctionnaires fédéraux qui gèrent des renseignements personnels. Le Secrétariat du Conseil du Trésor et l’École de la fonction publique du Canada ont un rôle de chef de file à jouer dans l’acquisition de ces connaissances. Les sections de l’AIPRP des ministères et organismes doivent également jouer un grand rôle, car elles sont les plus appropriées pour transmettre le savoir nécessaire au personnel de chacun des ministères et organismes.

Le CPVP demeure prêt à apporter son aide à tous ces joueurs dans l’élaboration d’un programme de formation sur la protection des renseignements personnels destiné à l’administration fédérale.

Une perspective globale sur la formation et l’apprentissage en matière de protection des renseignements personnels est un des éléments clés de la protection des renseignements personnels des Canadiennes et des Canadiens.

Le point sur la réforme de la Loi sur la protection des renseignements personnels : premiers pas vers une refonte

Le CPVP propose une série de modifications pour améliorer rapidement la loi sur la protection des renseignements personnels applicable au secteur public.

Les commissaires à la protection de la vie privée demandent depuis de nombreuses années une réforme de la Loi sur la protection des renseignements personnels (LPRP), et la nécessité toujours plus pressante de moderniser la législation est devenue un thème récurrent dans nos rapports annuels.

Cette année ne fait pas exception. La législation actuelle ne protège pas adéquatement les renseignements personnels des Canadiennes et des Canadiens qui sont en la possession des ministères et organismes fédéraux.

En 2006, le Commissariat a publié un rapport détaillé sur les changements qui devraient être apportés à la LPRP.

Depuis, nous avons consulté des intervenants externes sur la question. Nous avons notamment demandé au Forum des politiques publiques d’organiser deux tables rondes sur la réforme du régime fédéral de protection des renseignements personnels, en juin et en octobre 2007, auxquelles ont participé de hauts fonctionnaires fédéraux qui prennent part à la promotion et à la protection du droit à la vie privée.

Pendant la préparation du présent rapport, nous avons eu vent de l’intention du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes de se pencher sur la LPRP.

Le Comité a entendu de nombreux témoins. Le Commissariat espère que les membres du Comité reprendront ces travaux à l’automne 2008.

Puisque le gouvernement semble peu enclin à remanier la législation, la commissaire a présenté au Comité, en avril 2008, 10 modifications rapides à apporter à la Loi. Ces changements relativement simples combleraient certaines lacunes, notamment en instaurant un « test de nécessité » pour la collecte de renseignements personnels par les ministères.

Cependant, ces propositions ne tiennent absolument pas lieu de déclaration définitive sur la réforme de la LPRP. Le Commissariat considère ces 10 recommandations comme une première étape vers un remaniement en profondeur.

Certains des changements proposés ne feraient qu’incorporer à la loi des politiques et des pratiques fédérales déjà existantes. Le Secrétariat du Conseil du Trésor a fait du bon travail sur les questions de protection des renseignements personnels en fournissant des directives aux ministères responsables, sur la signature d’accords de partage de renseignements et sur l’impartition du traitement des renseignements personnels, par exemple. Toutefois, une modification de la loi assurerait l’existence d’orientations plus claires en cette matière.

D’autres changements proposés correspondent à des dispositions déjà présentes dans la LPRPDE ou qui sont à l’étude.

Dix modifications rapides à apporter à la LPRP

Instaurer un « test de nécessité » obligeant les institutions gouvernementales à prouver qu’elles ont besoin des renseignements personnels qu’elles recueillent. Étendre les motifs de recours aux tribunaux en vertu de l’article 41 de la Loi sur la protection des renseignements personnels et autoriser la Cour fédérale à allouer des dommages-intérêts à la charge des institutions contrevenantes. Rendre obligatoire l’Évaluation des facteurs relatifs à la vie privée (ÉFVP) d’un programme avant sa mise en œuvre ainsi que la publication des résultats. Prévoir un mandat clair de sensibilisation du public. Assurer une plus grande latitude dans la publication de rapports sur les pratiques de gestion des renseignements personnels des institutions gouvernementales. Accorder le pouvoir discrétionnaire de refuser ou d’abandonner une plainte lorsqu’une enquête ne sert pas l’intérêt public. Éliminer la restriction selon laquelle la LPRP ne s’applique qu’aux renseignements consignés. Obliger les institutions gouvernementales à rendre compte annuellement d’un plus large éventail de pratiques de protection des renseignements personnels. Exiger une révision quinquennale de la LPRPpar le Parlement. Renforcer les dispositions qui régissent la communication par l’administration fédérale de renseignements personnels aux États étrangers.

Voici une description des modifications rapides que propose le CPVP :

Contexte

Ce « test de nécessité » est déjà intégré aux politiques du Conseil du Trésor et à la LPRPDE. Il s’agit d’un principe de protection des renseignements personnels internationalement reconnu qui figure dans les législations modernes de nombreux pays. Par exemple, les provinces et les territoires ont adopté un modèle législatif visant le secteur public qui impose l’une des trois conditions suivantes : la collecte est expressément autorisée par un texte législatif; les renseignements sont recueillis aux fins de l’application de la loi; les renseignements sont directement liés à et nécessaires à un programme ou à une activité.

La LPRP actuelle stipule ce qui suit : « Les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ». Ce libellé établit une norme qui n’est pas à la mesure des droits fondamentaux au cœur de la LPRP.

Effet attendu

L’intégration de meilleurs contrôles par l’institution qui recueille les renseignements permettra de réduire les risques de mauvaise utilisation et de communication des renseignements personnels.

Contexte

Actuellement, la Cour fédérale ne peut que réviser une décision de refus rendue par une institution fédérale à l’encontre d’une personne ayant demandé d’avoir accès à des renseignements personnels en vertu de la LPRP.

Bien que la commissaire puisse enquêter sur les plaintes qui concernent tout l’éventail des droits et protections garantis par la LPRP, ainsi que formuler des recommandations, si l’institution gouvernementale concernée ne donne pas suite aux recommandations de manière satisfaisante, ni la personne ni la commissaire ne peuvent demander à la Cour fédérale d’exiger l’application des recommandations ou d’accorder un recours. Il n’existe donc aucun recours efficace en cas d’atteinte à la vie privée, comme la communication ou la collecte indue de renseignements personnels.

Il s’agit d’une norme bien moins stricte que celle en vigueur dans le secteur privé, où la LPRPDE prévoit des recours pour les citoyens.

Effet attendu

L’élargissement du champ de compétence de la Cour fédérale permettrait de s’assurer que les institutions fédérales respectent le droit de chacun à ce que ses renseignements personnels soient recueillis, utilisés et communiqués de façon conforme à la LPRP. Ainsi, la LPRP serait comparable à la LPRPDE.

Pour avoir un sens, un droit doit s’accompagner d’un recours.

Contexte

En 2002, le Secrétariat du Conseil du Trésor a présenté une politique d’évaluation des facteurs relatifs à la vie privée (ÉFVP). Cette politique a été conçue pour garantir aux Canadiennes et aux Canadiens que l’on tiendrait compte des principes de protection des renseignements personnels dans l’élaboration et la mise en œuvre des programmes et services qui ont une incidence sur la vie privée.

Malheureusement, la mise en œuvre de la politique s’est faite de manière inégale. Comme notre rapport de 2006-2007 l’indique, une vérification par le CPVP a permis de constater que les ÉFVP ne sont pas toujours effectuées au moment opportun et qu’elles sont souvent réalisées bien après la mise en œuvre d’un programme, lorsqu’elles le sont.

Effet attendu

Imposer une obligation légale relative aux ÉFVP garantirait une réalisation systématique et opportune de ces études.

De plus, les ÉFVP devraient être soumises au Commissariat avant la mise en œuvre des programmes, ce qui permettrait au CPVP de formuler des recommandations aux institutions sur le meilleur moyen de protéger les renseignements personnels.

Contexte

Bien que la fonction principale du CPVP selon la LPRP consiste à enquêter sur des plaintes et à les régler, il doit également faire progresser le droit à la protection de la vie privée par d’autres moyens, comme la recherche, les communications et la sensibilisation du public. Cependant, la Loi ne donne pas à la commissaire un mandat clair d’informer la population de ses droits en ce qui a trait à la protection des renseignements personnels que détiennent les institutions fédérales.

Effet attendu

Un mandat clair de sensibilisation du public donnerait au CPVP le pouvoir de publier des avis et des documents d’information sur les politiques et les mesures législatives importantes qui ont une incidence sur les renseignements personnels.

Comme la LPRPDE prévoit un tel mandat, il serait logique que la LPRP, qui s’applique au secteur public, fasse de même.

Contexte

Pour l’instant, le Commissariat informe le Parlement et la population par le biais de rapports annuels et de rapports spéciaux. Aucun article précis dans la législation n’autorise le CPVP à présenter des rapports pour des raisons d’intérêt public.

Le Commissariat a été empêché de parler à la presse, au public et même aux députés en raison des contraintes qu’impose la LPRP en matière de confidentialité.

Devoir attendre la fin de l’exercice visé par le rapport pour communiquer aux citoyens les enjeux en matière de protection des renseignements personnels liés aux institutions fédérales dépouille l’information de sa portée pratique et la rend obsolète et peu pertinente. Un pouvoir clair de communication de l’information d’intérêt public permettrait des débats d’actualité pertinents sur les questions de protection de la vie privée qui sont importantes pour la population.

Effet attendu

Cette latitude serait un moyen efficace de sensibiliser le public, de lui fournir une assurance et, s’il y a lieu, de regagner sa confiance.

Les citoyens obtiendraient, en temps utile, l’information pertinente sur la façon dont les institutions fédérales traitent leurs renseignements personnels.

Contexte

Pour l’instant, l’obligation de faire enquête sur chacune des plaintes selon le principe du premier arrivé, premier servi accapare une quantité disproportionnée de précieuses ressources. Voici des exemples de types d’enquêtes qui donnent relativement peu de résultats concluants :

• Plaintes répétitives concernant des litiges qui ont déjà été tranchés dans des affaires antérieures (p. ex. concernant la collecte et l’utilisation légitimes des numéros d’assurance sociale).
• Plaintes devenues sans objet, dans le cas où une personne a, dans l’intervalle, reçu l’information demandée (p. ex. lorsque l’accès a déjà été accordé, quoiqu’avec un certain retard, strictement parlant, mais sans que cela ne désavantage la personne).
• Plaintes fréquentes déposées par une même personne contre une institution gouvernementale (p. ex. lorsque des litiges touchant le travail ou l’emploi constituent le motif réel du conflit).
• Plaintes multiples déposées par un grand nombre de plaignants concernant un même incident (p. ex. une importante atteinte à la sécurité de données).
• Problèmes qui ont déjà été recensés et réglés par une institution fédérale.

Plusieurs organismes chargés de la protection des données au Canada et ailleurs sont confrontés à des défis similaires. Ils doivent traiter indifféremment toutes les plaintes, sans pouvoir en rejeter ou en abandonner au début du processus, lorsque la tenue ou la poursuite d’une enquête ne servirait pas l’intérêt public.

Effet attendu

Cette latitude permettrait au Commissariat de concentrer davantage de ressources d’enquête sur les plaintes concernant la vie privée qui sont d’un intérêt systémique plus large et qui servent les intérêts d’un grand nombre de citoyens.

Contexte

Les renseignements non consignés – comme ceux des caméras de surveillance qui n’enregistrent pas d’image – dépassent la portée de la LPRP. Les renseignements personnels que contient l’acide désoxyribonucléique (l’ADN) et d’autres échantillons biologiques ne sont pas explicitement visés par la Loi.

La LPRPDE, par contre, inclut toute forme de renseignements personnels.

Effet attendu

Élargir la définition de renseignements personnels permettrait de s’assurer que la LPRP prend en compte l’imagerie numérique et les applications biométriques liées aux activités contemporaines de surveillance et de contrôle de l’exécution de la loi, ainsi que de protéger l’ADN et les autres échantillons biologiques.

Contexte

La LPRP exige que chacun des responsables d’une institution fédérale soumette un rapport annuel au Parlement sur l’application de la Loi. Au fil des ans, notre expérience dans l’examen de ces rapports révèle que, dans l’ensemble, l’information qu’ils contiennent est rarement significative. Ces rapports sont davantage un collage de statistiques sur le nombre de demandes reçues dans le cadre de la LPRP, les dispositions prises à l’égard de ces demandes, les exemptions ou exclusions invoquées et les délais de traitement.

Le Secrétariat du Conseil du Trésor a publié en 2005 des lignes directrices détaillées à l’intention des institutions fédérales au sujet des rapports concernant la protection des renseignements personnels et il les a mises à jour en 2008. La LPRP devrait être modifiée de façon à intégrer aux exigences législatives ces lignes directrices afin de leur donner davantage de poids et d’autorité.

Effet attendu

Une couverture plus complète des enjeux relatifs à la gestion de la vie privée fournirait aux parlementaires l’information pertinente pour évaluer la mesure dans laquelle les institutions fédérales font face aux défis relatifs à la protection des renseignements personnels, et si les nouveaux programmes ou initiatives peuvent menacer le droit des citoyens à la vie privée. La population canadienne serait également mieux informée de la façon dont les ministères et organismes fédéraux traient les renseignements personnels.

Contexte

Le paysage de la protection de la vie privée évolue continuellement. Il serait logique que le Parlement examine régulièrement la LPRP à la lumière des nouvelles technologies ou des nouvelles mesures fédérales qui pourraient avoir des répercussions sur le droit à la vie privée.

Contrairement à la LPRP, la LPRPDE prévoit un examen quinquennal de sa première partie. Quelques provinces prévoient également un tel examen de leur loi sur la protection des renseignements personnels applicable au secteur public.

Effet attendu

Un examen quinquennal obligatoire contribuerait à l’harmonisation du cadre canadien de protection des données dans l’ensemble des administrations du Canada. Il ferait en sorte que les décideurs canadiens et l’industrie canadienne gardent à l’esprit les pratiques en matière de protection des renseignements personnels des organismes des secteurs privé et public. Enfin, cet examen garantirait que la loi fédérale s’adapte aux tendances internationales ainsi qu’aux technologies en rapide évolution.

Contexte

Grâce aux progrès technologiques, il est maintenant beaucoup plus facile et plus abordable pour les gouvernements de recueillir et de conserver des renseignements personnels sur les citoyens. Parallèlement, l’échange d’information entre les pays a augmenté de façon marquée, car les gouvernements ont adopté des approches plus concertées pour régir le déplacement des marchandises et des gens, ainsi que pour lutter contre la criminalité transnationale et le terrorisme international.

À titre d’exemple, l’Agence des services frontaliers du Canada partage de l’information douanière et des renseignements sur les voyageurs entrant au Canada avec d’autres pays, et le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) a plus de 40 accords d’échange de renseignements avec d’autres unités du renseignement financier sur des personnes soupçonnées de blanchiment d’argent ou de terrorisme.

La LPRP ne reflète pas cette augmentation des échanges de renseignements à l’échelle internationale. Elle ne prévoit que deux restrictions à la communication de renseignements personnels aux États étrangers : un accord ou une entente doit exister et les renseignements personnels doivent être utilisés aux fins de l’administration ou de l’application d’une loi, ou de la tenue d’une enquête.

La Loi n’exige même pas que l’entente de partage de renseignements soit écrite, pas plus qu’elle n’impose d’exigences quant au contenu de ces ententes.

Les conséquences de la communication de renseignements personnels en l’absence de contrôles appropriés ont été clairement mises en relief par l’affaire Maher Arar.

Pendant la Commission d’enquête sur les actions des responsables canadiens relativement à Maher Arar, le juge O’Connor a conclu qu’il était très probable qu’en prenant la décision de détenir M. Arar et de le renvoyer en Syrie, les autorités américaines se sont fondées sur des renseignements inexacts sur M. Arar fournis par la GRC. Le juge O’Connor a émis une série de recommandations pour renforcer les politiques et pratiques de la GRC concernant le partage de renseignements avec d’autres instances gouvernementales.

Le gouvernement du Canada et le Parlement devraient envisager des dispositions particulières pour définir les responsabilités de ceux qui transmettent des renseignements personnels à d’autres administrations et pour aborder la question de l’efficacité de la protection des renseignements dans ces administrations.

Effet attendu

De bons contrôles sur la communication des renseignements permettraient d’atténuer les risques pour les citoyens. De meilleurs contrôles serviraient à veiller à ce que les renseignements partagés soient pertinents et exacts et à ce que les restrictions appropriées soient imposées, limitant l’utilisation des renseignements aux fins auxquelles ils ont été communiqués.

Conclusion

Ces 10 modifications simples permettraient d’entamer le processus d’harmonisation de la LPRP avec les lois modernes sur la protection des données ailleurs dans le monde.

Le Commissariat espère que le Canada reprendra un jour le rôle de chef de file dans la promotion et la protection du droit à la vie privée qu’il avait lorsque la LPRP a été adoptée il y a près de 25 ans.

Soutien proactif au Parlement

Un élément essentiel du mandat du CPVP en vertu de la LPRP consiste à soutenir le travail du Parlement en l’informant et en le conseillant sur les questions de protection de la vie privée.

Des initiatives concernant la sécurité nationale ont continué de soulever des préoccupations en ce qui a trait au droit à la vie privée en 2007-2008 et ont été au cœur de notre travail avec les députés et les représentants de nombreux ministères fédéraux.

Parmi ces enjeux de sécurité nationale, mentionnons la liste canadienne des personnes interdites de vol, les consultations fédérales sur l’accès légal et les projets de permis de conduire améliorés dans certaines provinces.

Selon le Commissariat, un des points encourageants dans le domaine de l’application de la loi a été l’adoption de la mesure législative visant à contrer le vol d’identité.

Le CPVP a également donné son avis sur de nombreux autres enjeux tout au long de l’année, y compris les modifications possibles à la Loi sur le droit d’auteur et la création de dossiers médicaux électroniques.

Initiatives d’application de la loi et de sécurité nationale

La régression que connaît le droit à la vie privée dans le monde depuis les attentats du 11 septembre 2001 n’est pas surfaite. Tous les États, y compris le Canada, ont répliqué par un large éventail d’initiatives de sécurité nationale, le plus souvent axées sur une collecte de plus en plus grande de renseignements sur les habitudes et les activités quotidiennes des gens ordinaires.

Les pouvoirs publics semblent croire que la sécurité nationale et publique repose sur la collecte, le tri et l’analyse de tonnes de données personnelles, sans jamais prouver l’efficacité de telles mesures.

Le droit à la vie privée est souvent malmené à mesure que de nouvelles mesures antiterroristes et d’application de la loi sont introduites. La tendance se poursuit des années après les attentats du 11 septembre.

Les citoyens s’attendent à ce que l’État prenne des mesures pour les protéger. Mais ils s’attendent aussi à ce que ces mesures respectent leurs droits, y compris le droit à la vie privée, et soient conformes à la primauté du droit, ce qui comprend les normes juridiques comme l’application régulière de la loi, le droit de consulter un avocat, le droit de connaître les preuves retenues ainsi que les autres éléments d’équité procédurale qui constituent la base de notre système de droit.

Voici un résumé des principales questions de sécurité nationale et d’application de la loi qui ont retenu l’attention en 2007-2008.

Liste des personnes interdites de vol

Après le 11 septembre 2001, l’attention s’est surtout portée sur la sûreté du transport aérien. Au Canada, la création d’une liste des personnes interdites de vol a soulevé de profondes inquiétudes non seulement en ce qui concerne le droit à la vie privée, mais aussi d’autres droits de la personne, comme la liberté d’association, la liberté d’expression et la liberté de circulation et d’établissement.

Les lacunes fondamentales du Programme de protection des passagers (la liste des personnes interdites de vol) ont été soulignées dès les premiers jours de son entrée en vigueur en juin 2007.

Deux jeunes Canadiens portant le même nom ont eu des démêlés avec les autorités responsables des listes nord-américaines des personnes interdites de vol parce qu’ils avaient le même nom qu’une personne figurant sur une de ces listes.

Leur histoire est similaire : des alarmes se sont déclenchées lorsqu’ils se sont présentés aux guichets d’enregistrement des transporteurs aériens pour prendre leur avion. Les familles se sont fait dire qu’il y avait un problème de sécurité parce que le nom des garçons se trouvait sur une liste de personnes interdites de vol (sans qu’il soit précisé laquelle). Les deux jeunes n’ont pu prendre l’avion qu’après une longue attente, et ce, semble-t-il, simplement parce que leur âge (10 et 15 ans) rendait évident le fait qu’ils ne constituaient pas une menace.

Un représentant de la compagnie aérienne a mis en garde une des familles en indiquant que leur fils aurait des problèmes chaque fois qu’il prendrait l’avion et lui a fait une suggestion radicale : changer de nom.

Le Programme de protection des passagers suppose l’utilisation secrète de renseignements personnels et, malgré cette grave atteinte au droit à la vie privée, les citoyens n’ont aucun droit exécutoire à un arbitrage indépendant, à une compensation financière pour les frais et autres dommages, ni à un quelconque recours en appel. Les citoyens n’ont même pas le droit de demander s’ils figurent sur la liste.

L’administration fédérale a fait savoir que la liste contient jusqu’à 2 000 noms. De toute évidence, il existe un risque important de faux positif – un problème qui s’est posé aux États-Unis, où des enfants et des personnalités publiques comme le sénateur Edward Kennedy ont été interrogés ou se sont vu refuser l’accès à bord.

Le Commissariat a clairement fait savoir qu’il ne s’opposerait pas à des initiatives qui protégeraient la vie des Canadiennes et des Canadiens. Toutefois, malgré nos demandes répétées, Transports Canada n’a toujours pas prouvé l’efficacité des listes de personnes interdites de vol.

Certains experts en sécurité ont suggéré que l’amélioration des inspections physiques dans les aéroports, y compris la vérification approfondie des bagages et du fret, serait une manière plus concrète et efficace d’améliorer la sûreté aérienne.   

Une vérification des pratiques de gestion en matière de protection des renseignements personnels du Programme de protection des passagers est prévue.

Peu après l’entrée en vigueur de la liste des personnes interdites de vol, les commissaires à la protection de la vie privée et les ombudsmans des échelons fédéral, provincial et territorial ont demandé d’une seule voix au gouvernement fédéral de réviser en profondeur le programme. Dans une résolution commune, nous avons demandé que le programme soit suspendu, ou du moins qu’il fasse l’objet d’une surveillance ministérielle étroite et que des rapports publics soient soumis régulièrement au Parlement jusqu’à ce qu’un examen parlementaire exhaustif soit réalisé.

Les responsables de la protection des renseignements personnels du monde entier ont des préoccupations similaires quant à cette utilisation répandue des listes de personnes interdites de vol ainsi qu’à la collecte et à la communication de données sur les passagers.

Les autorités de protection des données qui ont participé à la 29e Conférence internationale des commissaires à la protection des données et de la vie privée, tenue à Montréal par le CPVP, ont appuyé une résolution exigeant des normes internationales pour l’utilisation et la communication des renseignements personnels des passagers recueillis par les transporteurs aériens.

La liste des personnes interdites de vol était aussi un point central de la présentation de la commissaire à la protection de la vie privée en novembre 2007 devant la Commission d’enquête relative aux mesures d’investigation prises à la suite de l’attentat à la bombe commis contre le vol 182 d’Air India. Nous avons prié la Commission d’enquête de tenir compte, lorsqu’elle évaluera la pertinence des mesures visant la sûreté du transport aérien, de la nécessité de doter le Canada de recours judiciaires, de mécanismes de protection exécutoires et de systèmes de surveillance efficaces.

Accès légal

En octobre 2007, Sécurité publique Canada a publié un court document de consultation sur l’accès légal et les difficultés éprouvées par les organismes d’application de la loi à obtenir des renseignements sur les clients comme le nom, l’adresse, le numéro de téléphone ou l’adresse IP auprès des fournisseurs de services de télécommunication.

Certaines entreprises communiquent volontairement cette information, alors que d’autres exigent qu’un mandat soit présenté avant de fournir l’information demandée, quelle que soit la nature de cette information ou le contexte entourant la demande.

D’après le document de consultation de Sécurité publique Canada, cette situation complique le travail des agents de police, car ils ne disposent peut-être pas de moyens pour contraindre les organismes à divulguer les renseignements qu’ils recherchent.

Le document de consultation indique ce qui suit :

« Par exemple, les organismes d’application de la loi peuvent avoir besoin de l’information pour des raisons non reliées à une enquête (c.-à-d. pour trouver le plus proche parent en cas d’urgence) ou parce qu’il s’agit d’un début d’enquête. Le fait d’avoir accès à cette information de base constitue souvent la différence entre le début d’une enquête ou sa fin ».

Le document de consultation ne permet pas de saisir la portée des difficultés qu’il cite. Est-ce 20 ou 80 pour cent des entreprises qui divulguent des renseignements volontairement? Les entreprises réagissent-elles en fonction du contexte, c’est-à-dire, en cas d’urgence lorsqu’il faut trouver le plus proche parent ou lorsqu’on soupçonne qu’il y a eu crime violent? Nous n’avons pas de réponse à ces questions cruciales.

Le Commissariat considère que le fait d’exiger de tous les fournisseurs de services de télécommunication qu’ils communiquent les renseignements personnels des clients sur demande est une solution trop large et peu adaptée pour un problème qui n’a pas clairement été défini ni mesuré.

Ni ce document de consultation ni les précédents n’ont présenté de justification convaincante, fondée sur des preuves empiriques, que l’incapacité d’obtenir les renseignements personnels des clients rapidement a causé des problèmes sérieux aux organismes responsables de l’application de la loi et de la sécurité nationale.

Même s’il était prouvé, documents et preuves empiriques à l’appui, que l’accès aux renseignements des clients pose problème, nous ne sommes toujours pas convaincus que le fait d’exiger des fournisseurs de services de télécommunication qu’ils communiquent ces renseignements sans mandat soit la seule, ni la meilleure, solution.

Nous sommes d’avis que les citoyens s’attendent raisonnablement au respect de leur vie privée lorsqu’ils fournissent des renseignements, ce qui met en doute la validité constitutionnelle de toute communication ou perquisition obligatoire.

Bien que le document de consultation mentionne l’absence de « dispositions législatives explicites » comme un problème à régler, la LPRPDE offre en fait un code législatif explicite qui permet un accès légal aux organismes responsables de l’application de la loi et de la sécurité nationale tout en assurant la protection de la vie privée, ainsi que les autres droits et libertés des citoyens.

La LPRPDEautorise les fournisseurs de services de télécommunication et d’autres organisations à communiquer aux organismes d’application de la loi des renseignements personnels sans le consentement des intéressés et sans mandat aux fins d’application de la loi ou de conduite d’une enquête. Elle permet également la communication sans consentement lorsqu’une situation d’urgence met en danger la vie, la santé ou la sécurité d’une personne.

L’accès légal a fait l’objet de nombreuses discussions pendant l’examen quinquennal de la LPRPDE réalisé par le Comité permanent de la Chambre des communes sur l’accès à l’information, la protection des renseignements personnels et l’éthique. Dans sa réponse, le gouvernement a mentionné la nécessité de clarifier le concept d’autorité légitime. Le gouvernement a également noté que la LPRPDEpermetactuellement aux organisations de collaborer avec les organismes d’application de la loi et de sécurité nationale, sans nécessiter une assignation, un mandat ou une ordonnance d’un tribunal.

Avant de songer à instaurer des lois qui rendraient obligatoire la communication sur demande des renseignements personnels des clients, nous recommandons fortement que le gouvernement détermine si la clarification de la LPRPDE, ainsi que des lignes directrices appropriées, pourrait régler le problème.

L’accès légal soulève des questions fondamentales concernant les droits, comme le droit à la vie privée et le droit de communiquer librement. Le CPVP continuera de suivre cette question de près et de confier ses inquiétudes aux représentants du gouvernement et aux parlementaires.

Permis de conduire améliorés

En réponse aux plans d’étude ou de mise en œuvre des permis de conduire améliorés dans plusieurs provinces canadiennes, le CPVP et les gardiens de la vie privée dans les provinces et territoires expriment leur inquiétude en ce qui a trait aux risques pour la protection de la vie privée et la sécurité.

Ces permis de conduire améliorés sont la réponse des provinces à l’exigence qu’impose le gouvernement des États-Unis aux voyageurs de fournir une preuve de leur identité et de leur citoyenneté dans le cadre de l’Initiative relative aux voyages dans l’hémisphère occidental.

Ces développements ont soulevé des inquiétudes parmi les commissaires et les ombudsmans à la protection de la vie privée aux échelons fédéral, provincial et territorial.

Une des principales préoccupations réside dans le fait que les renseignements personnels des conducteurs participants devraient demeurer au Canada et que des contrôles significatifs et indépendants de la façon dont la US Customs and Border Protection reçoit et utilise les renseignements personnels des Canadiennes et des Canadiens devraient être mis en place.

De plus, la technologie d’identification par radiofréquence (IRF) dans les permis de conduire améliorés (PCA) risque de porter atteinte à la vie privée, car elle pourrait permettre la localisation subreptice des personnes qui détiennent un PCA. Cette technologie pourrait aussi ne pas chiffrer ou protéger autrement le numéro d’identification unique de son détenteur et risquer de ne pas protéger les autres renseignements personnels qui pourraient être stockés dans le système d’IRF.

En février 2008, nous avons publié une résolution commune unanime qui énonce les mesures à prendre pour protéger la vie privée des Canadiennes et des Canadiens dont les renseignements personnels sont consultés dans le cadre d’un programme de PCA et la sécurité de ces renseignements.

Cette résolution insiste sur le fait que les citoyens canadiens disposent déjà d’un document d’identification de voyageur bien établi et hautement sécuritaire, en l’occurrence, le passeport canadien, mais reconnaît que certains pourraient vouloir une alternative.

Le vol d’identité

La nouvelle législation qui vise à résoudre le problème du vol d’identité représente un grand pas vers la résolution de ce crime de plus en plus courant.

Toutes les définitions de la vie privée renvoient à l’idée que les personnes doivent pouvoir exercer un contrôle sur ce qui est fait de leurs renseignements personnels et sur le moment et les fins auxquelles ils sont utilisés. Les victimes de vol d’identité ont manifestement perdu le contrôle de leurs renseignements personnels, ce qui entraîne des conséquences souvent graves et durables. Leur vie privée a été gravement atteinte.

Le vol d’identité est un problème complexe, causé par de nombreux facteurs.

Le projet de loi C-27 ciblait les premiers stades du vol d’identité et traitait des différentes manières qu’utilisent les criminels pour recueillir les renseignements personnels. Par exemple :

Il rend illégal le fait d’avoir en sa possession ou de trafiquer des renseignements identificateurs si ces renseignements sont destinés à une utilisation frauduleuse.

Il prévoit des dispositions contre une technique courante des voleurs d’identité, à savoir le détournement de courrier, en rendant illégal le fait de détourner de manière frauduleuse tout envoi par la poste et le fait de posséder une clé à courrier.

Il prévoit des dispositions sur la fraude par carte de crédit par la création d’une nouvelle infraction de possession d’instruments de reproduction de renseignements de cartes de crédit.

Il rend illégale l’obtention, la vente ou la possession de « documents d’identité » concernant une autre personne, offense pouvant entraîner une peine d’emprisonnement maximale de cinq ans.

Ces changements fourniront aux agents de police de nouveaux outils importants pour mettre un terme au vol d’identité ou à la fraude avant que les citoyens ne subissent un préjudice financier.

Un autre élément notable de la loi consiste en la possibilité que les délinquants soient contraints de dédommager les victimes. Cet élément est d’autant plus important qu’il s’agit d’une manière de reconnaître les graves répercussions financières qu’a le vol d’identité sur la personne.

Toutefois, nous sommes d’avis que ce projet de loi sur le vol d’identité n’est qu’un premier pas et que d’autres modifications législatives sont nécessaires.

Par exemple, l’une des principales questions que n’aborde pas le projet de loi C-27 est le faux-semblant, c’est-à-dire lorsqu’une personne obtient des renseignements personnels comme des données téléphoniques et financières en se faisant passer pour une personne autorisée à les détenir. Il faudra également légiférer en matière de pourriels, lesquels sont souvent utilisés par les voleurs d’identité pour tromper les personnes de manière à ce qu’elles fournissent leurs renseignements personnels en ligne. Le Canada est le seul pays du G-8 qui ne dispose pas de loi antipourriel.

Autres lois et initiatives ayant une incidence sur la protection de la vie privée

Le droit d’auteur

Depuis quelques années, le gouvernement fédéral étudie des modifications à apporter à la Loi sur le droit d’auteur.

En janvier 2008, la commissaire à la protection de la vie privée a écrit aux ministres de l’Industrie et du Patrimoine canadien au sujet d’éventuelles modifications à la Loi.

Le CPVP est particulièrement préoccupé par le fait que certaines modifications autoriseraient l’utilisation de mécanismes techniques de prévention de la contrefaçon qui risquent d’avoir un effet négatif sur le droit à la vie privée des citoyens. Dans certains cas, les mécanismes de protection des produits visés par le droit d’auteur ont comme effet que des renseignements personnels sont recueillis, utilisés et communiqués sans le consentement des intéressés.

Des mesures techniques de protection peuvent être intégrées à divers médias afin d’en contrôler la copie et de prévenir la violation du droit d’auteur, ou elles peuvent être intégrées à des appareils électroniques afin d’empêcher la lecture de contenu non autorisé.

La gestion des droits électroniques est l’expression courante pour désigner les diverses technologies utilisées pour faire respecter les règles préétablies d’utilisation du contenu numérique. Ces technologies englobent tout moyen par lequel des diffuseurs ou des fabricants contrôlent l’utilisation des données ou des équipements.

Si les technologies de gestion des droits électroniques se limitaient au contrôle de la copie et de l’utilisation du contenu, nous ne serions pas préoccupés outre mesure. Toutefois, ces technologies permettent de recueillir des renseignements personnels détaillés de la part des utilisateurs qui, bien souvent, accèdent au contenu par ordinateur. Ces renseignements sont communiqués au titulaire du droit d’auteur ou au fournisseur de contenu, à l’insu de l’utilisateur et sans son consentement.

Bien qu’existent des moyens de contourner ces technologies et, par conséquent, d’empêcher la collecte de renseignements personnels, les propositions de modification de la Loi sur le droit d’auteur antérieures comprenaient des mesures visant à interdire ce contournement.

Les technologies qui envoient à une entreprise des données sur l’utilisation d’un produit révèlent beaucoup d’information sur les goûts et les préférences des consommateurs. Ces données peuvent à vrai dire être extrêmement personnelles.

Le CPVP examinera attentivement les incidences sur la protection de la vie privée de toute mesure législative qui viserait à modifier la Loi sur le droit d’auteur.

Le dossier de santé électronique

Le gouvernement fédéral encourage la mise sur pied d’un système de dossiers de santé électroniques par l’intermédiaire du Partenariat fédéral pour les soins de santé.

Nous surveillons les progrès de ce groupe, dont les travaux pourraient avoir une incidence sur les services de soins de santé qui sont fournis aux Premières Nations et aux populations inuites, aux anciens combattants admissibles, aux membres des Forces canadiennes, au personnel de la Gendarmerie royale du Canada (GRC), aux détenus sous responsabilité fédérale et aux demandeurs du statut de réfugié.

Le CPVP participe également activement au nouveau forum Inforoute Santé du Canada – Protection de la vie privée, qui regroupe des représentants des ministères de la Santé et des bureaux de protection de la vie privée de tout le Canada. Le Forum permet de discuter de questions fondamentales de protection de la vie privée et de gouvernance qui doivent être étudiées de façon à assurer la réussite de la mise en œuvre du dossier de santé électronique.

L’objectif d’Inforoute Santé du Canada est de faire en sorte que d’ici 2010, la moitié des Canadiennes et des Canadiens aient un dossier de santé électronique à mettre à la disposition des fournisseurs de soins de santé.

Bien que les dossiers de santé électroniques présentent des avantages importants, comme l’accès rapide à des renseignements complets sur les patients pour les professionnels de la santé, ils comportent également un certain nombre de risques liés à la protection de la vie privée.

La protection de la vie privée doit être un facteur clé dans l’étude de la façon dont ces dossiers de nature hautement délicate sont gérés. Il est essentiel que les patients sachent ce qu’il advient des renseignements sur leur santé et qu’ils soient assurés de pouvoir exercer un contrôle sur ces renseignements.

Il faudra prévoir d’importantes mesures de sécurité pour protéger les dossiers de santé électroniques, y compris des mesures de protection pour veiller à ce que seules les personnes dûment autorisées puissent accéder aux renseignements qu’ils contiennent. Une attention particulière doit également être consacrée aux possibles usages secondaires des renseignements, y compris la recherche en santé.

Réponse aux plaintes et aux incidents relatifs à la protection de la vie privée

Aperçu de la façon dont le CPVP a traité les plaintes et les incidents dans le cadre de la Loi sur la protection des renseignements personnels (LPRP) en 2007-2008.

Les plaintes reçues montrent que les Canadiennes et les Canadiens ont un large éventail de préoccupations quant à la façon dont les institutions fédérales traitent leurs renseignements personnels.

Les citoyens sont inquiets des échanges de renseignements entre les ministères, de l’utilisation du courriel pour consigner ou communiquer des renseignements ainsi que des problèmes que pose le fait pour les institutions de conserver des renseignements personnels dans des ordinateurs et d’accorder de façon opportune les droits d’accès aux renseignements personnels.

Le Commissariat a également remarqué une préoccupation grandissante quant à la manière dont les institutions fédérales protègent les renseignements. Les grands titres annonçant que des renseignements personnels ont été égarés ou volés alors que des fonctionnaires travaillaient à distance ou qu’ils avaient apporté le portable du bureau pour travailler à la maison n’ont rien pour inspirer confiance au public.

Les affaires qui ont fait l’objet d’une enquête du CPVP cette année ont mis en lumière à quel point une erreur humaine peut mettre à risque la vie privée. Certaines des atteintes que nous avons étudiées illustrent comment les problèmes d’ordinateurs et d’utilisation de l’équipement électronique conçu pour améliorer les processus administratifs peuvent mener à la communication de renseignements personnels. Il est également clair que les institutions fédérales doivent continuer d’insister auprès de leur personnel sur l’importance de la protection des renseignements personnels et de la vie privée.

De plus, le Commissariat est encore préoccupé par la question des retards dans le traitement des demandes des citoyens concernant l’accès à leurs renseignements personnels. Si certains ministères ont amélioré les délais de réponse, beaucoup des sections de l’accès à l’information et de la protection des renseignements personnels (AIPRP) sont débordées.  

Coup d’œil sur les demandes de renseignement, les plaintes et les enquêtes

Demandes de renseignements
Demandes de renseignements en vertu de la LPRP reçues	4 258
Demandes de renseignements sur la protection de la vie privée en général	2 367
Total (sans les demandes de renseignements en vertu de la LPRPDE)	6 625

Plaintes
Nombre total de nouvelles plaintes reçues	759

Les 10 institutions ayant reçu le plus de plaintes
Service correctionnel du Canada	248
Gendarmerie royale du Canada	84
Agence des services frontaliers du Canada	54
Service Canada	52
Défense nationale	48
Service canadien du renseignement de sécurité	45
Agence du revenu du Canada	38
Société canadienne des postes	28
Affaires étrangères et Commerce international	27
Justice Canada	18
Autres	117
Total	759

Demandes de renseignements

En 2007-2008, le Commissariat a reçu 4 258 demandes de renseignements en vertu de la LPRP en plus de 2 367 demandes plus générales sur la protection de la vie privée. Ces chiffres s’ajoutent aux 7 636 demandes de renseignements sur la LPRPDE, la loi applicable au secteur privé, reçues en 2007. Le nombre moyen de demandes reçues chaque jour au sujet de toutes les questions de protection de la vie privée est de près de 60.

Notre unité de demandes de renseignements fournit un service très important aux Canadiennes et aux Canadiens, qui peuvent obtenir une réponse en temps opportun à des questions concernant un vaste éventail d’enjeux liés à la protection de la vie privée.

Plaintes

Le CPVP a reçu 759 nouvelles plaintes, un peu moins que les 839 de l’année précédente.

La quantité de plaintes déposées contre les institutions ne signifie pas nécessairement que celles-ci ne respectent pas la LPRP.

En raison de leur mandat, certaines institutions détiennent une quantité considérable de renseignements personnels et sont donc plus susceptibles de recevoir de nombreuses demandes d’accès aux renseignements. Ainsi, les probabilités sont plus grandes qu’elles fassent l’objet de plaintes relatives à la collecte, à l’utilisation, à la communication, à la conservation et au retrait de renseignements personnels ou à la façon dont elles donnent accès aux renseignements.

Depuis quelques années, les institutions qui ont fait l’objet du plus grand nombre de plaintes sont le Service correctionnel du Canada et la GRC. Il convient de noter que les plaintes contre la GRC diminuent constamment, tandis que celles contre le Service correctionnel du Canada ont considérablement augmenté – de 190 en 2005-2006 à 248 en 2007-2008. Cette hausse du nombre de plaintes contre le Service correctionnel du Canada pourrait être directement proportionnelle à la hausse des demandes d’accès aux renseignements personnels que connaît ce service.

Vous trouverez une liste complète des plaintes reçues par institution à l’annexe 3.

La plupart des nouvelles plaintes provenaient de personnes qui alléguaient que des institutions fédérales leur avaient refusé le droit d’accès à leurs renseignements personnels. Le deuxième type de plainte en nombre porte sur la limite de 30 jours (pouvant être prolongée jusqu’à 60 jours dans certains cas) fixée par la loi pour répondre à une demande d’accès.

Vous trouverez des renseignements détaillés sur les plaintes reçues par type à l’annexe 3.

Plaintes fermées en 2007-2008
Total	880

Les trois principales catégories de plaintes fermées
Refus d’accès	318
Non-respect du délai	301
Utilisation/communication inappropriée de renseignements personnels	134

Répartition des plaintes fermées
Abandonnées	117
Réglées rapidement	32
Réglées en cours d’enquête	114
Résolues	6
Non fondées	275
Fondées	319
Fondées et résolues	17
Total	880

Les personnes peuvent abandonner leur plainte lorsque le problème a été résolu avec l’institution avant le début de l’enquête. Le CPVP peut également abandonner la plainte s’il manque des renseignements nécessaires pour terminer l’enquête. Une plainte réglée rapidement ou réglée en cours d’enquête indique que la personne est satisfaite des mesures prises par l’institution à la suite de l’intervention du Commissariat.

Accès aux renseignements personnels

Le droit d’accès aux renseignements personnels détenus par une institution fédérale est un droit fondamental que la LPRP accorde aux personnes. Toutefois, de toute évidence, beaucoup de citoyens éprouvent des difficultés à exercer ce droit. Plus de 70 p. 100 des plaintes déposées au Commissariat le sont par des personnes préoccupées par le refus d’accès à leurs renseignements personnels ou par l’incapacité d’une institution à communiquer ces renseignements dans les délais prescrits.

Le CPVP se réjouit de constater que les plaintes de ce genre ont diminué au cours des dernières années. La diminution peut être attribuable au fait que les personnes traitent directement avec les institutions pour régler les situations, une pratique encouragée par le Commissariat.

Un dossier de plainte liée au délai de réponse est ouvert lorsqu’une personne avise le Commissariat qu’une institution n’a pu répondre à la demande dans les 30 jours, comme le stipule la Loi. Dans certains dossiers, une année s’est écoulée sans que les institutions aient répondu aux demandes. Un plaignant a même attendu plus de deux ans une réponse à sa demande.

Défis que posent les enquêtes et demandes de renseignements

Le CPVP a ses propres défis à relever quand il s’agit de répondre rapidement aux plaintes et il est fermement déterminé à réduire le délai de traitement des plaintes.

En 2007-2008, le CPVP a reçu 759 plaintes et fermé 880 dossiers de plainte. Le CPVP avait 370 plaintes en attente de traitement qui, faute d’enquêteurs, n’étaient pas assignées. En moyenne, les enquêtes ont été menées à terme en 14,5 mois. Nous savons que cette situation est inacceptable et nous prenons certaines mesures pour remédier à la situation.

Vous trouverez une répartition détaillée des délais de traitement par conclusion et par type de plainte à l’annexe 3.

Le Commissariat se heurte à l’obligation, en vertu du libellé de la LPRP, de traiter chacune des plaintes qu’il reçoit. D’autres autorités de protection des données des quatre coins du monde et des provinces canadiennes sont aussi confrontées à l’obligation d’examiner toutes les plaintes déposées, peu importe leur nature ou leur gravité.

Le CPVP a demandé au gouvernement de modifier les lois afin d’obtenir la souplesse qui lui permettrait d’arriver à une meilleure utilisation de ses ressources d’enquête (pour de plus amples renseignements, voir page 50).

Un autre défi de taille consiste à attirer et à retenir des enquêteurs expérimentés et des gestionnaires dans ce domaine. Les personnes qui connaissent bien l’application de la LPRP et qui ont de l’expérience en enquête sont en grande demande dans la fonction publique – il n’y a tout simplement pas assez de personnes compétentes pour répondre aux besoins. Une génération plus âgée prend sa retraite et la nouvelle génération est extrêmement mobile dans un marché de l’emploi compétitif. Le taux de roulement du personnel dans ce domaine a été plus élevé qu’ailleurs au CPVP en raison de départs à la retraite et d’une demande externe.

Le Commissariat continue le renouvellement de son service d’enquête en misant sur le recrutement et en cherchant des façons novatrices d’améliorer ses services.

La stratégie comporte une réingénierie du processus d’enquête qui simplifiera les demandes de renseignements, les plaintes et les enquêtes. Les plaintes seront triées et nous déterminerons lesquelles sont susceptibles de se régler rapidement. Un nouveau système de gestion des dossiers permettra de mieux cerner les tendances et de concentrer les ressources là où elles seront le plus efficace.

Le Commissariat prévoit qu’une année sera nécessaire pour renforcer les capacités, diminuer les plaintes en attente et continuer l’embauche et la formation de personnel additionnel pour enquêter de façons novatrices. L’objectif est de terminer la réingénierie au printemps 2009.

Formation et coopération intergouvernementale

La formation jouera un grand rôle dans les efforts constants du Commissariat pour améliorer les méthodes d’enquête et de résolution des plaintes relatives aux atteintes à la vie privée.

En février 2008, le CPVP a tenu la quatrième conférence annuelle des enquêteurs. Plus de 90 personnes ont participé à cette conférence tenue à Ottawa, y compris des représentants de 12 des 13 organismes chargés de la protection de la vie privée dans les provinces et les territoires, et pour la première fois, des membres du Commissariat à l’information du Canada. La conférence a permis aux enquêteurs d’échanger sur leurs expériences et sur les meilleures pratiques. Des débats francs et ouverts ont amélioré la connaissance des enjeux communs.

Plaintes – Exemples de cas ayant fait l’objet d’une enquête du CPVP

Passeport Canada présente ses excuses pour avoir fait une « erreur inacceptable »

Le plaignant a signalé l’erreur à Passeport Canada, qui lui a demandé de retourner les documents ne lui appartenant pas – ce qu’il a fait – et a indiqué qu’il chercherait les documents du plaignant. Passeport Canada a communiqué avec l’autre personne, qui a indiqué avoir détruit les documents du plaignant.

Notre enquête a permis de déterminer qu’un employé de Passeport Canada avait interverti le contenu des dossiers, puis avait négligé de s’assurer que les enveloppes, les nouveaux passeports et les autres documents correspondaient bien à chacun des destinataires.

Passeport Canada a présenté ses excuses pour ce qu’il a reconnu être une « erreur inacceptable » et il a indiqué avoir pris des mesures pour que la situation ne se reproduise pas. Les cadres tiennent maintenant des réunions mensuelles avec le personnel pour s’assurer que les procédures adéquates sont bien suivies. De plus, l’organisme affiche les procédures et les nouveaux employés reçoivent une formation qui souligne l’importance de vérifier les documents avant de les insérer dans une enveloppe et de les poster au destinataire.

La plainte était fondée.

Un rapport concernant des détenus est trouvé dans une poubelle du gymnase d’une prison

Un détenu a découvert le rapport dans une poubelle du gymnase de la prison. L’enquête du Service correctionnel du Canada a permis de déterminer que ce rapport était régulièrement mis à jour et affiché pour les agents de correction dans un bureau à proximité du gymnase. Les rapports périmés étaient régulièrement jetés dans la poubelle du gymnase.

Afin de s’assurer que la situation ne se reproduise plus, le Service correctionnel du Canada a ordonné à l’établissement de cesser l’affichage de ce genre de renseignements dans le bureau à proximité d’un lieu fréquenté par des détenus et d’être plus vigilant à l’égard des renseignements personnels.

La plainte était fondée.

Une employée de l’Agence du revenu du Canada fait un usage abusif de renseignements

La plaignante n’en était pas à ses premiers démêlés avec l’employée de l’ARC. Elle a déclaré que l’employée et sa famille la harcelaient et la menaçaient depuis des années. La plaignante a déménagé et a obtenu un numéro de téléphone confidentiel. Après son déménagement, elle a commencé à se faire harceler par téléphone au travail et elle a établi que les appels provenaient de l’employée en question.

L’Agence a confirmé que son employée s’était servie de son poste pour avoir accès aux renseignements personnels de la plaignante, c’est-à-dire son adresse, son numéro d’assurance sociale, son lieu de travail, son revenu et ses déductions fiscales. L’ARC a mis l’employée en présence des faits et l’employée a confirmé qu’elle avait consulté les renseignements fiscaux de la plaignante. L’employée a fait l’objet de mesures disciplinaires pour avoir consulté sans autorisation les renseignements personnels de la plaignante.

L’ARC dispose d’un processus de vérification des accès élaboré qui lui permet de protéger les renseignements des contribuables.

La plainte était fondée.

L’identité de l’auteur d’une demande de renseignements est révélée

En plus d’être un employé du MAECI, le plaignant avait fait l’objet de critiques en ce qui concerne son travail syndical de la part des dirigeants locaux et de quelques membres. Le plaignant avait fait une demande en vertu de la LPRPpour connaître les renseignements personnels que détenaient cinq de ses collègues, aussi membres du syndicat, et les auteurs des critiques à son égard.

À la suite de la demande faite au MAECI, le service de l’AIPRP a demandé aux collègues de fournir tous les renseignements personnels qu’ils détenaient sur le plaignant. Le personnel de l’AIPRP a avisé les collègues de la confidentialité de la demande et les a informés que la diffusion de ces renseignements au sein du MAECI devait respecter le principe du « besoin de connaître ».

Le Commissariat a d’abord étudié la crainte du plaignant d’être identifié comme l’auteur de la demande. La plainte était non fondée, car pour obtenir les renseignements que détenaient les collègues, le service de l’AIPRP devait communiquer l’identité du plaignant.

Quant à la préoccupation du plaignant concernant le fait que les collègues avaient avisé le syndicat de la demande faite en vertu de la LPRP, l’enquête du Commissariat a permis de confirmer que quatre des cinq collègues avaient informé l’Alliance de la Fonction publique du Canada des gestes du plaignant. Les collègues ont cru que le plaignant avait fait la demande dans le but de les harceler. Les quatre collègues concernés ont confirmé avoir lu le rappel sur la confidentialité de la demande, mais ils ont indiqué avoir considéré la question comme une affaire syndicale et non ministérielle.

Si la communication de l’identité du plaignant à ses collègues était une plainte non fondée, le fait que quatre collègues ont informé le syndicat de la demande du plaignant en vertu de la LPRP constituait une atteinte au droit à la vie privée.

La plainte était fondée.

La surveillance des courriels d’un employé se révèle appropriée

L’employé faisait l’objet d’une enquête administrative à la suite d’allégations selon lesquelles il utilisait le réseau du ministère à mauvais escient.

Pendant l’enquête sur les gestes du plaignant, le Ministère a reconstitué le compte de courriel du plaignant et y a découvert des messages au contenu pornographique.

Plus tard, l’employé a reçu une copie du mandat pour l’enquête administrative et a remarqué l’absence de signature. Il a allégué que, le document n’étant pas signé, le Ministère n’avait pas l’autorité de reconstituer ou de lire les courriels. Il a également prétendu qu’il aurait dû être avisé des mesures prises par l’institution.

La politique du Conseil du Trésor en la matière précise que si une institution a des raisons valables de soupçonner une personne d’utiliser le réseau à mauvais escient, elle doit faire part de ses soupçons au dirigeant qui est responsable d’enquêter et de prendre des mesures de contrôle particulières, ce qui peut comprendre la lecture du contenu des courriels de la personne.

La politique du ministère des Affaires indiennes et du Nord canadien prévoit que la direction peut avoir accès aux courriels d’un employé dans le cadre d’une enquête sur des pratiques répréhensibles, des atteintes à la sécurité et des infractions à la loi ou aux politiques du Ministère.

Bien que le mandat n’ait pas été signé et que l’employé n’ait pas été informé des mesures prises par son employeur, le Ministère n’a pas violé la Politique du Conseil du trésor sur l’utilisation des réseaux électroniques, ni le droit à la vie privée de l’employé. En vertu de la LPRP, les renseignements personnels relevant d’une institution fédérale ne peuvent servir qu’aux fins auxquelles ils ont été recueillis ou préparés par l’institution de même que pour les usages qui sont compatibles avec ces fins. Dans cette affaire, les renseignements recueillis à partir des courriels du plaignant n’ont servi qu’aux fins de l’enquête administrative du Ministère.

La plainte était non fondée.

Un journaliste est identifié dans une réponse à une demande d’accès

Le courriel a été mis au jour après qu’un autre journaliste a fait une demande d’accès à l’ensemble des courriels et des communications que le directeur des communications du Cabinet du Premier ministre avait envoyés ou reçus.

La réponse à cette demande comprenait un courriel qu’un employé du Bureau du Conseil privé (BCP) avait adressé à 19 responsables gouvernementaux du BCP et du Cabinet du Premier ministre.

Le courriel avait été rédigé après une conférence téléphonique entre plusieurs ministères durant laquelle un fonctionnaire de Sécurité publique Canada avait discuté de la communication prochaine d’information concernant une question de nature délicate en réponse à une demande faite en vertu de la Loi sur l’accès à l’information. Dans le courriel, le fonctionnaire du BCP mentionnait la possibilité que le plaignant rédige un nouvel article concernant une affaire délicate qu’il avait déjà traitée. D’autres journalistes étaient également nommés dans le courriel, principalement en ce qui a trait à des articles déjà publiés. Les noms avaient été masqués, mais celui du plaignant avait été oublié et communiqué par erreur.

Le Bureau du Conseil privé a par la suite présenté ses excuses au plaignant.

Comme le nom du plaignant avait été communiqué à l’autre journaliste en réponse à une demande faite en vertu de la Loi sur l’accès à l’information, le CPVP a conclu qu’il y avait eu atteinte au droit à la vie privée du plaignant. La plainte était fondée.

Une plainte connexe comportait des allégations voulant que le fonctionnaire du BCP ait communiqué le fait que le journaliste avait présenté une demande d’accès à l’information à Sécurité publique Canada lors de la conférence téléphonique entre plusieurs ministères.

Toutefois, notre enquête a confirmé que l’identité de la personne ayant fait la demande d’accès à l’information n’avait jamais été communiquée à l’extérieur du bureau d’AIPRP de Sécurité publique Canada.

Le fonctionnaire du BCP a déclaré qu’il avait uniquement émis une hypothèse à propos de l’auteur de la demande en fonction du fait que le journaliste avait rédigé plusieurs articles sur le sujet.

Le commissaire adjoint s’est dit convaincu que l’identité du journaliste en tant qu’auteur de la demande d’accès à l’information n’avait pas été communiquée au BCP et n’était donc pas de la responsabilité du BCP. Cette plainte était non fondée.

Une troisième plainte émanant du même journaliste, dans laquelle celui-ci alléguait que Sécurité publique Canada l’avait identifié comme l’auteur d’une demande d’accès à l’information était également non fondée. Le dossier de plainte a été fermé l’année dernière.

Communication injustifiée de renseignements à un employeur potentiel

Le plaignant avait refusé une offre d’emploi pendant une période où il bénéficiait de prestations d’assurance-emploi (AE), en conséquence de quoi, RHDCC a mis fin à ses prestations d’AE. Le plaignant a interjeté appel de cette décision devant le conseil arbitral, car il a indiqué qu’il avait refusé l’emploi en raison des conditions de travail.

Conformément à la Loi sur l’assurance-emploi, lorsqu’une personne interjette appel devant le conseil arbitral, RHDCC peut communiquer des renseignements sur la personne aux parties intéressées, comme des employeurs ou toute personne ayant un intérêt direct. La communication de renseignements à ces parties est nécessaire pour établir la validité de la demande de rétablissement des prestations d’AE.

Dans cette affaire, RHDCC a jugé que l’employeur potentiel était une partie dans l’appel du plaignant. RHDCC a donné à l’entreprise une foule de renseignements sans avoir relu le dossier du plaignant, et de ce fait a communiqué le numéro d’assurance sociale, la date de naissance et des renseignements sur les emplois précédents, y compris les taux de rémunération régulière et majorée. Comme l’appel devant le conseil arbitral était fondé sur le refus d’un emploi en raison des conditions de travail, les renseignements communiqués par RHDCC auraient dû se limiter à ce qui était nécessaire pour valider la décision du plaignant de refuser l’offre d’emploi.

RHDCC a reconnu avoir communiqué trop de renseignements et a parlé de l’incident comme d’une erreur involontaire commise en toute bonne foi par un employé. À la suite de cette plainte, l’organisme a révisé ses politiques et ses procédures, puis a changé la définition d’employeur pour ce qui suit : une personne ou un organisme pour lequel le requérant travaille ou a déjà travaillé. Un futur employeur ou un employeur potentiel n’est plus considéré comme une partie intéressée dans le processus d’appel.

La plainte était fondée.

Incidents en vertu de la LPRP

Le Commissariat examine aussi des cas de mauvaise gestion des renseignements personnels qui sont portés à son attention par les médias, par des personnes touchées ou par un avis d’atteinte à la sécurité des données émis par une institution fédérale.

Atteintes à la sécurité des données

Le Secrétariat du Conseil du Trésor a publié à la fin de mars 2007 des lignes directrices sur les atteintes à la vie privée à l’intention des institutions assujetties à la LPRP. Ces lignes directrices « recommandent fortement » aux institutions fédérales d’aviser le CPVP si une atteinte à la sécurité porte sur des renseignements personnels de nature délicate, comme des renseignements de nature financière ou médicale ou des numéros d’assurance sociale, ou s’il y a risque de vol d’identité, de préjudice ou d’humiliation menaçant la réputation, la situation financière ou la sécurité d’une personne.

La première année de la mise en place de ces lignes directrices, le Commissariat a remarqué une augmentation du nombre d’incidents qui lui sont signalés (57 en 2007-2008 contre 43 en 2006-2007). La quantité de renseignements personnels détenue par les institutions fédérales étant impressionnante, ce relativement petit nombre d’incidents est plutôt encourageant.

La plupart des incidents résultaient d’une erreur humaine ou d’un vol, comme lorsque des documents contenant des renseignements personnels sur une personne ont été perdus, lorsqu’un porte-documents appartenant à un fonctionnaire a été volé dans une chambre d’hôtel ou lorsqu’un portable a été volé dans un véhicule. Dans un des cas, des employés ont obtenu un accès non autorisé à des renseignements personnels conservés sur des ordinateurs du gouvernement.

Voici quelques incidents types que nous avons examinés :

Un problème technique mène à la communication de renseignements de nature délicate

Ces dernières années, des institutions ont pris l’habitude de répondre à certaines demandes en vertu de la Loi sur l’accès à l’information et de la LPRP sur CD au lieu d’utiliser du papier. À TPSGC, les CD contenaient des reproductions numérisées en format TIFF (Tagged Image File Format) des documents. Lorsque des personnes se sont plaintes d’éprouver des difficultés à ouvrir ces fichiers, le format d’enregistrement a été changé pour le format PDF (Portable Document Format).

Le destinataire d’un des CD contenant l’information demandée en format PDF a informé TPSGC qu’il arrivait à lire les renseignements qui avaient été retirés. Il a dit n’avoir eu qu’à copier les parties dépersonnalisées dans un autre document.

Avant d’avoir vent de ce problème, TPSGC avait répondu à 123 demandes en vertu de la Loi sur l’accès à l’information et à une demande en vertu de la LPRP au moyen de fichiers PDF. En conséquence, le contenu des CD envoyés pouvait révéler le nom et l’adresse de résidence d’employés fédéraux faisant l’objet d’une enquête relative à une fraude impliquant des cartes de crédit de l’administration fédérale, le nom et la date de naissance de personnes en attente d’une cote de sécurité, le résultat d’évaluations de langue seconde et des renseignements sur les congés.

Afin de limiter toute autre communication indue de renseignements, TPSGC a tenté de récupérer les CD. Certains les ont retournés, alors que d’autres ont affirmé les avoir détruits ou perdus. Les personnes dont les renseignements personnels étaient menacés ont été avisées par l’organisme du risque d’atteinte à leur vie privée.

Il a été établi que le problème venait d’une défaillance du système de numérisation. TPSGC a contacté le fournisseur du logiciel, qui a affirmé que TPSGC était la seule institution à avoir une version défectueuse. Malgré tout, afin d’éviter que la situation ne se reproduise ailleurs, le Conseil du Trésor a préparé un bulletin de sécurité avisant l’ensemble des institutions de ne pas communiquer de renseignements sur CD jusqu’à ce qu’elles aient la confirmation que leur logiciel est sécuritaire.

Un portable volé contient des renseignements d’enquête auprès des ménages

L’ordinateur contenait les données de six enquêtes sur la population active et sur la santé dans les collectivités canadiennes. Les données sur la population active comportaient des coordonnées et des renseignements sur le ménage, le loyer, l’emploi et les revenus ainsi que des données démographiques, tandis que celles des enquêtes sur la santé comportaient des renseignements extrêmement confidentiels, y compris la taille, le poids, les habitudes de sommeil, les comportements sexuels, les maladies chroniques, le niveau de stress, l’usage du tabac, la consommation d’alcool et de drogues ainsi que l’état de santé mentale.

L’employé a immédiatement prévenu la police du vol. Des fonctionnaires de Statistique Canada ont rencontré chacun des ménages concernés pour les informer que leurs renseignements personnels avaient été compromis.

Statistique Canada a abordé le problème de manière appropriée avec l’employé victime du vol. Le ministère a aussi envoyé un bulletin d’information à tous les employés sur le terrain pour leur rappeler leur obligation de protéger leur portable et de contrôler l’utilisation des mots de passe, du nom d’utilisateur et des comptes. Le Commissariat est satisfait des mesures mises en œuvre par Statistique Canada.

Une erreur humaine compromet les renseignements personnels de contribuables

Le citoyen a téléphoné à l’ARC pour rapporter la situation, mais la communication avec l’agent qui lui a répondu s’est avérée ardue. Il a demandé à parler à un superviseur, ce qui lui a d’abord été refusé. Un superviseur a ensuite communiqué avec le citoyen pour lui demander de retourner les documents. Ayant eu l’impression que l’ARC ne prenait pas l’affaire au sérieux, le citoyen a communiqué avec deux chaînes de télévision.

Des équipes de tournage ont filmé le citoyen alors qu’il livrait un avis de cotisation à une personne qui habitait à proximité, puis retournait les autres documents à un bureau de l’ARC.

Après l’incident, l’Agence du revenu du Canada a révisé ses procédures et ses politiques sur les documents à télécopier ou à poster et a apporté des correctifs. L’ARC a également présenté ses excuses aux contribuables concernés.

Le Commissariat a conclu que l’incident résultait d’une erreur humaine.

Une machine à mettre sous pli qui n’avait pas été réinitialisée cause une atteinte à la vie privée

L’entreprise a fait enquête et a mis en place un nouveau système d’assurance de la qualité. Ainsi, le nombre de chèques traités dans une journée est maintenant consigné, puis la quantité de chèques imprimés est comparée au nombre d’enveloppes à poster. Tout écart conduit immédiatement à une vérification et à une correction. De plus, l’entreprise a mis en place une politique qui oblige dorénavant l’insertion individuelle des chèques de remboursement.

Anciens Combattants Canada a appelé les prestataires concernés pour vérifier s’ils avaient bien reçu leur chèque et l’entreprise a envoyé une lettre d’excuses. Les chèques ont été soit réacheminés au bon destinataire soit réémis.

Le Commissariat a examiné le rapport du ministère des Anciens Combattants sur cet incident et est satisfait des mesures prises pour aviser les personnes touchées et pour s’assurer qu’une telle situation ne se reproduise pas.

Communications pour raisons d’intérêt public en vertu de la LPRP

Quand l’intérêt public l’emporte nettement sur le droit à la vie privée d’une personne, le responsable d’une institution fédérale peut, en vertu de la LPRP, utiliser son pouvoir discrétionnaire et communiquer des renseignements personnels sans consentement.

À moins qu’il ne s’agisse d’une urgence, l’institution qui communique des renseignements personnels dans l’intérêt du public doit prévenir la commissaire à la protection de la vie privée. Après examen des renseignements en question, la commissaire peut, si elle le juge nécessaire, aviser la personne concernée que des renseignements la concernant seront communiqués. Le CPVP indiquera également des façons de limiter la quantité de renseignements personnels à communiquer s’il juge que la proposition de l’institution excède ce qui satisfait aux questions d’intérêt public.

En 2007-2008, le Commissariat a examiné 83 avis de communication pour raison d’intérêt public. La plupart provenaient de la GRC et concernaient des délinquants à risque élevé qui allaient être mis en liberté et qui, selon l’institution, représentaient une menace pour la collectivité. Dans d’autres cas, la GRC a communiqué des renseignements personnels pour retracer un suspect ou pour mettre en garde le public contre les comportements d’un délinquant violent ou d’un délinquant sexuel.

D’autres avis de communication de la Défense nationale et du Service correctionnel du Canada visaient à informer les membres d’une famille du décès d’un des leurs. Ce type de renseignements sur la cause d’un décès est fourni pour des raisons de compassion.

Autres exemples de communications pour raisons d’intérêt public

Un risque de transmission de la tuberculose oblige l’identification d’un passager

Le ministère des Affaires étrangères et du Commerce international a informé le CPVP qu’il avait communiqué à l’Agence de la santé publique du Canada l’identité et les coordonnées de 27 passagers sur un vol international de plus de huit heures dont les sièges étaient à proximité de celui d’une personne ayant la tuberculose.

L’Agence de la santé publique a pu ainsi informer les passagers concernés de la nécessité de subir un test de dépistage de la tuberculose.

Dans cette affaire, des raisons d’intérêt public l’emportaient nettement sur toute possible atteinte à la vie privée.

La vérificatrice générale met au jour l’emploi inapproprié de fonds par la lieutenante-gouverneure du Québec

Le Bureau du vérificateur général du Canada a informé le CPVP de son intention de communiquer des renseignements personnels liés à l’utilisation inappropriée de fonds fédéraux par la lieutenante-gouverneure du Québec.

La vérificatrice générale a étayé sa décision de communiquer des renseignements personnels par des raisons d’intérêt public. Le Commissariat a conclu qu’aucune autre mesure n’était nécessaire.

L’ombudsman de la Défense nationale publie un rapport sur des tireurs d’élite des Forces canadiennes

Le Bureau de l’Ombudsman de la Défense nationale et des Forces canadiennes a informé le CPVP de son intention de publier le rapport intitulé : La bataille d’un tireur d’élite : l’inquiétude d’un père – Une enquête sur le traitement d’un tireur d’élite des Forces canadiennes déployé en Afghanistan en 2002 – Rapport spécial à l’intention du ministre de la Défense nationale et du Chef d’état-major de la Défense.

Le rapport concerne les allégations faites par le père d’un des six tireurs d’élite d’une unité. Il affirmait que les hommes avaient été ostracisés et traités de façon injuste, qu’on leur avait refusé le droit aux séances de verbalisation et qu’on les avait soumis, sans justification, à des enquêtes criminelles et à d’autres types d’enquêtes.

Deux personnes nommées dans le rapport ont consenti à la communication de leurs renseignements personnels. L’ombudsman était d’avis qu’il était possible d’identifier les autres personnes mentionnées malgré qu’elles ne soient pas nommées, mais il estimait que l’intérêt public l’emportait sur le droit à la vie privée.

Le Bureau de l’Ombudsman a avisé quatre personnes de la publication imminente du rapport et leur a remis le document. Le CPVP a étudié la question et a recommandé que soient informées les deux autres personnes de la publication du rapport et du risque qu’elles soient identifiées. Cette recommandation a été acceptée.

Un rapport de la Commission d’examen des plaintes révèle des renseignements personnels

La Commission d’examen des plaintes concernant la police militaire est un organisme fédéral indépendant chargé de surveiller le traitement des plaintes relatives à la conduite des membres de la police militaire.

La Commission d’examen des plaintes a reçu une plainte d’un tireur d’élite provenant d’une unité déployée en Afghanistan au sujet de la conduite de membres de la police militaire. La Commission a enquêté sur les allégations et a avisé le CPVP de son intention de communiquer des renseignements personnels contenus dans son rapport en le publiant sur son site Web. La Commission d’examen des plaintes a fait valoir que le rapport contenait des informations d’intérêt public cruciales.

La Commission a déterminé que les allégations qui visaient la police militaire n’étaient pas fondées.

Les plaignants, les membres de la police militaire, le ministre de la Défense nationale ainsi que d’autres fonctionnaires ministériels ont eu le rapport avant sa publication sur Internet et ont été informés qu’il serait rendu public. D’autres personnes nommées dans le rapport parce qu’elles avaient été interrogées au cours de l’enquête n’ont pas été avisées.

Le CPVP a recommandé à la Commission d’aviser les personnes interrogées de son intention de publier le rapport. Il a également recommandé sa dépersonnalisation afin de protéger l’identité des parties et des personnes interrogées.

Autres activités du Commissariat

Vérification et revue

Le travail de vérification du CPVP a donné lieu cette année à notre premier rapport spécial au Parlement. Les problèmes découverts pendant une vérification des fichiers inconsultables de la GRC ont suscité de si grandes inquiétudes que la commissaire a choisi d’en produire les conclusions dans un rapport spécial présenté en février 2008.

Le Commissariat a également réalisé un examen complet des activités de Passeport Canada (voir page 17).

La Direction de la vérification et de la revue s’est penchée sur d’autres questions au cours de 2007-2008, dont l’achat par le gouvernement de renseignements personnels à des courtiers en données et l’utilisation répandue du numéro d’assurance sociale.

Le CPVP a aussi étudié les évaluations des facteurs relatifs à la vie privée (ÉFVP) de nouvelles initiatives fédérales, ce qui nous a permis de faire des centaines de recommandations visant à protéger la vie privée des Canadiennes et des Canadiens.

Rapport spécial au Parlement concernant les fichiers inconsultables de la GRC

Une vérification du Commissariat a permis de découvrir que les fichiers inconsultables de la GRC, qui soustraient à l’accès du public des dossiers sur la sécurité nationale et des renseignements criminels, avaient été truffés de dizaines de milliers de dossiers qui n’auraient pas dû s’y trouver. Cette conclusion est particulièrement troublante, car la GRC avait déjà été avisée 20 ans plus tôt de problèmes de conformité à ce sujet et s’était engagée à tenir convenablement ces fichiers.

Les fichiers inconsultables servent à cacher les renseignements les plus délicats sur la sécurité nationale et la criminalité. Les ministères et les organismes qui contrôlent de tels fichiers refuseront de confirmer ou nieront l’existence de tels renseignements en cas de demande d’accès.

Les personnes dont le nom figure dans les fichiers inconsultables de la GRC risquent de subir de graves préjudices. Par exemple, elles risquent d’avoir des difficultés à obtenir une cote de sécurité pour leur travail ou à passer la frontière.

Plus de la moitié des dossiers examinés dans le cadre de la vérification des fichiers inconsultables n’auraient pas dû s’y trouver. À titre d’exemple, un dossier vieux de sept ans trouvé parmi le fichier inconsultable sur la sécurité nationale concernait la dénonciation d’un résidant qui avait informé les autorités qu’un homme s’était rendu dans une maison de chambres et qu’il pouvait s’agir d’une affaire de drogues. Le fichier indiquait qu’après enquête, la police avait découvert que l’homme n’avait fait que déposer sa fille dans une école du voisinage et qu’il était sorti de sa voiture pour fumer.

La commissaire à la protection de la vie privée s’est dite convaincue que la GRC considère avec sérieux ses recommandations et qu’elle prendra des mesures pour veiller à ce que les fichiers inconsultables respectent la LPRP et ses propres politiques. Le CPVP effectuera une vérification a posteriori.

Le rapport de vérification complet se trouve sur le site Web du Commissariat.

Projet Shock

Le fichier inconsultable des dossiers d’enquêtes relatives à la sécurité nationale de la GRC comprend des dossiers liés au « Projet Shock », initiative pour la coordination des indices reçus concernant les attaques terroristes du 11 septembre 2001.

Le Commissariat a examiné un échantillon des dossiers en 2002 et a trouvé que les indices portaient généralement sur des soupçons d’affiliation terroriste, des personnes louches ou des activités suspectes. Cependant, certains indices tenaient plutôt de l’hystérie collective en période de crise.

Bien que ces fichiers ne fassent pas partie de la vérification des fichiers inconsultables, le CPVP a posé des questions pour vérifier si chaque dossier d’indice avait été évalué en fonction de la pertinence de le conserver parmi les fichiers inconsultables.

Tel que nous l’avons indiqué dans notre rapport spécial, un examen ultérieur par la GRC des dossiers du « Projet Shock », contenant des renseignements sur des milliers de citoyens, a révélé que ces dossiers étaient non-conformes au critère d’inclusion continue dans le fichier inconsultable relatif à la sécurité nationale et ils en ont donc été retirés.

Le forage de données et le secteur public

La façon dont les courtiers en données recueillent, utilisent et communiquent des renseignements personnels est une de nos préoccupations des dernières années. De même, des enjeux concernant la vie privée ont été mis en relief dans nombre d’études et d’incidents importants impliquant des courtiers en données.

Vers la fin de 2006, le Ottawa Citizen a publié un article décrivant la manière dont la GRC avait acheté des renseignements personnels à des courtiers en données commerciales depuis de nombreuses années et les avait conservés. La révélation a non seulement suscité des questions sur la manière dont la GRC utilisait ces renseignements, mais elle a également soulevé la question de savoir si d’autres institutions fédérales achètent ce type de renseignements.

Les courtiers en données recueillent et analysent des renseignements personnels – qu’il s’agisse de renseignements financiers, de renseignements médicaux ou de données sur le crédit – afin de concevoir et de vendre des produits de données, souvent à des spécialistes du marketing. Du point de vue de la protection de la vie privée, le CPVP se préoccupe de l’exactitude de ce type de données ainsi que du risque de faire des suppositions erronées sur les personnes.

La GRC a informé le Commissariat qu’elle a des ententes contractuelles avec des courtiers en données qui fournissent des rapports commerciaux sur des sociétés publiques et privées ainsi que des coordonnées (adresses et numéros de téléphone) de consommateurs et d’entreprises.

Selon le mandat de la section opérationnelle, la GRC fait plus ou moins appel aux courtiers en données. Par exemple, les sections des infractions commerciales peuvent préparer des profils économiques sur des personnes ou des entreprises dans le cadre d’enquêtes sur des faillites.

La GRC nous a expliqué que l’information fournie par les courtiers en données complète son travail de renseignement et d’enquête, et qu’elle est considérée comme une source secondaire de renseignements dont la pertinence, l’exactitude et la fiabilité sont indéterminées. Le CPVP en comprend que rien n’est entrepris en fonction de ces seuls renseignements.

Le Commissariat a réalisé un sondage restreint pour évaluer l’utilisation des services des courtiers en données au sein d’autres institutions fédérales et il a conclu que cet usage ne semble pas répandu.

Le Secrétariat du Conseil du Trésor a fait savoir au CPVP qu’il tiendra compte de la question des courtiers en données dans la révision de sa Politique d’évaluation des facteurs relatifs à la vie privée qui devrait être terminée d’ici avril 2009.

Utilisation du numéro d’assurance sociale

En juin 2007, un prestataire de la Sécurité de la vieillesse a écrit à la commissaire pour lui faire part de son inquiétude à propos de la présence du numéro d’assurance sociale sur sa carte d’identité de la Sécurité de la vieillesse. Le citoyen indiquait que cet ajout force les citoyens âgés à révéler un renseignement personnel sensible chaque fois qu’ils utilisent leur carte pour obtenir des privilèges et des réductions.

La lettre demandait au Commissariat de communiquer avec Ressources humaines et Développement social Canada pour soulever le problème. Quelques mois plus tard, le Ministère a informé le CPVP que le numéro d’assurance sociale ne serait plus imprimé sur la carte.

Le numéro d’assurance sociale a été créé en 1964 afin de servir de numéro de compte pour le Régime de pensions du Canada et divers programmes d’assurance-emploi. En 1967, l’Agence du revenu du Canada (ARC) de l’époque a instauré l’utilisation du numéro d’assurance sociale aux fins de déclaration de revenus.

Une étude récente du CPVP a permis de découvrir que plus de 70 ministères et organismes fédéraux utilisent le numéro d’assurance sociale d’une façon ou d’une autre. De plus, les divers usages du numéro d’assurance sociale figurent dans environ 170 lois provinciales.

Malgré des années d’effort de la part des gouvernements, du Commissariat, des autres commissaires à la protection de la vie privée, des défenseurs de la vie privée et des citoyens pour restreindre l’utilisation du numéro d’assurance sociale, au cours des années l’usage a fait boule de neige à tel point que beaucoup y voient dans les faits un numéro de client ou même un numéro d’identité nationale.

Parallèlement, aucune disposition législative ne prévoit de protection en ce qui concerne l’utilisation du numéro d’assurance sociale. Il s’agit d’une préoccupation sérieuse puisque ce numéro est la clé de voûte des renseignements personnels d’une personne – les voleurs d’identité l’utilisent pour demander des cartes de crédit et ouvrir des comptes bancaires.

Le Secrétariat du Conseil du Trésor a publié récemment une nouvelle politique régissant l’utilisation du numéro d’assurance sociale. Reste à voir si elle arrivera à en restreindre l’utilisation.

Examen des évaluations des facteurs relatifs à la vie privée

L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est un outil de gestion important pour aider les institutions fédérales à déterminer et à atténuer les risques pour la vie privée avant la mise en œuvre d’un programme.  

Les ÉFVP en chiffres
Nouvelles ÉFVP soumises au CPVP	60
ÉFVP examinées et lettres de recommandations envoyées aux ministères (y compris les ÉFVP d’années précédentes)	78
Recommandations du CPVP aux ministères	239
Demandes aux ministères concernant l’information manquante dans les ÉFVP	301

L’ÉFVP – obligatoire en vertu d’une politique du Secrétariat du Conseil du Trésor – est destinée à encourager les ministères à placer la protection de la vie privée au centre de leurs préoccupations lorsqu’ils mettent en œuvre de nouveaux programmes et de nouvelles initiatives. Le CPVP croit que les ÉFVP devraient être obligatoires en vertu de la LPRP (pour de plus amples renseignements, voir p. 48).

La Direction de la vérification et de la revue a examiné les ÉFVP qui lui ont été soumises afin d’évaluer les risques pour la vie privée des programmes et des services fédéraux, et elle a fourni des conseils le cas échéant. Ainsi, le CPVP peut s’assurer que des mesures de protection des renseignements personnels sont incorporées aux programmes et systèmes.

Le Commissariat est satisfait de constater que, de plus en plus, les ministères invitent des représentants du CPVP aux réunions préliminaires tenues durant la phase d’élaboration des ÉFVP, et parfois même avant. Cette participation permet au Commissariat de suggérer des pratiques optimales et de faire rapidement des mises en garde concernant les risques pour la vie privée que peuvent poser les nouveaux programmes et initiatives.

Une des grandes priorités de cette direction en 2007-2008 était de réduire les retards dans l’examen des ÉFVP. Pendant l’année, l’arriéré de demandes en attente a beaucoup diminué, passant de 50 à 18.

La Direction a examiné 78 ÉFVP de nombreux programmes et initiatives fédéraux. Certaines concernaient des projets controversés et médiatisés, comme la liste des personnes interdites de vol de Transports Canada et le permis de conduire amélioré de l’Agence des services frontaliers du Canada. Le Commissariat a également examiné les risques pour la vie privée d’initiatives moins connues : un nouveau programme de prestations pour les anciens combattants, l’enregistrement des conversations téléphoniques dans les ports canadiens et le processus de traitement des demandes de passeport aux bureaux de Service Canada.

Dans la plupart des cas, le CPVP a mis au jour des risques pour la vie privée et a émis des recommandations, lesquelles sont habituellement prises au sérieux.

Exemples d’examens d’ÉFVP
Programme de protection des passagers (liste des personnes interdites de vol) de Transports Canada Si le Commissariat continue d’avoir de sérieuses inquiétudes à propos des risques pour la protection des renseignements personnels que pose la liste des personnes interdites de vol, l’examen de l’ÉFVP du programme de Transports Canada a entraîné quelques améliorations. Par exemple, dans la foulée des recommandations du CPVP, Transports Canada a mis en place nos suggestions sur les procédures de recours pour les passagers, a effectué une vérification de l’efficacité du programme, a prévu des clauses de confidentialité dans les protocoles d’entente, et a instauré des normes d’intervention pour la GRC et le Service canadien du renseignement de sécurité (SCRS) lorsqu’une personne se voit refuser l’embarquement à bord d’un avion. Cependant, la recommandation de ne pas communiquer aux services de police locaux les renseignements personnels des personnes auxquelles l’embarquement a été refusé n’a pas été entièrement mise en œuvre. De plus, la recommandation de soumettre le Programme de protection des passagers ainsi que d’autres listes de surveillance à un examen par une commission parlementaire dans un forum ouvert et transparent a été rejetée.
Enquête canadienne sur les mesures de la santé de Statistique Canada L’enquête canadienne sur les mesures de la santé permet de recueillir des renseignements sur la santé générale et les habitudes de vie des citoyens. Notre rapport d’examen de cette enquête déconseillait initialement la conservation prévue d’échantillons de sang, d’urine et d’ADN des participants pour une durée indéterminée à des fins d’études éventuelles non précisées. Le Commissariat juge que cette pratique vide de son sens le consentement que les participants donnent pour la collecte des échantillons. Le CPVP a recommandé à Statistique Canada de stocker les échantillons biologiques, selon un code anonyme, pour une période déterminée n’excédant pas 20 ans. Il a également recommandé que l’enquête n’offre pas de garder à long terme les échantillons biologiques des répondants de 6 à 13 ans, dont le consentement doit être donné par un des parents ou par le tuteur. Statistique Canada a décidé de mettre à exécution son plan de stockage illimité. Il a proposé qu’un comité de surveillance, composé de parties intéressées comme le CPVP, puisse étudier les façons dont les échantillons stockés pourraient être utilisés dans le futur. Le plan de stockage des échantillons biologiques des jeunes sujets sera également mis en œuvre; toutefois, l’organisme communiquera avec eux après leur 14e anniversaire pour obtenir un consentement explicite.
Système national intégré d’information interorganismes de la GRC et de Sécurité publique Canada Le système national intégré d’information interorganismes (N-III) est un programme de partage de dossiers électronique qui relie les services de police nationaux, provinciaux et municipaux, et qui comporte des fonctions permettant d’étendre l’accès aux ministères fédéraux et de partager des renseignements avec eux. L’initiative est un partenariat de la GRC, de Sécurité publique Canada et de nombreux ministères et organismes, comme l’Agence des services frontaliers du Canada, le ministère de la Citoyenneté et de l’Immigration, le Centre des armes à feu Canada, le Service correctionnel du Canada et la Commission nationale des libérations conditionnelles. Étant donné le grand nombre d’institutions participantes, le CPVP a demandé à Sécurité publique Canada d’élaborer une ÉFVP globale qui inclurait un cadre de gestion de la protection de la vie privée avec des normes et des limites mesurables pour tous les organismes gouvernementaux qui ont accès à des renseignements et qui les partagent grâce à des systèmes comme le Portail national d’informations policières. Le Commissariat avait espoir qu’une telle ÉFVP permettrait de donner un aperçu de l’analyse de rentabilisation complète établissant et justifiant la nécessité d’échanger davantage de renseignements; de rédiger un engagement de Sécurité publique Canada à protéger les renseignements personnels; de fixer des normes mesurables pour les vérifications de conformité au sein de chaque ministère de portefeuille; et d’inclure une stratégie de communication pour informer les citoyens de la manière dont ce programme peut mener à la communication de leurs renseignements personnels à des institutions gouvernementales. Un an après en avoir fait la demande, le Commissariat attend toujours l’ÉFVP globale, mais il a été informé au printemps 2008 que le travail venait d’être entrepris.
Permis de conduire amélioré (PCA) de l’Agence des services frontaliers du Canada Le CPVP a travaillé avec le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique pendant l’examen du projet pilote du permis de conduire amélioré entre cette province et l’État de Washington. L’Agence des services frontaliers du Canada encourage ce projet pilote ainsi que les projets de PCA d’autres provinces, et elle participe à leur coordination. Le PCA est proposé comme solution de rechange au passeport canadien pour les voyageurs qui entrent aux États-Unis par les frontières terrestres. Ce projet fait suite aux nouvelles règles du gouvernement des États-Unis qui exigent des preuves d’identité et de citoyenneté. Dans le cadre du projet pilote de la Colombie-Britannique, l’Agence des services frontaliers du Canada recueille les renseignements personnels des demandeurs de la province et les transfère à la U.S. Customs and Border Protection. L’une des préoccupations soulevées par le Commissariat lors de l’examen de l’ÉFVP concerne la répétition du processus de vérification des renseignements personnels et des données déjà en place à Passeport Canada. D’autres préoccupations concernent les points suivants : le cadre légal flou de la vérification de la citoyenneté, le consentement valable, l’utilisation potentielle des renseignements personnels par le gouvernement des États-Unis, l’utilisation du PCA à d’autres fins ainsi que les risques pour la protection des renseignements personnels associés aux étiquettes d’identification par radiofréquence (IRF). Le CPVP a pressé l’Agence des services frontaliers du Canada de fournir l’assurance que les prochains projets de PCA n’iront pas de l’avant de manière permanente, à moins que les renseignements personnels des conducteurs demeurent au Canada et que les renseignements que contient le PCA ne servent à aucune autre fin que traverser la frontière. Au moment de la rédaction du présent rapport, la manière dont les renseignements seront communiqués aux autorités américaines faisait toujours l’objet de discussions, mais l’Agence des services frontaliers du Canada a fait savoir que la base de données, elle-même, demeurera au Canada.

Devant les tribunaux

À l’instar des années précédentes, très peu de cas ont été portés devant les tribunaux aux termes de la LPRP en 2007-2008.

En vertu de l’article 41 de la Loi sur la protection des renseignements personnels, la Cour fédérale ne peut se pencher que sur le refus d’une institution fédérale de communiquer les renseignements personnels demandés en vertu de la Loi.

Un individu ne peut appliquer l’article 41 en cas de collecte, d’utilisation ou de communication injustifiée de ses renseignements personnels par une institution gouvernementale.

Le Commissariat a demandé au gouvernement fédéral d’étendre les motifs de recours aux tribunaux en vertu de l’article 41 de la LPRP à toute la gamme des protections et des droits relatifs à la vie privée que cette loi garantit. Il a également recommandé qu’on autorise la Cour fédérale à allouer des dommages et intérêts à la charge des institutions contrevenantes.

Tant que la Loi ne sera pas modifiée, le nombre de cas portés devant les tribunaux demeurera très faible.

Les cas d’intérêt suivants ont été portés devant la Cour fédérale en 2007-2008.

Conformément à l’esprit de notre mandat, nous ne publions pas le nom des plaignants afin de respecter leur vie privée. Nous n’énumérons que le numéro du greffe et le nom de l’institution fédérale en cause.

Le demandeur a porté plainte contre le Service canadien du renseignement de sécurité (SCRS) pour n’avoir pas fourni les renseignements personnels demandés. La commissaire à la protection de la vie privée a jugé que cette plainte était non fondée.

En vertu de l’article 41 de la Loi, le demandeur a exercé un recours en révision des conclusions de la commissaire à la protection de la vie privée. Cependant, l’objectif d’appliquer cet article est de demander à la Cour de déterminer si l’institution fédérale visée par la plainte a respecté les dispositions applicables de la Loi lorsqu’elle a refusé de donner accès aux renseignements personnels demandés par le plaignant. L’article ne prévoit pas de recours contre la commissaire à la protection de la vie privée.

Le juge Blanchard a conclu qu’il est clair que la commissaire à la protection de la vie privée n’a aucun pouvoir décisionnel et que les conclusions et les recommandations formulées à la suite d’une enquête en vertu de la Loi n’ont aucune force exécutoire sur l’institution fédérale.

Il a également souligné que, selon la Loi, il est clair qu’il n’incombe pas à la commissaire à la protection de la vie privée de justifier un refus, mais que cette responsabilité revient à l’institution ayant refusé de donner accès aux renseignements personnels demandés.

La Cour a donc accueilli la décision de la commissaire à la protection de la vie privée, ordonnant que la révision judiciaire ne soit réalisée que si le demandeur soumet une nouvelle demande auprès du SCRS, ce qui a été fait en mars 2008.

Intervention dans une affaire touchant la Loi sur l’accès à l’information

Comme il a été mentionné dans le rapport annuel 2006-2007, la commissaire à la protection de la vie privée a obtenu le statut d’intervenant dans une cause initiée en vertu de la Loi sur l’accès à l’information qui soulevait d’importantes questions de protection de la vie privée. Le Commissariat s’inquiétait du risque que des personnes soient identifiées lorsque des renseignements gouvernementaux sont combinés à des renseignements accessibles au public.

Le demandeur, un producteur de la CBC, a voulu accéder au système canadien d’information sur les effets indésirables des médicaments de Santé Canada – une base de données de renseignements sur les effets indésirables présumés de produits de santé commercialisés au Canada.

En réponse à cette demande, Santé Canada a communiqué certains renseignements, mais a refusé de dévoiler le nom des provinces où les données sur les effets indésirables des médicaments avaient été recueillies, justifiant sa décision par le fait qu’il s’agissait de renseignements personnels aux termes de la LPRP.

Dans une décision rendue en février 2008, le juge Gibson a accepté la prémisse fondamentale suivante, établie par la Cour suprême du Canada : dans une situation mettant en jeu des renseignements personnels sur une personne, le droit au respect de la vie privée l’emporte sur le droit d’accès à l’information.

Il a également adopté le critère juridique proposé par le Commissariat : « Un renseignement concerne un individu identifiable lorsqu’il y a une possibilité sérieuse qu’un individu puisse être identifié au moyen du renseignement, que ce renseignement soit pris seul ou en combinaison avec d’autres renseignements disponibles ».

En se fondant sur la preuve qui lui a été soumise, le juge Gibson a conclu que la communication de la province augmenterait considérablement le risque qu’une personne puisse être identifiée, compte tenu de tous les champs de données déjà communiqués à partir de la base de données et de la combinaison possible avec d’autres renseignements accessibles au public, comme les notices nécrologiques. Cela est particulièrement vrai pour les rapports concernant une seule personne ou un très petit groupe dans les provinces et les territoires plus petits.

Ainsi, dans les circonstances, le nom de la province est une donnée qui constitue un renseignement personnel, auquel l’accès a été refusé à juste titre.

Il convient également de noter que le juge a insisté sur l’importance du pouvoir discrétionnaire du ministre dans la décision de communiquer ou non exceptionnellement de tels renseignements personnels dans l’intérêt public. Dans le cas présent, le ministre a considéré avec justesse les faits qui lui ont été soumis et a trouvé que l’intérêt public d’une telle communication ne l’emportait pas clairement sur le risque d’atteinte à la vie privée.

Section de l’accès à l’information et de la protection des renseignements personnels

Le Commissariat a maintenant terminé un exercice complet durant lequel il a été assujetti à la Loi sur l’accès à l’information et à la LPRP. (La Loi fédérale sur la responsabilité a modifié ces deux lois afin qu’elles s’appliquent au Commissariat.)

Le CPVP a reçu 44 demandes officielles en vertu de la Loi sur l’accès à l’information. Il en a transféré 14 aux institutions fédérales responsables des documents recherchés et il a traité 29 demandes relatives à l’accès à l’information. Une demande a été reportée. Toutes les demandes ont été traitées dans les délais prescrits.

Le Commissariat a reçu cinq plaintes de deux personnes en vertu de la Loi sur l’accès à l’information – trois d’entre elles concernent le refus d’accès et les deux autres portent sur les délais. Le commissaire à l’information a jugé que deux des plaintes relatives à l’accès à l’information étaient non fondées et que la troisième avait été résolue. Le commissaire à l’information a aussi conclu qu’une des plaintes qui visait les délais n’était pas fondée et que l’autre était résolue.

Le CPVP a reçu 45 demandes de renseignements personnels en vertu de la LPRP. Il en a transféré 23 aux institutions fédérales qui détenaient les renseignements demandés et il a répondu à 22 demandes d’accès aux renseignements du CPVP. Toutes ces demandes ont été traitées dans les délais prescrits.

Le Commissariat a reçu deux plaintes, en vertu de la LPRP, d’une personne qui alléguait un refus d’accès. Les plaintes ont été présentées dans le cadre d’un processus indépendant et ont été jugées non fondées en avril 2008.

La Loi fédérale sur la responsabilité ne comporte aucun mécanisme pour examiner les plaintes en vertu de la LPRP qui visent le CPVP. Puisqu’il serait totalement inapproprié que le CPVP enquête sur sa propre administration de la LPRP, il a créé le poste de « commissaire spécial à la protection de la vie privée ».

En septembre 2007, l’honorable juge Peter Cory a été engagé à titre de commissaire spécial à la protection de la vie privée. La commissaire à la protection de la vie privée lui a délégué la majorité de ses pouvoirs, de ses responsabilités et de ses fonctions prévus aux articles 29 à 35 et à l’article 42 de la Loi. Le juge Cory a terminé son contrat en mars 2008. Un nouveau commissaire spécial à la protection de la vie privée, le juge Andrew Mackay, assume ces fonctions depuis.

De nombreuses demandes reçues en vertu de la Loi sur l’accès à l’information et de laLPRP concernaient le contenu de dossiers d’enquête du CPVP. Dans quelques cas, le contenu des dossiers n’a pas été communiqué, comme le prescrivent ces deux lois, parce que l’enquête ou les actions en justice étaient en cours. Dans les cas où l’enquête était terminée, le contenu du dossier a été traité et l’accès a été octroyé sous réserve des exceptions applicables.

Conférence internationale

Tel qu’il est mentionné dans le rapport annuel de 2007 sur la LPRPDE, le succès de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée – qui s’est déroulée à Montréal en septembre et faisait suite à notre engagement pris en 2002 – a dépassé nos attentes les plus élevées.

Nous avons accueilli plus de 600 commissaires, universitaires, spécialistes de la protection de la vie privée, défenseurs des droits, responsables gouvernementaux, spécialistes de la TI et autres de partout dans le monde – ce qui en a fait la plus grande conférence du genre jamais organisée. Qui plus est, les commentaires positifs et les félicitations de la part des participants ont justifié le temps et les ressources investis dans cet événement.

Le thème de la Conférence était « Les horizons de la protection de la vie privée : Terra incognita ». Les anciens cartographes utilisaient ce mot latin pour désigner les territoires inconnus qu’il restait à délimiter sur une carte. Sur l’un des premiers globes terrestres connus de l’Europe, on peut lire sur un bord non cartographié de l’océan « hic sunt dracones », ce qui veut dire « Ici résident les dragons ».

Cette notion de paysage inconnu avec des dragons qui rôdent semblait la métaphore parfaite pour l’avenir de la protection de la vie privée. Les enjeux relatifs à la protection de la vie privée changent rapidement; l’arrivée de nouvelles technologies et la guerre internationale au terrorisme agissant comme forces pouvant menacer la vie privée des gens autour du monde.

Le but de notre conférence était de commencer à brosser un tableau de ce à quoi pourrait ressembler demain le monde de la protection de la vie privée et aussi d’équiper les défenseurs du droit à la vie privée de quelques solides instruments pour tuer les dragons. Durant une série de plénières, d’ateliers et de séances d’information, nous avons examiné les meilleures stratégies par lesquelles défendre le droit à la vie privée dans un contexte de changements constants.

Les participants ont entendu les grands noms de la protection de la vie privée, y compris : Bruce Schneier, gourou en technologie de la sécurité et auteur; Simon Davies, pionnier sur la scène internationale de la protection de la vie privée et fondateur de Privacy International; Katherine Albrecht, défenseur de la vie privée des consommateurs; Marc Rotenberg, directeur exécutif du Electronic Privacy Information Center; Peter Fleischer, conseiller en matière de protection internationale des renseignements personnels pour Google; Peter Hustinx, contrôleur européen de la protection des données; Peter Schaar, président sortant du Groupe de travail sur la protection des données établi en vertu de l’article 29 de l’UE; enfin, Alex Türk, de la France, qui assume actuellement la présidence du Groupe. Notre invité d’honneur, qui a lancé la Conférence, était l’honorable Peter Milliken, président de la Chambre des communes.

Le programme de la Conférence mettait en relief le vaste éventail d’enjeux qui auront une incidence sur la protection de la vie privée dans les années à venir ainsi que la nature de plus en plus mondiale des questions de protection de la vie privée.

Nous avons préparé 14 cahiers de consultation avant la Conférence. La plupart incluaient un document commandé à un expert en la matière et diverses autres ressources, comme des documents de recherche et du matériel bibliographique, pour satisfaire la curiosité des participants qui peuvent être des profanes dans un domaine particulier, ainsi que les exigences plus rigoureuses des principaux décideurs pour repérer l’information fiable concernant les répercussions sur la vie privée des thèmes abordés lors de la Conférence. Ces cahiers, qui constituent un legs important de la Conférence, sont accessibles sur notre site Web consacré à celle-ci à l’adresse suivante : www.conferencevieprivee2007.gc.ca.

Nous avons affiché les détails du coût de la Conférence sur notre site Web. Nous sommes bien à l’intérieur de nos objectifs financiers globaux.

L’année qui vient

La liste des enjeux que le Commissariat à la protection de la vie privée aborde quotidiennement demeurera toujours très longue. Dans le but de concentrer nos efforts sur les menaces les plus importantes au droit à la vie privée des Canadiennes et des Canadiens, nous avons dégagé quatre grandes priorités stratégiques : technologies de l’information, sécurité nationale, intégrité et protection de l’identité, et renseignements génétiques.

Au cours de 2008-2009, un objectif clé du Commissariat consistera à exercer un rôle de chef de file dans nos dossiers prioritaires. Nos plans pour faire face à ces menaces comprennent les étapes suivantes :

• Technologies de l’information
  • Développer une capacité suffisante pour évaluer les répercussions des nouvelles technologies de l’information sur la protection de la vie privée.
  • Sensibiliser davantage le grand public aux technologies ayant possiblement une incidence sur la protection de la vie privée.
  • Fournir une orientation pratique aux organisations sur la mise en œuvre de technologies particulières.
• Sécurité nationale
  • Nous assurer que les mesures relatives à la sécurité nationale protègent convenablement la vie privée.
  • Surveiller adéquatement, chez les organismes chargés de la sécurité nationale, les pratiques de gestion des renseignements personnels et voir à ce que ces organismes se responsabilisent.
  • Sensibiliser davantage le grand public à l’incidence sur la vie privée des initiatives en matière de sécurité nationale.
• Intégrité et protection de l’identité, vol d’identité
  • Améliorer les pratiques de gestion des renseignements personnels des organisations.
  • Sensibiliser davantage le grand public à la protection de l’identité.
  • Promouvoir une approche concertée du gouvernement fédéral en matière de protection de l’identité.
• Renseignements génétiques
  • Favoriser la recherche et le développement des connaissances pour relever les nouveaux défis posés par la génétique dans le contexte des régimes conventionnels de protection des données.
  • Accroître la sensibilisation du grand public aux utilisations possibles des renseignements génétiques.

Le Commissariat a déterminé les quatre autres grandes priorités organisationnelles suivantes :

• Continuer d’améliorer la prestation des services grâce à la convergence des efforts et à l’innovation, y compris l’adoption de nouvelles stratégies d’enquête pour améliorer l’efficacité de notre processus de résolution des plaintes.
• Renforcer la capacité organisationnelle de manière durable en élargissant le Commissariat et en poursuivant un projet de renouvellement de la gestion de l’information.
• Aider les Canadiennes et les Canadiens à prendre des décisions plus éclairées au moyen d’initiatives d’éducation du public d’envergure comme une campagne de marketing social sur la protection de la vie privée des enfants en ligne et des programmes de sensibilisation en partenariat avec les commissaires à la protection de la vie privée des provinces et des territoires.
• Promouvoir stratégiquement la protection de la vie privée à l’échelle mondiale pour les Canadiennes et les Canadiens en travaillant avec des organisations comme l’Organisation de coopération et de développement économiques (OCDE) et la Coopération économique de la zone Asie-Pacifique (APEC).

Annexe 1

Définitions des types de plaintes

Les plaintes adressées au CPVP sont réparties en trois grandes catégories :

Accès

• Accès – Une personne n’a pas obtenu tous les renseignements personnels qu’une institution détient à son sujet parce qu’il manque des documents ou des renseignements, ou encore parce que l’organisation a invoqué des exceptions afin de ne pas communiquer les renseignements.
• Correction/annotation – L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées.
• Langue – Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.
• Frais – Des frais ont été exigés pour répondre à la demande de renseignements effectuée en vertu de la Loi sur la protection des renseignements personnels, alors qu’aucun frais n’est actuellement prévu pour l’obtention de renseignements personnels.
• Répertoire – Info Source, un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur un même sujet – que l’institution possède, ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution.

Protection des renseignements personnels

• Collecte – Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités; les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée; ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.
• Conservation et retrait – Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de retrait approuvés par les Archives nationales et publiés dans Info Source : ils sont détruits trop rapidement ou conservés trop longtemps.
  
  En outre, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne n’ait consenti à leur retrait.
• Utilisation et communication – Des renseignements personnels sont utilisés ou communiqués sans le consentement de la personne concernée et ne satisfont pas à l’un des critères d’utilisation ou de communication permise sans consentement énoncés aux articles 7 et 8 de la Loi.

Délais

• Délais – L’institution n’a pas répondu dans les délais prescrits.
• Avis de prorogation – L’institution n’a pas donné une justification appropriée pour la prorogation; elle a fait la demande de prorogation après le délai initial de 30 jours ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande.
• Correction/annotation – délais – L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.

Définitions des conclusions et d’autres dispositions en vertu de la Loi sur la protection des renseignements personnels

Le CPVP a élaboré une série de définitions des conclusions qui expliquent les résultats des enquêtes qu’il effectue en vertu de la Loi sur la protection des renseignements personnels.

Réglée rapidement : S’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le CPVP et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, celle-ci est jugée « réglée rapidement ».

Non fondée : L’enquête n’a pas permis de déceler des éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant selon la Loi sur la protection des renseignements personnels.

Fondée : L’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels.

Fondée et résolue : Les allégations sont corroborées par l’enquête et l’institution fédérale accepte de prendre des mesures correctives afin de remédier à la situation.

Résolue : Après une enquête approfondie, le CPVP a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.

Réglée en cours d’enquête : Le CPVP a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.

Abandonnée : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire, ou il est impossible de le trouver afin qu’il fournisse des renseignements supplémentaires essentiels pour arriver à une conclusion.

Annexe 2

Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels

Annexe 3

Statistiques 2007-2008 sur les demandes de renseignements, les plaintes et les enquêtes en vertu de la Loi sur la protection des renseignements personnels

Demandes de renseignements

Le service des demandes de renseignements a reçu plus de 4 000 demandes de renseignements concernant la Loi sur la protection des renseignements personnels entre le 1er avril 2007 et le 31 mars 2008.

Certaines des questions les plus fréquemment posées avaient trait à la façon de présenter des demandes officielles d’accès aux renseignements personnels et à la procédure pour déposer une plainte contre les institutions gouvernementales qui, par exemple, dépassent les délais prescrits et ne se conforment pas à la Loi sur la protection des renseignements personnels. Nous avons également reçu des demandes de renseignements de personnes qui demandaient conseil au Commissariat après avoir subi diverses atteintes à leur vie privée.

Demandes de renseignements en vertu de la Loi sur la protection des renseignements personnels reçues par le service des demandes de renseignements
Demandes téléphoniques	2 199
Demandes écrites (lettres, courriels, télécopies)	2 059
Nombre total de demandes de renseignements reçues	4 258

Demandes de renseignements en vertu de la Loi sur la protection des renseignements personnels fermées
Demandes téléphoniques	2 221
Demandes écrites (lettres, courriels, télécopies)	1 901
Nombre total de demandes de renseignements fermées	4 122

Demandes générales de renseignements reçues*
Demandes téléphoniques	2 231
Demandes écrites (lettres, courriels, télécopies)	136
Nombre total de demandes de renseignements reçues	2 367

Demandes générales de renseignements fermées
Demandes téléphoniques	2 229
Demandes écrites (lettres, courriels, télécopies)	140
Nombre total de demandes de renseignements fermées	2 369

* Il s’agit de demandes de renseignements relatives à la protection des renseignements personnels, mais elles ne peuvent être liées ni à la LPRP ni à la LPRPDE.

Plaintes reçues par type

Type de plainte	Nombre	Pourcentage
Accès	292	38
Délais	259	34
Utilisation et communication	124	16
Collecte	33	4
Correction-délais	26	3
Avis de prorogation	10	1
Conservation et retrait	9	1
Correction-annotation	5	1
Langue	1	<1
Total	759

Comme au cours des exercices précédents, les plaintes les plus fréquentes soumises au Commissariat concernaient l’accès aux renseignements personnels et la durée que les ministères et les organismes gouvernementaux prennent pour répondre aux demandes d’accès.

Vous trouverez une définition des types de plaintes à l’annexe 1.

Les dix institutions ayant reçu le plus de plaintes

Total	Accès aux renseignements personnels	Délais	Protection des renseignements personnels
Service correctionnel du Canada	248	48	151	49
Gendarmerie royale du Canada	84	59	14	11
Agence des services frontaliers du Canada	54	18	31	5
Service Canada	52	13	14	25
Défense nationale	48	17	19	12
Service canadien du renseignement de sécurité	45	44	0	1
Agence du revenu du Canada	38	18	9	11
Société canadienne des postes	28	16	8	4
Affaires étrangères et Commerce international	27	6	7	14
Justice Canada	18	4	13	1
Autres	117	49	29	39
Total	759	292	295	172

En raison de leur mandat, certaines institutions détiennent une quantité considérable de renseignements personnels. Elles sont donc plus susceptibles de recevoir de nombreuses demandes d’accès à ces renseignements personnels et des plaintes subséquentes.

Vous trouverez une définition des types de plaintes à l’annexe 1.

Plaintes reçues par institution gouvernementale

	Total
Service correctionnel du Canada	248
Gendarmerie royale du Canada	84
Agence des services frontaliers du Canada	54
Service Canada	52
Défense nationale	48
Service canadien du renseignement de sécurité	45
Agence du revenu du Canada	38
Société canadienne des postes	28
Affaires étrangères et Commerce international Canada	27
Justice Canada	18
Ressources humaines et Développement social Canada	14
Citoyenneté et Immigration Canada	14
Santé Canada	8
Transports Canada	7
Travaux publics et Services gouvernementaux Canada	6
Pêches et Océans Canada	5
Bibliothèque et Archives Canada	5
Bureau du Conseil privé	5
Agriculture et Agroalimentaire Canada	4
Agence canadienne d’inspection des aliments	4
Affaires indiennes et du Nord Canada	4
Secrétariat du Conseil du Trésor du Canada	4
Commission des plaintes du public contre la GRC	3
Environnement Canada	3
Commission de la fonction publique du Canada	3
Centre des armes à feu Canada	2
Société canadienne d’hypothèques et de logement	2
Agence de la fonction publique du Canada	2
Ombudsman de la Défense nationale et des Forces canadiennes	2
Société Radio-Canada	1
Comité des griefs des Forces canadiennes	1
Commission canadienne des droits de la personne	1
Office des transports du Canada	1
Enquêteur correctionnel Canada	1
Exportation et développement Canada	1
Centre d’analyse des opérations et déclarations financières du Canada	1
Commission de l’immigration et du statut de réfugié du Canada	1
Industrie Canada	1
Bureau de l’Inspecteur général du Service canadien du renseignement de sécurité	1
Musée des sciences et de la technologie du Canada	1
Commission nationale des libérations conditionnelles	1
Ressources naturelles Canada	1
Commission d’appel des pensions du Canada	1
Sécurité publique Canada	1
Commission des relations de travail dans la fonction publique	1
Tribunal de la dotation de la fonction publique	1
Monnaie royale canadienne	1
Statistique Canada	1
Anciens Combattants Canada	1
Total	759

Plaintes reçues par province/territoire

	Total	Pourcentage
Ontario	195	26
Colombie-Britannique	179	23
Région de la capitale nationale	112	15
Québec	65	8
Alberta	60	8
Saskatchewan	44	6
Nouvelle-Écosse	28	4
Manitoba	26	3
International*	22	3
Nouveau-Brunswick	15	2
Terre-Neuve-et-Labrador	5	1
Île-du-Prince-Édouard	4	1
Nunavut	3	<1
Yukon	1	<1
Total	759

* Les Canadiennes et les Canadiens vivant à l’étranger ont les mêmes droits d’accès et de protection des renseignements personnels conférés par la Loi sur la protection des renseignements personnels que les Canadiennes et les Canadiens vivant au Canada; notamment le droit de déposer une plainte au Commissariat. Certains d’entre eux ont choisi d’exercer ces droits. (Note : Le droit à la protection des renseignements personnels, contrairement au droit d’accès, est aussi accordé à tous les individus, peu importe leur citoyenneté ou leur pays de résidence.)

Nous avons constaté un changement important en ce qui concerne la provenance des plaintes au cours des dernières années : il y a eu une nette diminution dans le nombre de plaintes provenant du Québec, qui comptaient pour 24 p. 100 du nombre total de plaintes en 2005-2006; 14 p. 100 en 2006-2007 et seulement 8 p. 100 en 2007-2008. Bien que nous ne puissions déterminer avec certitude la raison précise de cette diminution, nous sommes conscients que le Québec est doté de lois strictes en matière de protection de la vie privée. La plupart des plaignants vivant au Québec qui ont recours à nos services habitent dans la région de la capitale nationale.

Plaintes fermées par conclusion

Conclusion	Nombre	Pourcentage
Réglée rapidement	32	4
Réglée	114	13
Fondée et résolue	17	2
Résolue	6	< 1
Fondée	319	36
Non fondée	275	31
Abandonnée	117	13
Total	880

Près d’une plainte fermée sur cinq s’est soldée par une solution qui satisfaisait les plaignants, les intimés et le Commissariat (plainte réglée rapidement, réglée, fondée et résolue ou résolue). Un nombre important de plaintes fermées, soit plus du tiers, étaient fondées, ce qui donne à penser qu’il y a matière à amélioration en ce qui concerne les pratiques de gestion de la protection de la vie privée.

Conclusions par type de plainte

Plaintes fermées (tous les types)

	Aban-donnée	Réglée rapidement	Non fondée	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	Total
Accès	56	4	180	5	59	2	12	318
Délais	14	18	23	0	3	243	0	301
Utilisation et communication	32	4	51	1	31	42	3	164
Collecte	6	5	11	0	11	0	0	33
Correction/ délais	3	1	0	0	5	22	0	31
Avis de prorogation	1	0	3	0	0	10	0	14
Conservation et retrait	3	0	4	0	4	0	1	12
Correction/ annotation	2	0	3	0	1	0	1	7
Total	117	32	275	6	114	319	17	880

Ce tableau démontre diverses caractéristiques selon le type de plainte. Par exemple, de par leur nature, la plupart des plaintes liées aux délais sont fondées; la majorité des gens ne déposent pas de plainte au Commissariat avant que le délai prévu par la loi ne soit échu. Soixante-quinze pour cent des cas d’accès sont soit non fondés soit réglés en cours d’enquête, ce qui signifie que les exceptions invoquées étaient justifiées ou que les personnes étaient satisfaites des explications fournies concernant les raisons justifiant les exceptions ou les documents manquants. Fait intéressant, aucune plainte liée à la collecte n’était fondée. Cette situation peut avoir diverses origines : la collecte des renseignements était nécessaire et raisonnable aux fins des programmes ou des activités de l’institution gouvernementale; les personnes ont compris les explications ou les motifs invoqués pour la collecte; les discussions avec l’organisation ont permis d’en arriver à un compromis acceptable pour les deux parties.

Plaintes fermées – accès et protection des renseignements personnels

	Aban-donnée	Réglée rapidement	Non fondée	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	Total
Accès	56	4	180	5	59	2	12	318
Utilisation et communication	32	4	51	1	31	42	3	164
Collecte	6	5	11	0	11	0	0	33
Conservation et retrait	3	0	4	0	4	0	1	12
Correction/ annotation	2	0	3	0	1	0	1	7
Total	99	13	249	6	106	44	17	534

Comme au cours des exercices précédents, le nombre de plaintes non fondées dépasse celui des plaintes fondées. En outre, plusieurs plaintes ont été réglées au moyen d’autres mécanismes de résolution, comme le démontre le nombre de plaintes réglées en cours d’enquête et réglées rapidement.

Vous trouverez des définitions des conclusions et d’autres dispositions en vertu de la Loi sur la protection des renseignements personnels à l’annexe 1.

Plaintes fermées – délais

Aban-donnée	Réglée rapidement	Non fondée	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	Total
Délais	14	18	23	0	3	243	0	301
Correction/délais	3	1	0	0	5	22	0	31
Avis de prorogation	1	0	3	0	0	10	0	14
Total	18	19	26	0	8	275	0	346

De par leur nature, la plupart des plaintes liées aux délais sont fondées. Les exigences imposées aux ministères et aux organismes gouvernementaux sont claires : les institutions disposent de 30 jours pour fournir aux personnes qui en font la demande l’accès à leurs renseignements personnels. Certaines plaintes sur les délais ne sont pas fondées parce que des avis de prorogation ont été appliqués de manière légitime. Ces prorogations accordent un délai additionnel de 30 jours pour répondre à une demande.

Plaintes liées aux délais fermées par institution fédérale et par conclusions d’enquête

Tel qu’indiqué dans le tableau suivant, le Service correctionnel du Canada a, de loin, le plus grand nombre de plaintes liées aux délais en raison du grand volume de renseignements personnels qu’il détient au sujet des détenus et du grand nombre de demandes qu’il reçoit de la population carcérale. L’institution a récemment augmenté considérablement ses ressources afin de traiter ces demandes. De même, la Défense nationale, l’Agence des services frontaliers du Canada, la GRC et l’Agence du revenu du Canada possèdent d’importants fonds de renseignements personnels et font donc face à d’importants défis si elles souhaitent répondre en temps opportun au grand nombre de demandes qu’elles reçoivent au moyen des ressources en place.

	Aban-donnée	Réglée rapidement	Non fondée	Réglée en cours d’enquête	Fondée	Total
Service correctionnel du Canada	5	14	3	6	146	174
Défense nationale	2	0	0	0	26	28
Agence des services frontaliers du Canada	1	0	1	0	25	27
Gendarmerie royale du Canada	4	1	1	0	15	21
Agence du revenu du Canada	0	0	3	1	14	18
Justice Canada	0	0	0	0	13	13
Service Canada	3	0	1	0	6	10
Service canadien du renseignement de sécurité	0	0	8	0	0	8
Affaires étrangères et Commerce international Canada	0	0	0	0	8	8
Société canadienne des postes	0	2	0	0	3	5
Citoyenneté et Immigration Canada	0	0	0	0	5	5
Ressources humaines et Développement social Canada	1	0	2	0	2	5
Centre des armes à feu Canada	0	0	3	0	0	3
Bureau du Conseil privé	1	0	0	0	2	3
Travaux publics et Services gouvernementaux Canada	0	0	0	0	3	3
Agriculture et Agroalimentaire Canada	0	0	2	0	0	2
Santé Canada	0	0	0	0	2	2
Affaires indiennes et du Nord Canada	0	0	0	0	2	2
Bibliothèque et Archives Canada	1	1	0	0	0	2
Bureau de l’Enquêteur correctionnel du Canada	0	1	0	0	0	1
Environnement Canada	0	0	0	0	1	1
Exportation et développement Canada	0	0	0	0	1	1
Pêches et Océans Canada	0	0	0	0	1	1
Bureau de l’Inspecteur général du Service canadien du renseignement de sécurité	0	0	1	0	0	1
Sécurité publique Canada	0	0	0	1	0	1
Secrétariat du Conseil du Trésor du Canada	0	0	1	0	0	1
Total	18	19	26	8	275	346

L’augmentation du nombre de plaintes liées aux délais qui sont fondées peut être directement attribuable à la hausse de demandes que reçoivent les institutions et aux ressources limitées dont celles-ci disposent. Cette tendance touche la plupart des institutions fédérales.

Plaintes fermées par institution et par conclusions – accès et protection des renseignements personnels

Intimé	Aban-donnée	Réglée rapidement	Non fondée	Résolue	Réglée en cours d’enquête	Fondée	Fondée et résolue	Total
Service correctionnel du Canada	26	1	39	2	21	21	4	114
Agence du revenu du Canada	9	1	41	0	11	6	1	69
Commission de l’immigration et du statut de réfugié	0	0	58	0	0	0	0	58
Gendarmerie royale du Canada	11	2	24	1	9	3	2	52
Citoyenneté et Immigration Canada	7	1	16	0	11	0	0	35
Défense nationale	10	1	9	0	3	2	1	26
Société canadienne des postes	8	1	4	1	10	0	0	24
Ressources humaines et Développement social Canada	11	1	5	0	2	1	2	22
Service Canada	3	1	7	1	7	2	1	22
Agence des services frontaliers du Canada	2	0	5	1	4	2	1	15
Affaires étrangères et Commerce international Canada	1	1	6	0	2	4	0	14
Justice Canada	2	0	4	0	2	1	1	10
Pêches et Océans Canada	0	0	0	0	7	0	0	7
Commission nationale des libérations conditionnelles	1	0	1	0	2	0	2	6
Service canadien du renseignement de sécurité	0	0	5	0	0	0	0	5
Santé Canada	0	1	2	0	2	0	0	5
Affaires indiennes et du Nord Canada	1	0	1	0	3	0	0	5
Environnement Canada	0	0	4	0	0	0	0	4
Bibliothèque et Archives Canada	2	0	0	0	2	0	0	4
Statistique Canada	1	1	1	0	1	0	0	4
Transports Canada	2	0	2	0	0	0	0	4
Commission canadienne des droits de la personne	1	0	1	0	0	0	1	3
Office de commercialisation du poisson d’eau douce	0	0	0	0	3	0	0	3
Commission de la fonction publique du Canada	0	0	2	0	1	0	0	3
École de la fonction publique du Canada	0	0	2	0	0	0	0	2
Bureau du Conseil privé	0	0	1	0	0	1	0	2
Sécurité publique Canada	0	0	0	0	2	0	0	2
Travaux publics et Services gouvernementaux Canada	0	0	0	0	1	1	0	2
Secrétariat du Conseil du Trésor du Canada	0	0	2	0	0	0	0	2
Agriculture et Agroalimentaire Canada	0	0	1	0	0	0	0	1
Administration canadienne de la sûreté du transport aérien	0	0	1	0	0	0	0	1
Agence canadienne d’inspection des aliments	0	0	1	0	0	0	0	1
Agence spatiale canadienne	0	0	1	0	0	0	0	1
Office des transports du Canada	1	0	0	0	0	0	0	1
Exportation et développement Canada	0	0	0	0	0	0	1	1
Industrie Canada	0	1	0	0	0	0	0	1
Bureau de l’Inspecteur général du Service canadien du renseignement de sécurité	0	0	1	0	0	0	0	1
Bureau du directeur général des élections	0	0	1	0	0	0	0	1
Anciens Combattants Canada	0	0	1	0	0	0	0	1
Total	99	13	249	6	106	44	17	534

Durée de traitement des enquêtes faisant suite à des plaintes – Loi sur la protection des renseignements personnels

La durée de traitement est la durée moyenne (en mois) d’une enquête faisant suite à une plainte, à compter de la date de réception de la plainte jusqu’à la date à laquelle une conclusion est formulée.

Par conclusion

Conclusion	Durée de traitement moyen (en mois)
Réglée rapidement	6,25
Fondée	6,32
Résolue	16,17
Abandonnée	16,57
Réglée en cours d’enquête	17,87
Non fondée	21,67
Fondée et résolue	27,24
Moyenne générale	14,45

L’écart important entre la durée de traitement des plaintes fondées et celle des plaintes non fondées provient des plaintes liées aux délais. Ces plaintes représentent 34 p. 100 des dossiers traités et la majorité d’entre elles sont fondées et sont fermées relativement rapidement en comparaison des autres types de plaintes.

Par type de plainte

Type de plainte	Durée de traitement moyen (en mois)
Délais	4,58
Avis de prorogation	6,07
Correction/délais	7,10
Correction/annotation	13,14 *
Collecte	16,09
Utilisation et communication	18,68
Accès	22,14
Moyenne générale	14,40

* Le délai de traitement pour ce genre de plainte se fonde sur sept cas.