Rapport annuel au Parlement concernant la Loi sur la protection des renseignements personnels 2008-2009
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
613-995-8210, 1-800-282-1376
Télécopieur : 613-947-6850
ATS : 613-992-9190
© Ministre des Travaux publics et des Services gouvernementaux Canada 2009
Numéro de catalogue : IP50-2009
ISBN : 978-1-100-50240-3
Novembre 2009
L’honorable Noël A. Kinsella, sénateur
Président
Le Sénat
Ottawa (Ontario) K1A 0A4
Monsieur le Président,
J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada au sujet de la Loi sur la protection des renseignements personnels pour la période du 1er avril 2008 au 31 mars 2009, conformément à l’article 38 de la Loi.
Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Novembre 2009
L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario) K1A 0A6
Monsieur le Président,
J’ai l’honneur de présenter au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada au sujet de la Loi sur la protection des renseignements personnels pour la période du 1er avril 2008 au 31 mars 2009, conformément à l’article 38 de la Loi.
Veuillez agréer, Monsieur le Président, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Message de la commissaire
Il n’y a pas si longtemps, une personne déposait à une société de fiducie un chèque de moins de 300 $ émis par le gouvernement, pour ensuite retirer les fonds en argent comptant. Cette transaction aux apparences anodines a été jugée suspecte par la société de fiducie, qui l’a signalée au puissant organisme fédéral chargé de protéger les Canadiennes et Canadiens contre les blanchisseurs d’argent et les financeurs d’activités terroristes.
Il existe maintenant, à l’insu de la personne concernée, une trace documentaire de cette transaction anodine dans les dossiers d’archives du gouvernement du Canada.
Il va sans dire que, dans le sillage des événements du 11 septembre, les efforts déployés par le gouvernement pour nous garder en sécurité face aux menaces terroristes et autrement criminelles sont essentiels. Et qu’un transfert de fonds de 300 $ n’est pas une opération qui déclenche généralement des alarmes de sécurité.
Toutefois, comme le démontrent les travaux du Commissariat au cours de la dernière année, l’empressement du gouvernement envers la sécurité publique lui a donné une soif en apparence insatiable de renseignements personnels — en grande partie grâce au concours de la technologie.
L’étendue sans précédent de la collecte de données effectuée de nos jours par le gouvernement attise les risques d’utilisation abusive et de communication non autorisée. Pour les personnes visées, les conséquences peuvent être graves.
Dans cette optique, le présent rapport aborde deux des menaces les plus sérieuses au droit à la vie privée aujourd’hui. Il s’agit de deux thèmes souvent reliés : le besoin pressant d’intégrer des mesures de protection de la vie privée aux mesures de sécurité déployées par l’État, et l’impact des technologies de l’information et des communications sur la vie privée des personnes.
Le chapitre sur la sécurité, qui porte en grande partie sur nos travaux de vérification et d’examen des évaluations des facteurs relatifs à la vie privée, expose les dangers de la collecte débridée de renseignements. Le chapitre sur la technologie, qui porte sur nos enquêtes, met en valeur les défis renouvelés de protection des renseignements personnels des Canadiennes et des Canadiens.
Notre message essentiel est celui-ci : le droit à la vie privée ne se pose pas comme un antagonisme à la sécurité publique ni à l’utilisation des technologies de l’information; plutôt, les modalités de son respect doivent faire partie intégrante de ces développements.
Conjuguer vie privée et sécurité
Ce rapport fait état entre autres de notre vérification exhaustive du CANAFE, le Centre d’analyse des opérations et déclarations financières du Canada. Cette vérification a démontré que l’organisme fédéral recevait plus de renseignements personnels que ne le permet son autorisation législative.
Le CANAFE peut astreindre jusqu’à 300 000 fournisseurs de services financiers, courtiers immobiliers, comptables, exploitants de casinos, négociants de métaux précieux et autres à passer au peigne fin les transactions pécuniaires de leurs clients et d’en faire rapport. Le défaut de signaler des activités suspectes peut entraîner des amendes allant jusqu’à 2 millions $ et des peines allant jusqu’à cinq ans — de quoi encourager la conformité.
Nous abordons également dans ce rapport annuel la vérification du Programme de protection des passagers fédéral, ainsi que sa pierre angulaire, la Liste des personnes précisées, communément appelée la « liste des personnes interdites de vol ». Les personnes dont les noms apparaissent sur cette liste sont désignées comme étant des risques envers la sécurité de l’aviation; elles sont sujettes à un examen minutieux de la part de l’État et leur droit de se déplacer fait l’objet de sérieuses restrictions. Nous avons découvert avec étonnement que les responsables de Transports Canada ne transmettaient pas au sous-ministre toutes les informations nécessaires pour appuyer la décision d’ajouter une personne à la liste ou de l’en retirer.
La vie privée dans un monde branché
Comme nous l’expliquons plus loin dans ce rapport, c’est souvent la technologie — cette solution miracle à tant de problèmes contemporains — qui lance à la vie privée des défis d’une portée et d’une importance sans précédent.
Par exemple, un pirate informatique armé d’un simple logiciel de série a réussi à infiltrer un ordinateur d’Agriculture et Agroalimentaire Canada, exposant ainsi aux regards les dossiers de données personnelles de 60 000 fermiers bénéficiaires d’un programme fédéral de garantie d’emprunt.
Nous avons également été surpris de découvrir que plus de 1 200 employés du ministère des Affaires étrangères et du Commerce international avaient accès à une banque de données contenant les renseignements personnels confidentiels d’un citoyen emprisonné à l’étranger.
Cela étant dit, un grand nombre des 990 plaintes du public que nous avons traitées l’année dernière ont révélé que, 26 ans après l’adoption de la Loi sur la protection des renseignements personnels, trop d’atteintes à la sécurité des données ont des causes qui ont peu à voir avec la technologie.
On pense notamment à ce cas où une lettre controversée sur le plan politique s’est retrouvée en bout de ligne entre les mains d’un journaliste, parce qu’un mélange toxique de procédures lacunaires, de formation inadéquate du personnel et de manque de discrétion l’avait rendue vulnérable à un accès non autorisé.
Un regard optimiste
Il me fait plaisir de constater malgré tout que l’exercice qui se termine a été marqué par des progrès.
À plusieurs égards, nos efforts donnent lieu à des changements positifs. Grâce à notre processus d’enquête, nous avons pu déceler des lacunes dans les systèmes de protection des renseignements personnels des ministères, pour ensuite recommander des modifications qui viendront prévenir d’éventuels problèmes.
Par nos vérifications de divers programmes et notre examen des évaluations des facteurs relatifs à la vie privée de nouvelles initiatives proposées, nous avons réussi à cerner d’importants risques pour la vie privée. Dans la plupart des cas, les organisations adoptent nos recommandations.
D’inévitables divergences d’opinion font surface quant à notre approche envers certains enjeux. Toutefois, nous sommes heureux de constater que la grande majorité des fonctionnaires fédéraux que nous rencontrons dans l’exercice de nos fonctions prennent la protection de la vie privée très au sérieux.
Nous sommes les gardiens de la vie privée au Canada : il est de notre devoir de sonner l’alarme face aux problèmes — souvent majeurs — que nous mettons au grand jour. Toutefois, nous le faisons en gardant à l’esprit que, pour la plupart, les Canadiennes et Canadiens sont satisfaits que le gouvernement fédéral traite leurs renseignements personnels avec soin.
Une nouvelle figure de proue
Au cours de la dernière année, nous avons également accueilli Me Chantal Bernier à titre de commissaire adjointe responsable de la Loi sur la protection des renseignements personnels. Sa vaste expérience acquise aux échelons supérieurs de la fonction publique fédérale appuie admirablement nos démarches pour favoriser de saines pratiques de gestion des renseignements personnels au sein du gouvernement du Canada.
Me Bernier était jusqu’à tout récemment sous-ministre adjointe à la tête du Secteur de la sécurité de la population et des partenariats de Sécurité publique Canada. Elle met au service du Commissariat ses connaissances et sa compréhension approfondies de certains de nos enjeux les plus importants.
Depuis l’arrivée de Me Bernier le 8 décembre 2008, nous avons tiré grand profit de son expertise et nous nous réjouissons de pouvoir compter sur son leadership pour faire face aux défis posés à la protection de la vie privée au Canada pour les années à venir.
Les défis à l’horizon
Alors que les Jeux olympiques et paralympiques d’hiver de 2010 arrivent à grands pas, le défi d’intégrer la protection des renseignements personnels aux mesures de sécurité sera d’une importance sans précédent. Nous avons déjà ouvert un dialogue constructif avec les autorités responsables de la sécurité afin de leur faire valoir l’importance de tenir compte de la vie privée au moment de concevoir les mesures de sécurité.
Parmi les autres enjeux qui retiendront notre attention, on retrouve l’examen de l’évaluation des facteurs relatifs à la vie privée d’une mesure recommandée par l’Administration canadienne de la sûreté du transport aérien, portant sur l’utilisation dans les aéroports de dispositifs de balayage pouvant voir à travers les vêtements pour déceler des armes dissimulées.
Nous nous pencherons également sur les initiatives faisant appel à la biométrie projetées par Citoyenneté et Immigration Canada, notamment l’utilisation de visas biométriques pour les ressortissants étrangers.
Nous continuerons également de suivre les efforts déployés par le gouvernement pour faire adopter des lois qui obligeraient les télécommunicateurs sans fil, les fournisseurs de services Internet et autres entreprises de télécommunications de donner aux forces de l’ordre le libre accès aux données des abonnés, même sans mandat.
Nous aurons l’occasion de faire le point sur ces nouveaux enjeux dans le rapport de l’an prochain. Néanmoins, alors que nous présentons au Parlement et à la population canadienne ce rapport sur l’année qui se termine, nous prenons le temps de réfléchir aux propos émis par le premier commissaire à la protection de la vie privée, John Grace, dans son rapport annuel de 1983-1984.
L’ère numérique n’en était qu’à ses débuts et plusieurs années ont dû s’écouler avant qu’Internet ouvre la voie vers le réseautage électronique. Néanmoins, ce tout premier rapport est tributaire d’une préscience de la surveillance de l’État et du pouvoir fulgurant de forage et d’appariement de données personnelles de l’ordinateur.
« Quel commissaire à la protection de la vie privée resterait muet devant la menace que fait peser sur le droit à la protection de la vie privée d’un citoyen la technique d’interconnexion des fichiers informatiques? », demandait-on dans le rapport. « La Loi sur la protection des renseignements personnels atteste que le Parlement ne veut pas que les Canadiens soient surveillés par les ordinateurs, en particulier par ceux du gouvernement, et ne veut pas que le gouvernement fasse trafic de renseignements personnels. »
En cette époque de changements effrénés, il fait bon voir que certaines vérités sont atemporelles.
Principales réalisations
Prestation de services à la population canadienne
Enquêtes et demandes de renseignements
En termes de services offerts aux Canadiennes et aux Canadiens, l’une de nos plus importantes contributions est de répondre à leurs questions sur des enjeux relatifs à la protection de la vie privée.
La section des demandes de renseignements du Commissariat a traité 1 770 appels et 1 333 missives à propos d’enjeux que nous pouvons rattacher directement à la Loi sur la protection des renseignements personnels. De plus, nous avons traité 2 488 demandes de renseignements qui ne pouvaient pas être liées exclusivement à la Loi sur la protection des renseignementes personnels ou à la loi en matière de protection de la vie privée couvrant le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Bien que les gens aient des raisons nombreuses et variées de communiquer avec nous, certaines préoccupations prévalent. Par exemple, plusieurs personnes recherchaient du soutien en vue de présenter une demande officielle d’accès à leurs renseignements personnels ou de déposer une plainte contre une institution gouvernementale. Plusieurs autres demandes de renseignements portaient sur des atteintes présumées à la vie privée.
Nous assistons également la population canadienne en enquêtant sur les plaintes relatives à des problèmes de protection de la vie privée. Nous avons reçu 748 plaintes officielles par écrit durant le dernier exercice, légèrement moins que le nombre de plaintes reçues au cours de l’exercice 2007-2008, soit 759. La majeure partie des plaintes reçues — 60 % — provenaient de résidents du Québec et de l’Ontario.
Comme par les années passées, les plaintes les plus fréquentes concernaient l’accès aux renseignements personnels et le délai de réponse des ministères et organismes du gouvernement aux demandes d’accès aux renseignements.
Il n’est pas surprenant de constater que les ministères qui recueillent et détiennent le plus de renseignements personnels sont aussi ceux qui font l’objet du plus grand nombre de plaintes — entre autres le Service correctionnel du Canada, Ressources humaines et Développement des compétences Canada, la Gendarmerie royale du Canada et l’Agence du revenu du Canada.
En raison d’un effort concerté pour éliminer l’arriéré de dossiers, nous avons été en mesure de fermer 990 plaintes au cours du dernier exercice, soit une augmentation de 13 % par rapport à l’exercice précédent.
Les enquêtes peuvent connaître diverses issues. Par exemple, il est possible de trouver une solution pour résoudre une plainte rapidement ou au cours de l’enquête. Dans certains cas, le plaignant décide de mettre fin au processus. Le tiers des cas (32 %) ont été fermés avant que des conclusions d’enquête soient émises.
Dans les cas où l’enquête a été menée à terme et que les conclusions ont été formulées, nous avons pu déterminer que 342 plaintes, soit 35 % des 990 cas, n’étaient pas fondées. Toutefois, pour 327 cas (33 %), les allégations ont été soutenues et les plaintes ont été jugées fondées (24 % de l’ensemble), résolues (2 %), ou fondées et résolues (7 %).
Plus de la moitié (53 %) de toutes les enquêtes fermées se rapportaient à des plaintes de personnes qui se sont vues refuser l’accès aux renseignements personnels qu’ils cherchaient.
Toutefois, seules 70 (13 %) de ces 525 plaintes ont été jugées fondées ou fondées et résolues. En bout de ligne, la majorité des plaignants ont renoncé aux documents qu’ils avaient demandés parce que ces documents faisaient l’objet d’exemptions statutaires appliquées correctement. Par exemple, la Loi sur la protection des renseignements personnels donne au dirigeant principal d’un ministère le droit de refuser de communiquer des renseignements personnels si cela viendrait nuire aux affaires extérieures ou à la défense du Canada, ou si les renseignements en question ont été recueillis au cours d’une enquête criminelle. De même la Loi sur la protection des renseignements personnels ne permet pas la communication des renseignements personnels d’autrui sans le consentement de l’intéressé.
Vous trouverez des renseignements statistiques sur les enquêtes et demandes de renseignements à l’annexe 1.
Les 213 plaintes concernant les délais de réponse des institutions gouvernementales aux demandes d’accès à des renseignements personnels venaient au deuxième rang des types de cas les plus fréquents. Près de 80 % des plaintes (169 des 213 cas) sur les délais ont été jugées fondées — la plupart des plaignants communiquaient avec nous après que le délai de traitement prévu par la loi était écoulé. Cela laisse entendre que l’accès des citoyens à leurs renseignements personnels continue d’être marqué par des délais.
Les cas relatifs à la collecte, l’utilisation, la communication, la conservation ou le retrait des renseignements personnels ont collectivement fait l’objet de 229 (23 %) des 990 plaintes ayant donné lieu à une enquête. Parmi ces 229 plaintes, seulement 27 % ont été jugées fondées ou fondées et résolues.
Efforts de conscientisation du grand public
En vertu de la Loi sur la protection des renseignements personnels, le Commissariat n’a pas le mandat exprès d’effectuer des activités de sensibilisation du grand public, contrairement à son mandat en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Aussi, la majorité de nos communications avec la population canadienne sur les questions de protection de la vie privée dans le secteur public se fait par voie plus officielle, comme les discours et le présent rapport au Parlement, par exemple.
Nous avons tout de même publié en 2008-2009 un nouveau guide intitulé Protéger vos renseignements personnels : Un aperçu des mesures de protection au sein du gouvernement fédéral. Cette publication bilingue, disponible en version imprimée ou sur notre site Web nouvellement remodelé, est un guide à l’intention des citoyennes et des citoyens sur la Loi sur la protection des renseignements personnels et sur le processus relatif aux plaintes.
Le document traite également des contributions importantes du Commissariat envers la protection de la vie privée au sein du secteur public fédéral — on y explique par exemple le processus relatif aux évaluations des facteurs relatifs à la vie privée.
Une autre publication parue au cours du dernier exercice et intitulée Psitt!... Un mot en privé? décrit le travail du Commissariat dans l’optique de notre cadre législatif et d’autres initiatives.
De plus, nos efforts proactifs de relations avec les médias, tel que l’enregistrement de communiqués sous forme de clips audio à l’intention des stations de radio, visaient à accroître la connaissance des Canadiennes et des Canadiens en ce qui a trait aux pratiques de traitement des renseignements personnels au sein du gouvernement fédéral. Nous avons également eu la chance de nous entretenir avec des fonctionnaires fédéraux lors de rencontres et de conférences.
Soutien au Parlement
À titre d’agent du Parlement, une de nos tâches principales est d’appuyer le travail des parlementaires en examinant les projets de loi, en témoignant devant les comités parlementaires et en entretenant un dialogue avec les députés et sénateurs.
Examen des projets de loi
Dans le cadre du processus législatif, le Sénat et la Chambre des communes ont souvent fait appel au Commissariat au cours de l’exercice 2008-2009.
Par exemple, le Sénat nous a demandé de nous pencher sur les conséquences pour la vie privée du projet de loi S-2 qui accroîtrait les pouvoirs de fouille à l’intérieur des zones de sécurité des aéroports. Après avoir évalué les risques d’atteinte à la vie privée découlant du filtrage des passagers et de la sûreté des installations, nous étions fins prêts à discuter de cette question avec le Comité sénatorial permanent de la sécurité nationale et de la défense.
Entre-temps, les députés et les sénateurs nous ont demandé de nous pencher sur le projet de loi C-11, la Loi visant à promouvoir la sûreté des agents pathogènes humains et des toxines, qui viendrait réglementer les laboratoires canadiens qui utilisent des agents pathogènes humains et des toxines produits au pays. Les recommandations que nous avons formulées au Comité permanent de la santé de la Chambre des communes et au Comité permanent des affaires sociales, des sciences et de la technologie du Sénat portaient sur les mesures de sécurité nécessaires à la protection des renseignements personnels.
Nous avons également fait part de nos commentaires à Santé Canada au sujet du projet de loi C-6, la Loi canadienne sur la sécurité des produits de consommation, qui vise à permettre au gouvernement de travailler de concert avec l’industrie pour cerner et évaluer les risques envers la sécurité, élaborer des normes et mettre en commun des pratiques exemplaires.
Modernisation de la Loi sur la protection des renseignements personnels
La réforme de la Loi sur la protection des renseignements personnels est une préoccupation de longue date au Commissariat. Elle a continué d’être l’un des objectifs centraux de nos activités parlementaires au cours de l’exercice 2008-2009. Nous avons comparu à deux reprises devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes (ETHI).
La Loi, promulguée en 1983, est entrée en vigueur à une époque où les télex et les machines à écrire prédominaient dans les bureaux du gouvernement. Bien que progressiste à l’époque pour la manière dont elle visait à protéger le droit à la vie privée, la Loi ne peut plus cacher sa désuétude.
Nous sommes ravis que le Comité ETHI ait choisi de travailler à partir de nos observations en faisant appel à des spécialistes œuvrant au sein du gouvernement ou à l’extérieur. Peu après la période visée par le présent rapport, le Comité indiquait dans un rapport qu’un remaniement complet de la Loi sur la protection des renseignements personnels s’avérait nécessaire pour mieux protéger le droit à la vie privée des Canadiennes et des Canadiens par rapport à leurs relations avec le gouvernement fédéral.
Dans « La Loi sur la protection des renseignements personnels : premiers pas vers un renouvellement », déposé le 12 juin 2009, le Comité exprime sans équivoque son soutien à l’endroit de la moitié des 12 « solutions éclair » que le Commissariat a proposées en vue de combler les lacunes de la Loi qui représentent des problèmes à régler de toute urgence. Le rapport précise aussi que d’autres lacunes nécessitent davantage de discussion.
Alors que le présent rapport était sous presse, le Commissariat exhortait le Parlement à se fonder sur le consensus de tous les partis, dont témoignait le rapport, pour régler plusieurs préoccupations demeurées non résolues.
Autres comparutions devant des comités parlementaires
Outre nos travaux sur la réforme de la Loi sur la protection des renseignements personnels, la commissaire a comparu, en 2008, devant le Comité ETHI au sujet du budget principal des dépenses, soit la revue annuelle par le Parlement du budget du Commissariat, ainsi que devant le Comité permanent de la santé de la Chambre des communes au sujet de l’incidence, sur la protection de la vie privée, du suivi post-commercialisation des effets indésirables des médicaments.
Au cours des trois premiers mois de l’année 2009, le Commissariat a comparu devant le Comité permanent de la sécurité publique et nationale de la Chambre des communes, alors que les députés entreprenaient l’examen quinquennal de la Loi sur l’identification par les empreintes génétiques. Nous avons profité de cette occasion pour faire part des préoccupations que nous entretenons depuis longtemps relativement à l’incidence sur la protection de la vie privée des renseignements génétiques et des biobanques.
Nous avons aussi comparu devant le Comité permanent de la sécurité nationale et de la défense du Sénat pour discuter des modifications de la Loi sur les douanes visant à accroître les pouvoirs de fouille du personnel de sécurité dans les aéroports.
Autres interactions avec les parlementaires
Une bonne partie de notre travail politique consiste à conseiller les parlementaires en dehors de la structure officielle des comités. Les Canadiennes et les Canadiens écrivent souvent à leurs députés pour leur faire part de leurs préoccupations, et on cherche souvent à obtenir le point de vue de la commissaire sur certains enjeux soulevés par les électeurs.
Par téléphone, par lettre ou en personne, le Commissariat œuvre à fournir aux parlementaires et à leur personnel de l’orientation et des recommandations utiles sur des questions de protection de la vie privée.
À titre d’exemple, en 2008-2009, la section des affaires parlementaires du Commissariat a traité toute une gamme d’enjeux, dont la circulation transfrontalière des données et l’impact de l’impartition sur la protection de la vie privée; des préoccupations au sujet de l’enregistrement clandestin de réunions politiques; la capacité du grand public à demander l’accès à leur propre rapport et cote de solvabilité; ainsi que la liste de numéros de télécommunications exclus, alors nouvelle, qui permet aux consommateurs de se soustraire aux appels de télémarketing.
Nous avons commandé une recherche sur l’utilisation des renseignements personnels des électeurs par les partis politiques. Nous accueillerons favorablement l’occasion de discuter de cette question avec les parlementaires une fois que le rapport sera terminé, soit à la fin de l’année 2009.
Soutien aux institutions du gouvernement fédéral
Au-delà de la Colline du Parlement, le Commissariat collabore avec les ministères et organismes fédéraux pour garantir le respect de l’esprit et de la lettre de la Loi sur la protection des renseignements personnels au sein du gouvernement du Canada.
Et puisqu’il vaut toujours mieux prévenir que guérir, nous investissons une grande partie de nos efforts en amont pour s’assurer, par la conscientisation, la consultation et la collaboration, qu’on tient compte des répercussions en matière de protection de la vie privée au tout début du processus d’élaboration des politiques.
L’avantage de cette approche est de renforcer la protection des renseignements personnels pour l’ensemble des systèmes, au moment même où on les élabore, prévenant ainsi — espérons-le — tout risque inutile d’atteinte à la vie privée.
Élaboration de politiques et consultations sur la protection de la vie privée
Certaines organisations fédérales, comme la GRC, l’Agence des services frontaliers du Canada et Citoyenneté et Immigration Canada, ont un rôle important en termes de sécurité, de renseignement et d’application de la loi; aussi recueillent-elles une quantité considérable de renseignements personnels.
Notre approche consiste à lancer les discussions avec ces institutions pour les aider à évaluer l’incidence de leurs programmes sur la protection de la vie privée avant qu’ils ne soient lancés. Le processus d’évaluation des facteurs relatifs à la vie privée (EFVP) est un outil efficace à cet égard. Les EFVP ont été conçues par le Secrétariat du Conseil du Trésor en 2002 pour améliorer la protection des renseignements personnels et la sécurité des données pour l’ensemble de la bureaucratie fédérale.
En 2008-2009, le Commissariat a collaboré avec plusieurs organisations fédérales sur le processus d’EFVP en vue de s’assurer que les nouveaux programmes comprendront des mesures appropriées visant la collecte, l’utilisation, la communication et l’élimination des renseignements personnels, conformément à la Loi sur la protection des renseignements personnels.
Deux exemples marquants se rapportent aux mesures de sécurité intergouvernementales en préparation pour les Jeux olympiques de 2010 à Vancouver, et aux plans des autorités canadiennes chargées de la frontière et de l’immigration pour recueillir les renseignements biométriques personnels des visiteurs qui demandent des visas pour entrer au pays. Ce sont deux projets de grande envergure dans lesquels sont impliqués de nombreux ministères, représentants locaux et intervenants internationaux.
Au cours du dernier exercice, le Commissariat a examiné — avec le plus grand intérêt — d’importantes nouvelles directives émises par le Secrétariat du Conseil du Trésor, dont :
- une politique mise à jour sur la protection de la vie privée;
- l’obligation étendue à tous les ministères de présenter des rapports statistiques de rendement relatifs à la protection de la vie privée;
- de nouvelles lignes directrices pour les Ententes d’échange de renseignements personnels régissant l’échange de données entre ministères ou avec d’autres juridictions au Canada ou avec des partenaires à l’échelle internationale.
Jeux olympiques et paralympiques
En février et mars 2010, le Canada sera l’hôte des Jeux olympiques et paralympiques d’hiver à Vancouver et Whistler, en Colombie-Britannique. Le Commissariat étudie de près les mesures de sécurité pour les Jeux et évalue leur impact sur la protection de la vie privée.
Puisqu’il s’agit du premier événement international d’importance à avoir lieu au Canada depuis les attaques terroristes du 11 septembre aux États-Unis, la sécurité sera au premier plan. Toutefois, il est important que les représentants canadiens qui participent à la planification des dispositions en matière de sécurité se rappellent qu’ils jouent un rôle clé dans la protection des libertés civiles, y compris le droit à la vie privée.
En février 2009, le Commissariat parrainait un atelier sur la protection de la vie privée et la sécurité dans le cadre des Jeux; cet atelier se tenait à Victoria et s’inscrivait dans la 10e Conférence annuelle sur la protection de la vie privée et la sécurité organisée par Reboot Communications Inc. Des spécialistes du milieu universitaire, de la société civile, du secteur privé et du gouvernement ont participé à l’atelier organisé par l’Université de Victoria. Les conférenciers ont discuté de la mesure dans laquelle les responsables de la sécurité ont tenu compte de la protection de la vie privée ainsi que des effets à long terme des systèmes de sécurité et de surveillance qu’on érigera autour des Jeux.
Pendant l’hiver, la commissaire adjointe Chantal Bernier et d’autres hauts fonctionnaires ont rencontré le Groupe intégré de la sécurité de Vancouver 2010, qui réunit des policiers, des militaires et d’autres organismes qui assureront ensemble la sécurité aux Jeux.
Nous collaborons aussi à ce dossier avec le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique. Puisqu’il s’agit d’un dossier de compétence partagée entre nos deux organismes, nous avons élaboré conjointement des principes directeurs et formulé des recommandations en vue d’aider les responsables de la sécurité à planifier et à s’acquitter de leurs fonctions sans enfreindre outre mesure le droit à la vie privée des personnes.
Sur notre site Web, nous avons créé une section spéciale sur les enjeux relatifs à la protection de la vie privée dans le cadre des Jeux olympiques.
Tribunaux administratifs fédéraux
Le rapport sur la Loi sur la protection des renseignements personnels du dernier exercice faisait état des problèmes de protection de la vie privée auxquels fait face la population canadienne quand les tribunaux administratifs fédéraux et quasi judiciaires publient sur Internet des décisions renfermant des renseignements personnels de nature particulièrement délicate.
Nous continuons de recevoir des plaintes de personnes inquiètes à l’idée de participer à une procédure judiciaire qui pourrait porter atteinte à leur vie privée si la décision du tribunal est affichée en ligne.
Les décisions rendues par les entités administratives et les organismes quasi judiciaires comprennent souvent des détails que peu de gens voudraient exposer aux regards : salaires, problèmes de santé physique et mentale, descriptions détaillées de conflits avec les patrons, allégations d’actes répréhensibles en milieu de travail. D’autres renseignements — dont la pertinence est discutable — sont souvent inclus dans ces décisions : les noms des enfants des parties en cause, les adresses domiciliaires, les dates et lieux de naissance et l’état de personne graciée, pour citer quelques exemples.
Plusieurs plaignants nous ont dit avoir été choqués de découvrir que des renseignements personnels à leur sujet étaient affichés sur Internet, aux yeux de leurs voisins, collègues et employeurs potentiels — et souvent sans préavis.
Un écart de conduite lointain ou une erreur de jugement passagère peuvent hanter une personne pendant des années. Même si aucune transgression n’a été commise, la nature même des renseignements communiqués pourrait être une source d’embarras profond.
À notre avis, exposer une si grande quantité de renseignements personnels aux yeux du monde entier pose d’énormes risques d’atteinte à la vie privée. En outre, il n’y a souvent aucun besoin apparent ni d’avantage à tirer de la large diffusion publique de l’identité des personnes qui participent à une procédure judiciaire.
À l’échelon fédéral, nous avons rencontré les représentants du Secrétariat du Conseil du Trésor et réitéré notre demande pour l’élaboration urgente de lignes directrices centralisées et spécifiques à l’intention des tribunaux fédéraux, concernant la communication électronique des renseignements personnels dans la publication de leurs décisions.
Avec nos homologues provinciaux et territoriaux et le Commissariat à l’information du Canada, nous avons entamé des consultations avec les tribunaux administratifs en vue d’élaborer des lignes directrices générales pour composer avec les tensions qui existent entre le principe de transparence de la justice administrative et le droit des personnes à la vie privée.
Nous espérons que le Conseil du Trésor adoptera ces lignes directrices.
Développement des connaissances
En vue de mieux comprendre les défis émergents en matière de protection de la vie privée, le Commissariat a créé des groupes de travail stratégiques pour chacune de nos quatre priorités.
Ces priorités, présentées pour la première fois en 2007, portent sur les défis relatifs à la protection de la vie privée propres aux initiatives de sécurité nationale, aux technologies de l’information, aux techniques génétiques et à la protection de l’identité.
Composés de membres issus de nos directions opérationnelles, les groupes de travail :
- Identifient les enjeux, les tendances et les défis actuels en rapport à leur domaine de priorité spécifique;
- Contribuent à l’élaboration de la position du Commissariat;
- Fournissent des conseils et œuvrent à orienter les politiques publiques.
La présente section décrit les efforts des groupes pour améliorer notre compréhension des questions de protection de la vie privée ayant un impact sur les quatre domaines de priorités du Commissariat, en particulier en ce qui a trait au secteur public.
Groupe de travail sur la sécurité nationale
Le Groupe de travail sur la sécurité nationale reste à l’affût des questions de sécurité au nom du Commissariat. Il suit les développements dans ce domaine et invite des spécialistes à offrir des séances d’information à ses membres sur les tendances en émergence.
- Par exemple, un représentant de la Section des droits de la personne du ministère de la Justice est venu présenter une analyse des ententes d’échange de renseignements entre les organismes chargés de la sécurité nationale au Canada. Deux représentants de Sécurité publique Canada sont venus expliquer les travaux de la Direction de la cybersécurité du Canada.
- Le Groupe de travail soutient aussi la commissaire lorsqu’elle comparait devant le Parlement au sujet de la sécurité nationale. Il effectue également des recherches sur les mécanismes de contrôle des programmes de sécurité nationale au Canada.
- En vue de renforcer les relations du Commissariat avec d’autres organismes de surveillance, des représentants du Groupe de travail ont été invités à se joindre au Forum des organismes de surveillance, qui réunit le Bureau du commissaire du Centre de la sécurité des télécommunications, le Comité de surveillance des activités de renseignement de sécurité, le Bureau de l’inspecteur général du Service canadien du renseignement de sécurité et la Commission des plaintes du public contre la GRC. Le Forum offre aux analystes d’examens l’occasion de comparer les pratiques exemplaires et de discuter d’enjeux présentant des intérêts communs et des préoccupations communes.
Groupe de travail sur les technologies de l’information et la protection de la vie privée
Le Groupe de travail sur les technologies de l’information et la protection de la vie privée effectue un suivi et des recherches sur les nouveautés susceptibles d’avoir une incidence sur la protection de la vie privée dans le domaine en rapide évolution des technologies de l’information.
Le Groupe organise aussi des séances d’orientation pour recueillir de l’information sur le fonctionnement des nouvelles technologies et sur les répercussions éventuelles de ces dernières sur la protection de la vie privée. En 2008-2009 par exemple, une séance d’orientation offerte par l’industrie portait sur un nouveau service d’authentification en ligne et une solution biométrique.
Le Groupe a également organisé un atelier sur l’incidence des technologies géospatiales sur la protection de la vie privée.
Groupe de travail sur la protection des renseignements génétiques
Le Groupe de travail sur la protection des renseignements génétiques explore les questions de protection de la vie privée soulevées par les technologies de pointe en matière de génétique.
Le Groupe a invité plusieurs spécialistes externes à un atelier visant à améliorer notre compréhension des enjeux et à nous permettre d’élaborer notre programme de travail et de recherche pour les deux prochaines années.
L’atelier portait sur quatre enjeux : la mise en banque de matériel biologique aux fins de recherche; l’utilisation de renseignements génétiques par les organismes chargés de l’application des lois; les tests génétiques offerts directement aux consommateurs (la recherche de paternité, par exemple); et l’utilisation des renseignements génétiques par les compagnies d’assurances.
Le Groupe de travail a œuvré activement sur le front juridique en participant à l’examen parlementaire obligatoire de la Loi sur l’identification par les empreintes génétiques et en comparaissant devant le Comité de la sécurité publique et nationale de la Chambre des communes et devant le Comité des affaires juridiques et constitutionnelles du Sénat.
Plus précisément, le Groupe a fait part de ses préoccupations concernant l’élargissement de la banque nationale de données génétiques en prélevant l’ADN d’un plus grand nombre de contrevenants et pour une plus vaste gamme d’infractions, en permettant les « recherches de liens familiaux » et en intensifiant l’échange de renseignements à l’échelle internationale.
Le Groupe de travail sur l’intégrité de l’identité
Le Groupe de travail sur l’intégrité de l’identité cherche à comprendre et à prévoir les défis pour l’identité personnelle, alors même que les organisations du gouvernement et du secteur privé commencent à intégrer leurs systèmes de gestion de l’information, de service à la clientèle, de sécurité des réseaux et de gestion du savoir.
Les membres du Groupe de travail effectuent présentement le suivi de l’élaboration d’un système fédéré de gestion de l’identité pour le gouvernement canadien. En outre, ils travaillent activement auprès des organismes fédéraux et provinciaux à l’élaboration de normes pour un système pancanadien de dossiers de santé électroniques.
Alors que les médias sociaux comme Facebook et Twitter gagnent en popularité dans le secteur privé, les organisations gouvernementales commencent aussi à y songer. Les membres du Groupe de travail participent aux essais pilotes d’un réseau social interne pour les fonctionnaires fédéraux. Ils ont fourni des lignes directrices sur l’utilisation de réseaux sociaux par les employés et les gestionnaires de la fonction publique.
Le Groupe de travail oriente également des recherches indépendantes sur les modalités de collecte et d’utilisation des renseignements personnels par les partis politiques au Canada et à l’étranger.
Le Canada comme chef de file mondial dans le domaine de la protection de la vie privée
Nous vivons dans une économie mondiale et les renseignements personnels sont en perpétuel mouvement. Les organisations et les individus profitent de la circulation transfrontalière de l’information puisqu’elle entraîne une baisse des coûts, une efficacité accrue et une plus grande commodité pour les clients. Des pays ayant des intérêts communs, en particulier en ce qui a trait au commerce et à la sécurité, sont de plus en plus enclins à échanger des renseignements sur leurs clients.
Toutefois, les risques d’atteinte à la vie privée augmentent avec la circulation transfrontalière des renseignements personnels. Le Commissariat fait alors face à de nouveaux défis qui, dans bien des cas, sont similaires à ceux auxquels d’autres administrations sont confrontées.
Il est évident que lorsque les renseignements personnels des Canadiennes et des Canadiens traversent les frontières internationales, nous devons travailler avec nos homologues internationaux pour rendre la protection des renseignements personnels aussi homogène que possible. Nous devons également coopérer pour élaborer des mécanismes d’application qui fournissent des recours aux personnes intéressées, peu importe où leurs renseignements sont traités.
Des participants de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée — qui s’est tenue à Montréal en septembre 2007 et dont nous étions les hôtes — ont accepté de continuer à collaborer pour renforcer la protection des données dans le monde entier. Ils ont également accepté de travailler avec des organismes de normalisation, comme l’Organisation internationale de normalisation (ISO) pour élaborer des normes de protection de la vie privée efficaces et universellement acceptées.
Le Commissariat a joué un rôle clé dans la création de l’Association des autorités francophones de protection des données et est maintenant membre du regroupement des autorités de protection de la vie privée de la zone Asie-Pacifique (APPA). Nous avons également rencontré régulièrement les autorités nationales et infranationales de protection des données des pays qui, comme le Canada, sont des États fédérés, afin d’échanger sur les défis de protection des données dans un contexte où les pouvoirs sont répartis entre plusieurs ordres de gouvernement.
Les pages qui suivent proposent un aperçu de nos efforts déployés à cet égard durant l’exercice 2008-2009.
Organisation de coopération et de développement économiques
Les Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel de l’Organisation de coopération et de développement économiques (OCDE), adoptées en 1980, ont été déterminantes dans l’élaboration de lois en matière de protection de la vie privée partout dans le monde. En effet, les lignes directrices constituent le fondement de la Loi sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels et les documents électroniques. L’OCDE continue de promouvoir la coopération internationale dans les efforts de protection des renseignements personnels.
En 2008-2009, le Commissariat a participé à un atelier dont l’OCDE était l’hôte conjoint, où il était question de responsabilité de la structure de gouvernance en matière de protection de la vie privée. Nous avons contribué aux travaux de l’OCDE sur la gestion de l’identité et à la Réunion ministérielle de l’OCDE sur l’avenir de l’économie Internet.
Coopération économique de la zone Asie-Pacifique
Le Commissariat a contribué aux efforts de la Coopération économique de la zone Asie-Pacifique (APEC) pour étudier les moyens de mettre en œuvre le cadre de protection de la vie privée de l’APEC adopté en 2004. Plus particulièrement, nous avons travaillé avec d’autres commissaires et des autorités d’application en faveur de la coopération dans les échanges de renseignements et les enquêtes sur les plaintes.
Nous avons aussi aidé les économies de la région ne possédant pas de loi en matière de protection de la vie privée à développer leurs capacités par l’entremise d’ateliers sur les rouages de la LPRPDE, particulièrement en ce qui concerne la circulation transfrontalière des renseignements personnels.
Les autorités de protection de la vie privée de la zone Asie-Pacifique
Le regroupement des autorités de protection de la vie privée de la zone Asie-Pacifique (APPA) est un important forum régional pour l’échange d’idées sur la réglementation en matière de protection de la vie privée, les nouvelles technologies et la gestion des enquêtes et des plaintes. L’APPA se réunit deux fois par année et organise annuellement une Semaine de la sensibilisation à la protection de la vie privée dans toute la région du Pacifique pour favoriser la conscientisation au droit à la vie privée et aux responsabilités en la matière.
Francophonie
Suite à une rencontre à Monaco en 2006, les représentants d’autorités de protection des données de 14 nations francophones ont accepté, en reconnaissance de leurs défis mutuels, de mettre en commun leurs connaissances et leur expérience par l’entremise d’un forum structuré. Avec le soutien de l’Organisation internationale de la francophonie (OIF), ils ont décidé de former une Association des autorités francophones de protection des données dont la séance inaugurale a eu lieu à Montréal en 2007.
Présidée par Me Jacques Saint-Laurent, qui assure également la présidence de la Commission d’accès à l’information du Québec, l’Association a pour principal objectif de bâtir des programmes de coopération mus par des activités de formation, l’échange d’information et des études impliquant la mise en commun de l’expertise et de l’expérience.
En 2008, l’Association a continué son suivi du plan d’action élaboré lors de la réunion à Montréal. En plus d’avoir conçu un plan stratégique à long terme, l’Association a mis sur pied l’an dernier un groupe de travail composé de représentants de l’Association et de l’OIF. Les membres ont échangé plusieurs documents sur la vidéosurveillance, la biométrie et le droit des enfants à la vie privée. Ils ont instauré un programme de stages pratiques, publié un bulletin d’information et participé à des activités d’engagement.
En 2009, on a publié une étude des mécanismes de protection de la vie privée qui prévalent dans les trois instances francophones du Canada — le Québec, le Nouveau-Brunswick et l’ensemble du gouvernement fédéral — accompagnée d’un document vidéo intitulé La protection des renseignements personnels : Projet et réalité. Ce projet réunissait les autorités de protection des données des trois instances. Menée par Paul-André Comeau, ancien président de la Commission d’accès à l’information du Québec, l’étude faisait valoir les leçons retenues de ces « modèles canadiens ».
L’Association encourage également la mise en commun des pratiques exemplaires des autorités francophones de protection des données. Par exemple, lors de la conférence de 2008 des autorités francophones de protection des données, le Commissariat a parlé de l’utilisation des documents de travail au Canada pour promouvoir la réflexion sur les enjeux en matière de protection de la vie privée au sein des communautés. Nous avons également abordé les concours que nous organisons pour conscientiser les jeunes.
Élaboration de normes internationales
Le Commissariat participe activement aux efforts de l’Organisation internationale de normalisation (ISO) pour élaborer et soutenir des normes et des lignes directrices régissant les questions de sécurité en gestion de l’identité, en biométrie et en protection des renseignements personnels.
Les projets majeurs de l’ISO en 2008-2009 comprenaient des travaux en vue d’un cadre de gestion de l’identité et d’un cadre de protection de la vie privée en plus de déterminer les exigences pour des normes et lignes directrices additionnelles sur, par exemple, des technologies favorisant la protection de la vie privée.
Le cadre de gestion de l’identité vise à définir les concepts fondamentaux de la gestion de l’identité et à élaborer les principes, les processus et les composantes technologiques appropriés pour gérer les identités.
Un membre de la haute gestion du Commissariat préside le Comité consultatif canadien en s’inspirant des travaux effectués à l’échelle internationale; il dirige également la délégation canadienne au groupe de travail de l’ISO responsable de la gestion de l’identité et des technologies favorisant la protection de la vie privée. De plus, il est l’agent de liaison chargé de présenter les points de vue de la Conférence internationale des commissaires à la protection des données à ce groupe de travail de l’ISO.
En 2008-2009, le projet de cadre de gestion de l’identité et de protection de la vie privée a poursuivi sa lancée en vue de la publication de normes internationales. Nous sommes heureux de constater qu’un consensus s’est fait quand à la terminologie de base et certains concepts.
La protection de la vie privée en chiffres — 2008-2009
Demandes de renseignements et enquêtes au sujet des plaintes
| Total des demandes reçues | 12,179 |
|---|---|
| Demandes liées à la Loi sur la protection des renseignements personnels | 3,103 |
| Demandes liées à la LPRPDE | 6,588 |
| Demandes ne pouvant pas être liées exclusivement à la Loi sur la protection des renseignements personnels ou à la LPRPDE | 2,488 |
| Plaintes reçues | 748 |
| Plaintes fermées | 990 |
Vérifications et examens d’EFVP
Vérifications dans le secteur public
| En cours depuis l’année précédente | 4 * |
|---|---|
| Nouvellement amorcées | 3 |
| * Deux terminées, deux en cours à la fin de l’exercice. | |
Évaluations des facteurs relatifs à la vie privée
| Reçues | 64 |
|---|---|
| Examinées | 31 |
Services juridiques, politiques et affaires parlementaires
| Politiques ou initiatives du secteur public examinées | 70 |
|---|---|
| Documents d’orientation stratégique diffusés | 4 |
| Lois ou projets de loi examinés sous l’angle de leurs répercussions sur la vie privée | 9 |
| Témoignages devant des comités parlementaires | 9 |
| Autres rencontres de parlementaires ou de leur personnel | 103 |
Autres activités du Commissariat
| Visites formelles de la part d’intervenants externes | 63 |
|---|---|
| Discours et exposés présentés | 100 |
| Communiqués et fiches d’information diffusés | 29 |
| Entrevues médiatiques accordées | 294 |
| Participations à des événements de relations externes avec les intervenants | 11 |
| Publications distribuées | 13,200 |
| Appels de fichiers enregistrés sur le site Web du Commissariat | 1.71 million |
| Appels de fichiers enregistrés sur le blogue du Commissariat | 291,500 |
| Demandes en vertu de la Loi sur l’accès à l’information reçues | 28 |
| Demandes en vertu de la Loi sur l’accès à l’information fermées | 23 |
| Demandes en vertu de la Loi sur la protection des renseignements personnels reçues | 10 |
| Demandes en vertu de la Loi sur la protection des renseignements personnels fermées | 10 |
La sphère de la protection des renseignements personnels
Les pages qui suivent sont consacrées aux deux plus importantes menaces à la vie privée, soit les préoccupations en matière de sécurité et les percées en matière de technologies de l’information.
Des gouvernements de partout au monde sont convaincus — à tort, selon nous — que le meilleur moyen de protéger leurs citoyens est de recueillir, analyser et conserver de plus en plus de renseignements personnels.
Parallèlement, des technologies de l’information de plus en plus puissantes permettent de recueillir, traiter et partager des quantités incommensurables de données, à un point tel qu’on aurait eu peine à se l’imaginer il y a quelques années.
Ces deux enjeux ont été les points de mire de nos travaux des dernières années. Dans le cadre de nos activités à cet égard, nous avons insisté pour dire que le droit à la vie privée ne se pose pas comme un antagonisme à la sécurité publique ni à l’utilisation des technologies de l’information. Nous croyons plutôt que les modalités de son respect doivent faire partie intégrante de ces développements.
Nous nous attendons à ce que l’importance de ces enjeux se maintienne pour les années à venir.
Conjuguer vie privée et sécurité après le 11 septembre
Des vérifications majeures de programmes de sécurité soulèvent des inquiétudes quant à la collecte excessive de renseignements personnels et des risques en matière de TI
Au cours des dernières années, nos travaux ont porté en grande partie sur les risques d’atteinte à la vie privée propres aux programmes de sécurité mis en œuvre après le 11 septembre et qui comportent la collecte et l’utilisation de renseignements personnels.
En 2008-2009, nous avons examiné de près deux outils clés dans les efforts du Canada pour combattre le terrorisme : la liste des personnes interdites de vol ainsi qu’une agence indépendante mandatée d’analyser les transactions financières et déterminer les cas présumés de blanchiment d’argent et de financement des activités terroristes. Ces vérifications ont mis en lumière plusieurs préoccupations relatives à la protection de la vie privée.
Nous avons collaboré avec les ministères et organismes gouvernementaux pour atténuer les risques d’atteinte à la vie privée en lien, par exemple, avec les systèmes d’imagerie dans les aéroports qui voient à travers les vêtements des voyageurs en vue de déceler des objets dissimulés; le recours à la biométrie pour les visas des ressortissants étrangers; et les permis de conduire améliorés.
—————
Dans l’histoire récente, on conçoit difficilement une journée ayant eu une plus grande répercussion sur la protection de la vie privée que le 11 septembre 2001.
Suite aux horribles attaques terroristes qui ont choqué le monde entier, partout, les gouvernements ont instauré une foule de nouveaux programmes de sécurité qui recueillent, analysent et conservent des renseignements personnels.
Cette tendance a engendré un nombre considérable de nouveaux risques menaçant le droit à la vie privée des Canadiennes et des Canadiens.
L’impact des réactions aux événements du 11 septembre est ressenti dans plusieurs activités quotidiennes — aller à l’aéroport ou envoyer de l’argent à un parent à l’étranger, par exemple.
Prendre l’avion implique désormais une vérification du nom pour voir s’il figure sur une liste de personnes jugées trop dangereuses pour voler. Les fouilles sont plus fréquentes et plus rigoureuses.
Vos relations quotidiennes avec toute une gamme d’entreprises comme les banques et les casinos, et avec des professionnels comme les comptables et les courtiers d’assurance-vie, entraînent désormais la collecte de renseignements personnels additionnels à communiquer au Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) — et ce, sans votre consentement.
Nombre d’entreprises et de professionnels sont maintenant tenus de juger si votre comportement est suspect — pour ensuite rendre compte de leurs soupçons au CANAFE.
Dans les espaces publics, de plus en plus de caméras surveillent vos déplacements.
À Vancouver, pour les Jeux olympiques d’hiver, on prépare des opérations relatives à la sécurité sans précédent dans l’histoire du Canada. Il s’ensuivra une augmentation radicale de la surveillance et de l’observation des résidents et des visiteurs.
Entre-temps, on prévoit délivrer aux ressortissants étrangers qui entrent au Canada des visas contenant leurs renseignements biométriques.
Tandis que le gouvernement se démène pour trouver des moyens de nous protéger de futures attaques terroristes, nos renseignements personnels font constamment l’objet de demandes.
La vie a changé depuis le 11 septembre 2001.
Conjuguer vie privée et sécurité
Le débat autour de la pléthore de nouveaux programmes de sécurité se concentre souvent sur deux questions. Dans quelle mesure sommes-nous prêts à renoncer à la protection de la vie privée pour la sécurité ? La vie privée compte-t-elle vraiment quand des vies sont en jeu?
Tant les responsables de la sécurité que les défenseurs de la protection de la vie privée prônent un équilibre convenable.
Toutefois, les débats sur la protection de la vie privée et la sécurité tiennent trop souvent pour acquis que renoncer à la vie privée — ne serait-ce qu’en partie — fera automatiquement en sorte que nous serons plus en sécurité. Au Commissariat à la protection de la vie privée du Canada, nous ne sommes pas du même avis. D’ailleurs, notre travail auprès des ministères et organismes du gouvernement fédéral nous oblige souvent à contester ce précepte.
Nous doutons généralement que la collecte d’une foule de données au sujet d’une personne assurera à cette dernière une plus grande sécurité. Bien que nous appréciions l’objectif qui sous-tend plusieurs programmes de sécurité, nous remettons souvent en question l’approche, l’efficacité ou la proportionnalité de certaines initiatives.
Il arrivera qu’on ait à mettre le droit à la vie privée de côté afin de garantir la sécurité publique. Toutefois, les Canadiennes et les Canadiens devraient faire ce sacrifice uniquement lorsque ce dernier mènera clairement à une société plus sûre et qu’aucune solution de rechange moins envahissante n’est disponible. Et même en ce cas, il sera crucial d’intégrer aux mesures de sécurité des mécanismes de protection de la vie privée.
La protection de la vie privée compte aux yeux de la population canadienne
Un sondage commandé au début de 2009 révèle que pour les Canadiennes et Canadiens, il est important de tenir compte de la vie privée alors que les gouvernements augmentent le pouvoir des organismes chargés de l’exécution de la loi et du renseignement. Neuf personnes sur dix trouvent qu’il est important que la vie privée entre en ligne de compte quand les gouvernements prennent la décision d’augmenter le pouvoir des organismes chargés de l’exécution de la loi et du renseignement.
Tout de même, une majorité de la population canadienne n’est que moyennement persuadée que les nouvelles mesures de sécurité à la frontière et dans les aéroports ont pour effet de renforcer la sécurité. Et deux tiers des répondants ont indiqué qu’ils n’étaient que moyennement persuadés que les organismes d’exécution de la loi et les agences de sécurité du Canada respectent les lois en matière de protection de la vie privée qui leur imposent des restrictions quant à la collecte, la conservation et l’échange de renseignements personnels.
Les problèmes de protection de la vie privée découlant d’initiatives de sécurité ont représenté un centre d’intérêt majeur au Commissariat en 2008-2009. Ci-après, un aperçu des principaux travaux concernant la sécurité entrepris au cours de l’exercice — les vérifications, les examens des évaluations des facteurs relatifs à la vie privée et d’autres consultations auprès du Parlement et d’organismes et ministères du gouvernement.
Vérifications
CANAFE
Le Centre d’analyse des opérations et déclarations financières du Canada — mieux connu sous le nom de CANAFE — est un organisme indépendant ayant pour mandat de recueillir et d’analyser les transactions financières et de diffuser des renseignements de sécurité au sujet de cas présumés de blanchiment d’argent et de financement d’activités terroristes. Créé en 2001, le CANAFE est un organisme autonome et indépendant des organismes d’application de la loi.
En vertu de modifications adoptées en 2006, la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes prévoit que le CANAFE fasse l’objet d’un examen par le Commissariat tous les deux ans et qu’un rapport soit présenté au Parlement. La vérification obligatoire est apparue avec d’autres modifications législatives visant à multiplier les types de transactions dont il faut rendre compte au CANAFE, accroître le nombre d’entités tenues de recueillir des renseignements sur leur clients et de les transmettre au CANAFE, et établir un régime de sanctions administratives pécuniaires pour non respect de la Loi.
Entités tenues de transmettre des renseignements personnels au CANAFE
- Toutes les entités financières (banques, coopératives de crédit, caisses populaires)
- Les sociétés, les courtiers et les agents d’assurance-vie
- Les courtiers en valeurs mobilières (dont les gestionnaires de portefeuille et les conseillers en placements autorisés par les provinces)
- Les personnes qui se livrent aux opérations de change
- Les entreprises de services monétaires
- Les mandataires de Sa Majesté qui acceptent des dépôts et/ou vendent des mandats
- Les comptables et les cabinets d’expertise comptable, les courtiers et les agents immobiliers, dans le cadre de certaines activités pour le compte de leurs clients, comme la réception ou le versement de fonds
- Les casinos (sauf certains casinos temporaires à des fins caritatives)
- Les notaires publics de la Colombie‑Britannique (y compris les sociétés de notaires) et les négociants en métaux précieux et pierres précieuses
- Les promoteurs immobiliers
Nos constatations
Notre première vérification du CANAFE indique que, dans l’ensemble, l’organisme adopte une approche exhaustive et robuste pour protéger les renseignements personnels de la population canadienne. Toutefois, la protection de la vie prive ne se résume pas à la protection des données; elle implique également de limiter la collecte de renseignements personnels au strict minimum.
Notre vérification nous a permis de découvrir que le CANAFE obtient et conserve plus de renseignements personnels que ce que la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes autorise.
Pour la population canadienne, ce n’est pas négligeable. La loi exige que jusqu’à 300 000 entités (voir exemples dans l’encadré à la page précédente) examinent minutieusement et transmettent une énorme quantité de renseignements personnels relatifs aux transactions financières de leurs clients. Ces rapports se font sans le consentement des clients.
Compte tenu du risque évident d’atteinte à la vie privée, il faut donner aux Canadiennes et Canadiens l’assurance que leurs renseignements personnels sont traités de manière appropriée et selon des mesures de contrôle bien établies.
L’obligation de protéger les banques d’information est la même pour tous les ministères, mais elle est plus rigoureuse pour les organisations comme le CANAFE.
Dans le cadre de notre vérification, nous avons examiné les politiques, les pratiques et procédures, les lignes directrices, les outils d’analyse, les évaluations de la sécurité, le matériel de formation et les ententes d’échange de renseignements. Nous avons consulté un échantillon des rapports que reçoit le CANAFE ainsi que des renseignements qu’il communique aux organismes chargés de l’application de la loi et à d’autres ministères et organismes.
Mesures de protection de la vie privée
Nous avons également évalué les mesures de surveillance et de contrôle dont dispose l’organisme pour protéger les renseignements personnels, l’assignation des responsabilités en matière de protection de la vie privée, la gestion des risques d’atteinte à la vie privée et le respect des obligations en vertu de la Loi sur la protection des renseignements personnels.
Bien que le Centre ait instauré des mesures de surveillance et de contrôle, certaines lacunes doivent être comblées. Plus particulièrement, la gouvernance et la responsabilité, en termes de protection de la vie privée, ne sont pas définies clairement; le processus de gestion des risques d’atteinte à la vie privée n’est pas formalisé; et la formation du personnel sur la protection de la vie prive est insuffisante.
Renforcer le cadre de travail contribuera à faire en sorte que le CANAFE satisfait à ses obligations en vertu de la Loi sur la protection des renseignements personnels et protège mieux les renseignements personnels de la population canadienne.
En bout de ligne, un cadre plus rigoureux permettra à l’organisation d’éviter le type de problèmes de protection de la vie privée constatés au cours de la vérification.
Certaines des lacunes les plus graves que la vérification a permis de déceler ont trait à l’obtention et à la conservation des renseignements personnels. Les mesures de contrôle actuelles — y compris le filtrage préliminaire et le suivi continu des rapports — ne sont pas suffisantes.
Comme nous l’expliquons ci-dessous, le résultat est que le CANAFE obtient plus de renseignements personnels que ne le permet son mandat législatif.
La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes oblige certaines entreprises et professions à présenter des rapports au CANAFE sur les transactions où il est question de grandes sommes en argent comptant et sur les transferts électroniques de fonds de 10 000 $ ou plus. Elles doivent également rendre compte de toute transaction suspecte qui serait liée au blanchiment d’argent ou au financement d’activités terroristes — peu importe la somme d’argent en jeu.
Déclaration excessive
Dans l’échantillon de rapports que nous avons consultés, nous avons trouvé de nombreuses déclarations de transactions où il était question de grandes sommes en argent comptant, de transferts électroniques de fonds et de mouvements transfrontaliers des espèces (entrant ou sortant du Canada) bien que la somme en question était inférieure au seuil de 10 000 $. Nous avons également trouvé des déclarations de casinos au sujet de transactions relatives au déboursement de 10 000 $ ou plus, bien que l’obligation de rendre compte au CANAFE n’était pas encore en vigueur pour les casinos au moment de la vérification.
Nous avons également décelé des problèmes concernant des rapports basés sur des soupçons non fondés. La loi ne définit pas les critères juridiques des « motifs raisonnables de soupçonner ». La politique du CANAFE précise qu’il s’agit d’un degré de soupçon supérieur au « simple soupçon » et en deçà de la « croyance raisonnable ».
Bien que les transactions suspectes rapportées soient examinées et classées par ordre de priorité, elles ne sont pas évaluées en fonction de soupçons raisonnables de blanchiment d’argent ou de financement des activités terroristes.
Parmi les dossiers consultés, nous en avons trouvé plusieurs qui ne démontraient pas clairement des motifs raisonnables de soupçonner des cas de blanchiment d’argent ou de financement d’activités terroristes. Par exemple :
- Une entité a présenté plusieurs rapports dans lesquels elle indiquait qu’elle « adoptait une approche conservatrice [...] parce qu’il n’y a pas de motifs de soupçonner que cette transaction était liée à la perpétration d’une infraction en matière de blanchiment d’argent, mais il n’y a aucune preuve à l’effet que la transaction soit légitime » [traduction].
- Une personne a déposé une somme inférieure au seuil de déclaration de 10 000 $ dans une institution financière. Le rapport indique que bien que l’activité au compte semble normale, la transaction a été consignée afin de s’assurer que la personne se conforme aux exigences fiscales. Rien ne portait à croire que la transaction était reliée à un cas présumé de blanchiment d’argent ou de financement d’activités terroristes.
- Une personne a déposé un chèque émis par le gouvernement d’un montant de moins de 300 $ pour ensuite retirer la somme entière. L’institution financière a présenté un rapport de transaction suspecte, mais n’a indiqué aucun motif à l’appui.
Ces exemples laissent entendre que certaines entités ne comprennent pas clairement leurs obligations en matière de présentation de rapports ou remettent un rapport par défaut en cas de doute, reléguant la protection de la vie privée aux soucis de second ordre.
Nous avons aussi examiné des dossiers de déclarations volontaires.
Le Centre reçoit des déclarations volontaires concernant des soupçons de blanchiment d’argent et de financement d’activités terroristes de sources diverses : le public, la police, le Service canadien du renseignement de sécurité (SCRS) et des unités du renseignement financier situées à l’étranger.
Sur réception, le CANAFE évalue les rapports pour déterminer s’ils relèvent de son mandat. Les rapports qui ne relèvent pas du mandat du Centre sont conservés, mais ne sont pas disponibles pour analyse.
En dépit de ce processus de filtrage, nous avons trouvé des dossiers de déclarations volontaires dans la base de données du CANAFE dans lesquels rien ne laissait soupçonner des cas de blanchiment d’argent ou de financement d’activités terroristes. Par exemple :
- Le CANAFE a reçu un rapport d’un détaillant qui avait mis en œuvre son propre programme de lutte contre le blanchiment d’argent. Il présentait un rapport pour toute transaction en argent ou de débit de plus de 10 000 $. Aucun rapport examiné n’indiquait qu’il y avait lieu de soupçonner des activités de blanchiment d’argent.
- Une personne a changé des devises étrangères dans une entreprise de transfert de fonds ou de ventes de titres négociables. Lorsqu’on lui a demandé de fournir des renseignements pour satisfaire aux exigences légales de tenue de documents, la personne a demandé si ces renseignements seraient transmis à des organismes du gouvernement fédéral. Le commis lui a expliqué que seule l’entreprise conservait les renseignements, mais qu’elle devait les recueillir conformément aux règlements fédéraux. La personne est partie sans compléter la transaction. On retrouve le commentaire suivant dans le rapport : « Je ne crois pas que cette personne s’adonnait au blanchiment d’argent, mais pour une raison quelconque, ça a suscité des préoccupations par rapport à l’immigration ou des questions fiscales » [traduction].
- À une institution financière, une personne à déposé un chèque provenant d’un cabinet d’avocats. Bien que la personne ait fourni des raisons légitimes pour les fonds, à la satisfaction de l’institution financière, cette dernière a décidé d’aviser le CANAFE en raison de l’origine ethnique de la personne et parce que celle-ci avait récemment fait un voyage d’agrément dans un pays en particulier.
Nous avons également trouvé des cas où le Centre a reçu et conservé des renseignements superflus comme le numéro d’assurance sociale ou de la carte santé.
Nos recommandations
Nous avons recommandé que le CANAFE collabore avec les entités de déclaration pour faire en sorte que le Centre ne reçoive pas de renseignements personnels qu’il n’est pas pas légalement autorisé à recevoir, dont il n’a pas besoin et qu’il n’utilise pas.
À cette fin, le Centre devrait améliorer le processus de filtrage préliminaire des rapports et instaurer des processus de contrôle et d’examen plus fiables pour s’assurer que ses fonds de renseignements sont pertinents et non excessifs.
Nous recommandons aussi que le CANAFE supprime de manière permanente toute donnée contenue dans ses fonds de renseignements et reçue sans autorisation légale.
Compte tenu que nous n’avons examiné qu’un échantillon de rapports, nous n’avons pas déterminé la quantité de renseignements obtenus sans autorisation contenus dans les fonds de renseignements du CANAFE.
Autres enjeux
La vérification a permis d’identifier d’autres domaines où le CANAFE devrait renforcer ses mesures de protection de la vie privée.
Par exemple, nous avons recommandé que le Centre collabore avec ses partenaires du renseignement de sécurité pour s’assurer, dans la mesure du possible, que les affiliations avec les terroristes sont confirmées avant de conserver les données et de les soumettre aux analyses.
Bien que le CANAFE tente de vérifier l’affiliation des personnes avec des groupes terroristes, il y parvient difficilement en l’absence de renseignements cruciaux comme la date de naissance.
Lorsqu’il ne réussit pas à confirmer l’identité, le CANAFE ne poursuit pas l’analyse, mais conserve les renseignements dans sa base de données. La pratique par défaut consiste à conserver les rapports peu importe qu’on sache, qu’on croie ou qu’on soupçonne une affiliation terroriste.
Nous avons également formulé des recommandations visant à renforcer les mesures de surveillance et de contrôle en place pour protéger les renseignements personnels. Nous avons exhorté le CANAFE à :
- Nommer un gestionnaire supérieur au poste de chef de la protection des renseignements personnels qui fournira un leadership stratégique et coordonnera et surveillera les activités relatives à la protection de la vie privée;
- S’assurer que toutes les initiatives et tous les programmes nécessitant une analyse des facteurs relatifs à la vie privée soient relevés, fassent l’objet d’un rapport et d’un suivi;
- Finaliser et mettre en œuvre des lignes directrices en cas d’incidents relatifs à la protection de la vie privée de manière à se conformer aux attentes en matière de notification des atteintes à la vie privée établies par le Secrétariat du Conseil du Trésor;
- Multiplier les initiatives de sensibilisation à la sécurité pour s’assurer que tous les employés qui traitent des renseignements personnels ou ont des responsabilités en matière de protection de la vie privée reçoivent une formation spécifique sur les principes de base et sur les exigences en rapport aux analyses des facteurs relatifs à la vie privée.
Réponse du CANAFE
En réponse à nos recommandations, le CANAFE a accepté d’apporter de nombreux changements, notamment la création d’un poste de chef de la protection des renseignements personnels et l’élaboration de lignes directrices en cas d’incidents relatifs à la protection de la vie privée. Le CANAFE a également accepté de mettre à jour son programme de formation des employés en matière de protection des renseignements personnels pour y inclure davantage de renseignements précis.
Alors que le CANAFE affirme avoir pris des mesures pour restreindre la quantité de renseignements envoyés indûment au Centre, il souligne que la destruction de renseignements superflus déjà présents dans sa base de données représente un défi sur le plan technique. Le Centre élabore présentement une stratégie qui lui permettra de mettre sur pied un plan de destruction de données. Le Centre établira par écrit un ensemble de critères qui aideront aux responsables à déterminer si l’on a atteint le seuil de communication à l’Agence des services frontaliers du Canada et au Centre de la sécurité des télécommunications Canada. Le CANAFE ouvrira également un dialogue avec ses partenaires dans le domaine du renseignement pour réduire le risque de conserver de l’information au sujet de personnes ayant été soupçonnées d’être liées à des activités terroristes une fois que ces soupçons ont été écartés.
Le CANAFE a également reconnu l’importance de minimiser la quantité de données qu’elle traite dans l’exécution de son mandat de vérification. Le Centre insistera sur l’importance de ce principe au moment de former les employés et quand viendra le temps de réviser et mettre à jour ses politiques et procédures.
Programme de protection des passagers
La sécurité de l’aviation a toujours été prioritaire pour le gouvernement. Mais quand des avions remplis de passagers ont servi d’armes aux mains de terroristes le 11 septembre 2001, les mesures de sécurité se sont resserrées partout au monde.
Le Canada ne fait pas exception à cette règle. Le gouvernement fédéral a créé de nombreux programmes de sécurité nationale visant à protéger les Canadiennes et Canadiens. Or, ces programmes ont également une incidence sur le droit à la vie privée.
Parmi ceux-là, on retrouve le Programme de protection des passagers, mieux connu sous l’appellation commune de « liste des personnes interdites de vol ». Cet outil de contrôle des passagers mis sur pied en juin 2007 vise à empêcher ceux et celles dont le nom figure sur la « Liste des personnes précisées » de prendre place à bord de vols régionaux et internationaux, en partance ou à destination du Canada.
Le programme a suscité des préoccupations en matière de vie privée, notamment en raison de son caractère secret — on utilise des renseignements personnels à l’insu des personnes en question.
En outre, refuser l’embarquement d’une personne à bord d’un aéronef peut entraîner des conséquences profondes sur son droit à la vie privée et ses autres droits fondamentaux telles les libertés d’association, d’expression et de mouvement.
Le Commissariat a effectué une vérification du Programme de protection des passagers pour déterminer si Transports Canada dispose de mesures de contrôle et de protection adéquates à l’égard des renseignements personnels recueillis et utilisés dans le cadre du programme.
La vérification n’avait pas pour but d’examiner l’efficacité du programme ou la fiabilité des renseignements utilisés pour déterminer si le nom d’individus particuliers devrait figurer ou non sur la Liste des personnes précisées. Ces questions ne relèvent pas de notre mandat.
En outre, nous n’avons pas examiné les pratiques de traitement des renseignements personnels des compagnies aériennes, bien que nous nous soyons penchés sur le rôle de surveillance de Transports Canada à cet égard.
Fonctionnement du programme
Le Programme de protection des passagers est géré à partir de l’administration centrale de Transports Canada à Ottawa. Le Groupe consultatif sur la Liste des personnes précisées, formé de cadres supérieurs de Transports Canada, du SCRS et de la GRC, se réunit régulièrement pour revoir la liste courante et recommander au sous-ministre de Transports Canada de retirer ou d’ajouter des noms précis.
Les compagnies aériennes doivent comparer tous les noms des passagers à ceux inscrits sur la Liste des personnes précisées au moment de l’enregistrement. Si l’on confirme que le nom d’un passager figure sur la liste, la compagnie aérienne doit le signaler en téléphonant immédiatement au Centre des opérations et de soutien du renseignement de Transports Canada.
Transports Canada procède alors à sa propre vérification afin de confirmer si le passager identifié par la compagnie est bien une personne dont le nom figure sur la liste. Un agent de Transports Canada décide ensuite de permettre ou d’interdire l’embarquement.
Les personnes qui se voient refuser l’embarquement en vertu du Programme de protection des passagers peuvent demander à Transports Canada de revoir sa décision. Il revient à la personne visée de soumettre un motif au réexamen.
Le Bureau de réexamen de Transports Canada retient à contrat les services de conseillers en sécurité qui revoient de telles réclamations pour ensuite faire une recommandation au sous-ministre quant au maintien de la personne sur la liste ou à son retrait de celle-ci.
Les personnes concernées peuvent également demander un contrôle judiciaire de la décision de Transports Canada à la Cour fédérale du Canada. Au moment où nous avons procédé à la vérification, une seule demande de contrôle avait été présentée.
Résumé de nos observations
En général, nous avons constaté que Transports Canada recueille et utilise des renseignements personnels dans le cadre du Programme de protection des passagers de manière conforme à la Loi sur la protection des renseignements personnels et de la Loi sur l’aéronautique. Le Ministère dispose de procédures opérationnelles et d’ententes qui font en sorte que seuls les renseignements personnels nécessaires à la gestion du programme sont recueillis.
Plus particulièrement, nous avons observé que Transports Canada communique les renseignements personnels de manière sélective aux responsables qui en ont effectivement besoin, et que le Ministère prend des mesures pour restreindre la communication aux seuls renseignements personnels essentiels au fonctionnement du programme.
Cependant, certains faits soulevés au cours de la vérification sont inquiétants :
- On ne fournissait pas au sous-ministre de Transports Canada de l’information complète pour éclairer sa décision d’ajouter des noms à la Liste des personnes précisées ou de les en retirer. On présentait au sous-ministre une recommandation à signer, accompagnée de très peu de preuves à l’appui — voire aucune — pour expliquer pourquoi une personne devrait être ajoutée à la liste ou soustraite de celle-ci.
- L’application informatique utilisée pour communiquer aux transporteurs aériens les renseignements relatifs à la Liste des personnes précisées n’a pas fait l’objet d’un processus officiel de certification et d’accréditation comme l’exige la politique de sécurité du gouvernement. Ce processus a pour objet de réduire le risque de faiblesses non détectées sur le plan de la sécurité des technologies de l’information qui pourraient mettre à risque des renseignements personnels délicats.
- Transports Canada n’a pas vérifié si les transporteurs aériens se conforment aux exigences de la règlementation fédérale visant le contrôle de l’identité dans le cadre du traitement et de la protection des renseignements compris dans la Liste des personnes précisées. Un petit nombre de transporteurs aériens se servent de copies imprimées de la liste, ce qui représente un risque supplémentaire de communication inappropriée.
- Rien ne vient obliger le signalement à Transports Canada d’atteintes à la sécurité mettant en jeu la protection des renseignements personnels.
Information à l’appui du processus décisionnel
Le sous-ministre de Transports Canada exerce le pouvoir délégué de constituer la Liste des personnes précisées. La vérification n’a pas cerné de problèmes quant à l’exactitude des renseignements du programme. Toutefois, l’information soumise au sous-ministre était insuffisante pour soutenir une prise de décision éclairée.
En particulier, le Groupe consultatif sur la Liste des personnes précisées ne remettait pas au sous-ministre des renseignements cruciaux justifiant les changements recommandés à la liste. Par exemple, le sous-ministre ne recevait pas une copie des dossiers, des comptes rendus de réunions et des raisons complètes derrière les recommandations.
Fournir un dossier incomplet au sous-ministre suppose qu’une modification inappropriée pourrait être faite à la Liste des personnes précisées. Cela pourrait avoir des conséquences sérieuses pour les personnes se retrouvant indûment sur la liste, ou pour les voyageurs si une personne potentiellement dangereuse est omise de la liste.
Mesures de protection
En général, Transports Canada dispose de mesures physiques, de programmes de formation et d’autorisations de sécurité pour protéger les renseignements personnels contenus dans le Programme de protection des passagers.
Toutefois, Transports Canada n’a pas démontré que l’application informatique servant à communiquer les renseignements de la Liste des personnes précisées aux transporteurs aériens avait été certifiée et accréditée pour répondre aux normes de sécurité du gouvernement. Un système de technologie de l’information qui n’a pas fait l’objet d’une certification et d’une accréditation augmente le risque de faiblesses non détectées sur le plan de la sécurité, ce qui pourrait représenter un risque pour les renseignements personnels délicats.
Au cours de notre vérification, nous avons trouvé un exemple de contrôle du système qui ne fonctionnait pas comme prévu. Cette erreur non détectée empêchait des responsables autorisés de Transports Canada d’avoir accès à des donnés sur le système. Nous étions préoccupés par la possibilité que cette vulnérabilité ait eu comme résultat de donner à des personnes non autorisées le pouvoir de modifier la Liste des personnes précisées.
L’erreur logicielle que nous avons soulevée au cours de la vérification aurait pu être évitée si un processus de certification et d’accréditation formel avait été en place. Le Ministère a désormais rectifié la situation.
Nous avons également découvert que Transports Canada n’avait pas entrepris de mesures pour s’assurer que les transporteurs aériens traitaient et protégeaient adéquatement les renseignements personnels contenus sur la Liste des personnes précisées. Eu égard à ce manque de surveillance, le Ministère ne pouvait pas garantir que ces renseignements personnels délicats ne seraient pas utilisés ou communiqués de manière inappropriée.
En outre, nous avons constaté que deux compagnies aériennes plus modestes ne disposaient pas de mécanismes automatisés pour apparier l’information au sujet des passagers et la Liste des personnes précisées. Ces lignes aériennes imprimaient des copies de la liste à l’intention du personnel affecté à l’enregistrement des passagers. Si la liste devait être égarée, il pourrait y avoir des répercussions sérieuses pour les personnes nommées sur la liste et pour la réputation du Programme de protection des passagers.
Malgré les conséquences potentielles d’une atteinte à la protection des renseignements personnels, les transporteurs aériens ne sont présentement pas tenus de signaler de tels incidents à Transports Canada.
Réponse de Transports Canada
Transports Canada a répondu de manière positive à nos recommandations au sujet du Programme de protection des passagers. Le Ministère a déjà mis en œuvre des changements pour se conformer à nos recommandations concernant l’information présentée au sous-ministre et la surveillance du traitement par les compagnies aériennes des renseignements de la Liste des personnes précisées.
Le Ministère s’est engagé à entreprendre des activités pour améliorer ses pratiques afin de raffermir la protection des renseignements personnels délicats des Canadiennes et Canadiens.
Transports Canada n’a pas démontré qu’il disposait d’un processus documenté de certification et d’accréditation, tel qu’il est défini dans les procédures de sécurité du gouvernement. Le Ministère s’est engagé à revoir ses processus existants et à les ajuster à la lumière des pratiques exemplaires et lignes directrices.
Travaux antérieurs relatifs au Programme de protection des passagers
En 2005 et 2006, nous avons examiné les évaluations des facteurs relatifs à la vie privée concernant le Programme de protection des passagers soumis par Transports Canada et Sécurité publique et Protection civile Canada (désormais Sécurité publique Canada) au nom du SCRS et de la GRC.
Nous avions alors émis plusieurs recommandations pour annuler ou réduire certains des impacts les plus sérieux sur la vie privée. Peu de temps après, Transports Canada, le SCRS et la GRC ont mis en œuvre plusieurs des recommandations. Parmi les changements effectués, on note les suivants :
- La création du Règlement sur le contrôle de l’identité afin d’établir des normes obligatoires pour les transporteurs aériens relativement au traitement et à la protection des renseignements personnels.
- La hausse de l’âge minimal pour subir un contrôle, qui est passé de 12 à 18 ans.
- La conclusion de protocoles d’entente avec les transporteurs aériens et la GRC qui comportent des dispositions pour la protection des renseignements personnels.
- L’établissement d’échéanciers de conservation des renseignements du Programme de protection des passagers.
- La mise en œuvre de procédures de fonctionnement normalisées pour le Bureau de réexamen et pour les agents du renseignement en devoir de Transports Canada.
Suivi de la vérification menée auprès de l’Agence des services frontaliers du Canada
En 2008-2009, nous avons effectué un suivi auprès de l’Agence des services frontaliers du Canada (ASFC) pour examiner ce qu’il en était des recommandations que nous avions formulées par suite de notre vérification menée en 2006.
Cette vérification portait sur les échanges transfrontaliers de renseignements personnels entre l’ASFC et des organismes des États‑Unis. Le rapport de vérification comportait 19 recommandations, dont les suivantes :
- Raffermir le cadre de gestion de la protection de la vie privée de l’organisme, y compris les ententes de partage de renseignements avec les États‑Unis.
- Élaborer des normes de sécurité avec des partenaires des États‑Unis.
- Évaluer les initiatives menées de concert avec les États‑Unis qui concernent les avis de signalement et les voyageurs à risque élevé.
- Élaborer des politiques et des pratiques axées sur la consignation et le suivi de communications externes de renseignements personnels.
- Raffermir les procédures concernant les droits d’accès interne aux systèmes de TI.
- Définir les rôles liés à la sécurité, et établir un cadre de gestion de la sécurité pour protéger les renseignements personnels.
- Améliorer la production de rapports publics sur la circulation transfrontalière des données pour assurer une plus grande transparence sur ces activités devant les Canadiennes et les Canadiens ainsi que le Parlement.
Dans le cadre de notre examen de suivi, nous avons été ravis d’être informés que l’Agence avait intégralement mis en œuvre ou fait des progrès concernant l’ensemble des 19 recommandations.
À titre d’exemple, les ententes de partage de renseignements avec les États‑Unis font l’objet d’une révision pour s’assurer que leurs objectifs sont atteints et que les lacunes en matière de protection de la vie privée sont recensées et comblées. Selon les résultats de cette révision, l’ASFC négociera avec les États‑Unis dans les cas où les ententes sont jugées inadéquates.
Dans le cadre de son programme de renseignement, l’Agence a mis en œuvre une politique en vertu de laquelle il faut documenter tout échange de renseignements personnels avec des partenaires. Cette obligation se voit renforcée par une formation particulière à l’intention des employés.
En outre, le cadre de gestion de la protection de la vie privée et ses politiques, directives et séances de formation connexes devraient être mises en œuvre d’ici le milieu de l’année 2010.
Les activités de suivi de l’ASFC menées en réponse à nos recommandations étofferont la protection de la vie privée des personnes au‑delà des frontières du Canada.
Examen des évaluations des facteurs relatifs à la vie privée
Les évaluations des facteurs relatifs à la vie privée (EFVP) visent à aider les institutions fédérales à déterminer les répercussions des programmes et des services sur la protection de la vie privée.
Le Commissariat n’approuve ni les EFVP ni les projets. En revanche, nous formulons des recommandations sur la manière d’améliorer les projets afin de mieux protéger la vie privée des Canadiennes et des Canadiens.
De façon générale, si un ministère effectue une EFVP avant de mettre en œuvre un projet et prend des mesures pour atténuer les risques posés à la vie privée, il est censé voir à ce que la majorité de ces risques aient été résolus à la fin du processus, ce qui profitera ultimement aux Canadiennes et Canadiens.
Les pages qui suivent proposent des descriptions d’EFVP liées à des questions clés en matière de sécurité.
Projet pilote d’imagerie visuelle du corps en entier dans les aéroports canadiens
En 2008, l’Administration canadienne de la sûreté du transport aérien (ACSTA) lançait un projet pilote à l’aéroport international de Kelowna, en Colombie‑Britannique, qui impliquait l’utilisation volontaire de balayeurs voyant à travers les vêtements pour produire une image détaillée du corps. Cet appareil permet aux agents de détecter les objets potentiellement dangereux qui sont cachés sous les vêtements.
Le Commissariat a examiné une évaluation préliminaire des facteurs relatifs à la vie privée menée par l’ACSTA en vue de ce projet pilote. L’Agence a accepté de mettre en œuvre nos recommandations durant le projet :
- La participation s’effectuerait sur une base anonyme et strictement volontaire.
- L’image produite n’était pas mise en corrélation avec le nom du passager ou d’autres renseignements d’identification.
- L’agent de contrôle qui examinerait les images se trouverait dans une pièce distincte d’où il ne pourrait voir les passagers.
- L’agent de contrôle aux côtés du passager ne serait pas en mesure de voir l’image.
- Les images seraient supprimées du système une fois le contrôle terminé.
En 2008-2009, des employés du Commissariat ont visité l’aéroport de Kelowna pour vérifier si les mesures de sauvegarde étaient vraiment appliquées.
À la conclusion du projet pilote en janvier 2009, l’ACSTA a présenté un rapport final à Transports Canada et en a transmis une copie au Commissariat. L’ACSTA recommandait d’utiliser les balayeurs dans les aéroports canadiens. Toutefois, au moment de rédiger ce rapport, nous n’avons aucune information sur les configurations prises en compte ou si les balayeurs allaient servir pour un premier ou un deuxième contrôle des passagers.
L’ACSTA a accepté de procéder à une EFVP complète avant toute autre mise en service de la technologie. Nous avons reçu cette EFVP et nous étions en train de l’examiner au moment de rédiger le présent rapport. En outre, Transports Canada n’avait pas encore rendu publique sa décision quant à savoir s’il allait adopter la technologie par balayage dans les aéroports canadiens.
Les défenseurs de la vie privée et les autorités de protection des données se préoccupent généralement du caractère intrusif de cette technologie, de sorte que nous continuerons de suivre cette affaire de près.
Si Transports Canada devait décider de procéder à une mise en œuvre nationale, le Commissariat travaillerait également avec l’ACSTA pour s’assurer que l’on applique des mesures de protection de la vie privée.
Permis de conduire et Carte d’identité Plus
En vertu de l’Initiative relative aux voyages dans l’hémisphère occidental (IVHO) du gouvernement des États‑Unis, tous les voyageurs — y compris les citoyens américains et canadiens — doivent dorénavant présenter un passeport ou un autre document de citoyenneté sécuritaire lorsqu’ils voyagent aux États‑Unis ou transitent par ce pays.
En réponse à cette nouvelle exigence en matière d’entrée aux États‑Unis, le gouvernement canadien a proposé le Permis de conduire Plus (PC Plus) et la Carte d’identité Plus (CI Plus) comme solution de rechange à un passeport pour les Canadiennes et les Canadiens qui entrent aux États‑Unis.
Le programme du PC Plus et de la CI Plus est unique dans la mesure où il relève à la fois des gouvernements fédéral et provinciaux.
L’examen que mène le Commissariat à l’égard des répercussions sur la protection de la vie privée touche la participation de l’Agence des services frontaliers du Canada (ASFC) en tant qu’intermédiaire de programme, et de Citoyenneté et Immigration Canada dans son rôle consistant à aider les provinces à examiner les preuves documentaires de citoyenneté canadienne.
À ce jour, la Colombie‑Britannique, l’Ontario, le Québec et le Manitoba ont mis en œuvre le programme du PC Plus et/ou de la CI Plus.
Nous avons travaillé étroitement avec nos homologues provinciaux de la protection de la vie privée pour s’assurer de prendre en compte les risques à la vie privée associés au programme dans son ensemble.
L’une de nos principales préoccupations a trait à la création d’un autre ensemble de papiers d’identité pour traverser la frontière lorsque le passeport canadien existe déjà. On ne sait trop pourquoi une solution de rechange serait nécessaire.
Nous avons également des questions à poser sur l’utilisation des puces d’identification par radiofréquence (IRF) dans le PC Plus et la CI Plus. Selon certains rapports, il est possible de lire les puces à des distances pouvant atteindre 30 mètres, ce qui soulève le risque de collecte non autorisée de renseignements personnels. Les mesures de sécurité appropriées pour la base de données de l’ASFC même seront cruciales, compte tenu de l’ampleur des renseignements personnels qu’elle contient.
Un autre enjeu important concerne l’utilisation pouvant être faite des renseignements personnels des titulaires de PC Plus une fois qu’ils ont été saisis et stockés dans les bases de données des États‑Unis, particulièrement si l’on tient compte des lois qui y ont cours, comme la USA PATRIOT Act.
Dans notre rapport annuel de 2007‑2008, nous avons indiqué que nous travaillions avec le commissaire à l’information et à la protection de la vie privée de la Colombie‑Britannique durant l’examen du projet pilote du PC Plus dans cette province.
Le gouvernement canadien et le département de la Sécurité intérieure des États‑Unis ont convenu que, lorsque le programme de la Colombie‑Britannique serait intégralement mis en œuvre en juin 2009, les données sur les détenteurs de PC Plus seraient stockées dans une base de données distincte et sécuritaire, tenue à jour par l’ASFC et hébergée au Canada.
Les renseignements personnels seront électroniquement transmis aux autorités frontalières des États‑Unis uniquement lorsque le détenteur d’un PC Plus traverse la frontière pour entrer aux États‑Unis.
Nous continuerons de surveiller le programme du PC Plus et de la CI Plus alors qu’il s’étend à d’autres provinces et territoires ou que des modifications y sont apportées.
Passeports électroniques
Passeport Canada prépare la délivrance de passeports électroniques, qui débutera en 2011. Le passeport électronique contiendra une puce gravée comportant les renseignements personnels qu’on trouve actuellement dans la page de renseignements d’un passeport de même qu’une image faciale numérisée.
Notre examen de l’EFVP réalisée par Passeport Canada sur le passeport électronique nous a amenés à poser la question de savoir si les renseignements personnels sur la puce étaient adéquatement protégés contre les collectes non autorisées telles que l’écrémage et l’écoute clandestine — des risques cernés par l’Organisation de l’aviation civile internationale (OACI). Nous avons déjà vu des exemples de piratage du passeport électronique au Royaume‑Uni.
Nous avons également abordé la question des risques liés à l’inclusion de la biométrie telle que les empreintes digitales ou la lecture de l’iris dans le passeport électronique canadien. Passeport Canada nous a indiqué n’avoir aucune intention en ce sens pour le moment.
Une autre préoccupation de taille pour le Commissariat est la possibilité de développer des bases de données visant à accélérer les processus de contrôle frontalier et le suivi des voyageurs d’un côté et de l’autre des frontières nationales. Nous craignons également qu’il y ait détournement d’usage et que de telles activités aient lieu à l’insu du public.
Initiatives de Citoyenneté et Immigration Canada en matière de biométrie
Citoyenneté et Immigration Canada prévoit mettre en œuvre des initiatives impliquant l’utilisation de la biométrie.
L’une d’entre elles, prévue pour 2011, suppose la collecte de données biométriques pour appuyer le processus de délivrance de visas aux ressortissants étrangers entrant au Canada. L’objectif est d’empêcher les criminels de pénétrer nos frontières tout en traitant plus efficacement les demandeurs légitimes.
Le programme repose sur un programme pilote biométrique mené en 2006 qui impliquait l’adoption de technologies de reconnaissance des empreintes digitales et de reconnaissance faciale dans le traitement des demandeurs de visa de résident temporaire et des demandeurs d’asile. Les technologies ont aidé les responsables à mettre au jour des cas de fraude d’identité.
Nous avons fait valoir à Citoyenneté et Immigration Canada notre crainte que le recours aux données biométriques favorise les intrusions dans la vie privée. Nous avons demandé au ministère de fournir plus d’information sur la nécessité de partager des données biométriques.
Les données biométriques constituent des renseignements de nature très délicate sur des caractéristiques physiques propres à chacun d’entre nous. C’est parce qu’elles permettent d’identifier clairement une personne que les données biométriques gagnent en popularité et posent en même temps un risque à la protection de la vie privée. L’utilisation à grande échelle d’un identificateur unique telle une donnée biométrique vient augmenter le risque de vol d’identité, et l’incidence de ce vol d’identité sur la personne concernée peut être aggravée par le fait même.
Si la biométrie était utilisée de manière inappropriée, les personnes concernées pourraient subir de sérieuses conséquences. C’est pourquoi il est impératif que des mesures de protection juridiques soient mises en œuvre au même rythme que les percées technologiques en matière de biométrie, et que des mesures de protection suffisantes soient conçues pour s’assurer que la biométrie n’est pas utilisée de manière à brimer le droit à la vie privée.
Régime de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes
Le régime de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes, mis en place en 2000, était auparavant connu sous le nom d’Initiative nationale de lutte contre le blanchiment d’argent. Il met à contribution le ministère des Finances, le ministère de la Justice, le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE), l’Agence des services frontaliers du Canada (ASFC), l’Agence du revenu du Canada, la Gendarmerie royale du Canada (GRC), Sécurité publique Canada et le Service canadien du renseignement de sécurité.
Nous avons reçu des EFVP du CANAFE, de l’ASFC et de la GRC concernant le rôle respectif de chaque organisation dans l’administration de parties précises de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.
Toutefois, c’est là un exemple de programme à grande échelle où une EFVP stratégique, qui permet d’examiner les répercussions cumulatives qu’engendre sur la vie privée chaque volet du régime, aurait été judicieuse.
Nous avons rencontré des responsables du ministère des Finances, dans son rôle d’organisation directrice, pour s’occuper des risques généraux découlant du régime qui sont posés à la vie privée et discuter des mesures d’atténuation que nous avons recommandées.
Système national intégré d’information interorganismes (N‑III )
La nécessité d’une EFVP générale s’est imposée lorsque nous nous sommes penchés sur l’initiative du Système national intégré d’information interorganismes (N‑III), un programme de partage de dossiers électroniques qui relie les services de police nationaux, provinciaux et municipaux, et qui comporte des fonctions permettant d’étendre l’accès aux ministères fédéraux et d’échanger des renseignements avec eux.
L’initiative est un partenariat de la GRC, de Sécurité publique Canada et d’autres ministères et organismes.
Dans notre rapport annuel de 2007-2008, nous avons indiqué avoir demandé à Sécurité publique Canada une EFVP détaillée abordant tous les éléments du système et que nous n’avions pas encore reçu le document demandé.
Or, Sécurité publique Canada nous a expédié en février 2009 une EFVP générale sur un volet du système N‑III : l’Outil de recherche intégré. Bien qu’il ait fallu plusieurs années pour réaliser cette EFVP, elle présentait des lacunes en information dans des domaines clés, ce qui a empêché le Commissariat de présenter des observations et des recommandations valables. Nous avons retourné l’EFVP pour qu’elle soit révisée, et le Ministère nous a fourni un document étoffé en temps opportun, conformément à nos recommandations.
Jusqu’à 25 ministères et organismes pourront utiliser l’Outil de recherche intégré, et chacun sera tenu de réaliser sa propre EFVP sous forme d’addenda à l’EFVP générale préparée par Sécurité publique.
Toutefois, à ce jour, les seules EFVP reçues proviennent de l’ASFC et du CANAFE.
La protection de la vie privée dans un monde branché
Des failles informatiques à l’erreur humaine : répondre aux plaintes et aux atteintes à la protection des renseignements personnels
En 2008-2009, nous avons reçu 3 103 appels et lettres de Canadiennes et de Canadiens préoccupés par un vaste éventail d’enjeux liés à la protection de la vie privée dans le secteur public. Au total, nous avons traité 990 plaintes officielles en vertu de la Loi sur la protection des renseignements personnels, comparativement à 880 l’année précédente.
La plupart découlaient de problèmes qu’éprouvaient les gens à accéder à leurs renseignements personnels, ou de perception d’atteinte à la protection de leur vie privée dont se seraient rendus coupables des ministères ou organismes fédéraux. Il n’est pas étonnant de constater que des institutions telles que Service correctionnel Canada ou Ressources humaines et Développement des compétences Canada, qui gèrent de vastes quantités de renseignements personnels, aient attiré le plus grand nombre de plaintes.
Les Canadiennes et les Canadiens avaient également raison de craindre que leurs renseignements personnels ne soient indûment communiqués. Dans bien des cas, nos enquêteurs ont pu remonter à la source des atteintes à la protection des données, qui s’expliquaient par des vols ou des pertes, des procédures fautives ou inadéquates, ou une simple erreur humaine.
Les technologies de l’information, malgré tous leurs avantages, tiennent également nos enquêteurs occupés. Si les plaintes à propos des ordinateurs piratés, des ordinateurs portatifs volés et des disques manquants sont une réalité déjà assez dérangeante en soi, il ne fait pas de doute que les tendances futures en informatique vont amplifier les risques.
Dans les années à venir, la préservation des renseignements personnels des Canadiennes et des Canadiens promet de devenir un défi grandissant pour le gouvernement du Canada.
—————
En mars 2009, après une année de travail d’enquête soutenu, des experts en informatique de l’Université de Toronto ont stupéfié le monde avec des révélations sur GhostNet, une sinistre infiltration de systèmes informatiques de grande valeur dans plus de 100 pays autour du monde, depuis les bureaux du dalaï-lama aux ambassades, en passant par les établissements de défense, les organismes des médias et les missions commerciales.
On n’a aucune preuve que les ordinateurs du gouvernement du Canada auraient pu être infectés ou que les renseignements personnels des Canadiennes et des Canadiens stockés ou traités dans ces systèmes de données auraient pu être mis en péril. Par ailleurs, rien n’est certain puisque personne n’a jamais complètement levé le voile sur l’affaire GhostNet.
Tout de même, l’expérience a mis en lumière l’ampleur et la persistance de la menace qui se pose au gouvernement, lequel s’appuie fortement sur les technologies de l’information pour servir ses citoyens. Pour tout dire, le Service canadien du renseignement de sécurité a déclaré en avril que les menaces posées aux systèmes d’information et à l’infrastructure essentielle du Canada par les pirates, les terroristes et les États étrangers continuent de figurer parmi ses grandes priorités.
Il ne fait aucun doute qu’une attaque par des cyberterroristes ou des espions mettrait en péril les renseignements personnels des Canadiennes et des Canadiens. Cela dit, les risques posés à la vie privée sont moins tranchés dans les cas où la technologie de l’information est utilisée de manière bienveillante. La vigilance reste quand même le mot d’ordre en l’absence de protections à sécurité intégrée.
Le gouvernement s’est déjà tourné vers la prochaine génération informatique. Ce monde interactif axé sur le contenu en ligne produit par les utilisateurs et sur l’engagement interpersonnel, qu’on désigne souvent sous le nom de Web 2.0, englobe des phénomènes tels que les wikis, les blogues et les réseaux sociaux. Les fonctionnaires sont souvent encouragés à communiquer, former des réseaux et échanger de l’information par le biais d’outils en ligne comme les blogues ministériels et le GCPedia, lancé en octobre 2008.
Une vérification des communications sans fil du gouvernement est en cours
Dans le cadre du travail essentiellement terminé durant la période de référence, nous avons examiné la manière dont un échantillon de six organisations gouvernementales détenant des quantités substantielles de renseignements personnels ont géré leurs communications sur des réseaux et dispositifs sans fil tels que les cellulaires et les téléphones intelligents BlackBerry. Nous aborderons cette vérification dans notre rapport annuel 2009-2010.
Entre‑temps, le public canadien veut accéder à des services encore plus nombreux sur Internet. Tout comme ils achètent des livres, des chaussures et des meubles en ligne, les citoyens s’attendent, par un seul clic de souris, à payer leurs taxes, effectuer un changement d’adresse et obtenir des prestations du gouvernement. Si l’on fait abstraction du cas où il a annulé le service de demandes de passeport en ligne, le gouvernement a toujours été enclin à répondre à ce souhait.
Jusqu’ici, il semble que le gouvernement ait su répondre à l’interne à ses besoins informatiques. Toutefois, la tendance mondiale consiste à impartir le traitement et le stockage des données à de grands fournisseurs privés d’« informatique dans les nuages » comme Google et Amazon. Cet état de choses amène les Canadiennes et les Canadiens à poser des questions délicates : où les données seront‑elles stockées dans le monde et quelles lois appliquera‑t‑on pour protéger la vie privée? Qui y aura accès, et comment protégera‑t‑on les données contre les pirates, les feux ou d’autres désastres?
Risques communs
Alors que les experts techniques réfléchissent à ces questions, la majorité des risques qui préoccupent les enquêteurs du Commissariat relativement aux plaintes et aux atteintes à la vie privée sont de nature très peu technique. Pour tout dire, il est stupéfiant de constater la fréquence avec laquelle, même en 2009, les renseignements personnels sont mis en péril par des risques qui existaient déjà à l’époque des toutes premières cartes informatiques à perforer.
La section qui suit décrit des dossiers de nature technologique que nous avons fermés en 2008‑2009. On y relate notamment une attaque cybernétique par un pirate amateur qui a menacé 60 000 dossiers de données personnelles, un cas où personne ne s’est demandé pourquoi des centaines de gens ont pu accéder à certaines bases de données gouvernementales sans laisser de trace, et la fréquence inquiétante du vol d’ordinateurs portatifs et de leur contenu parfois délicat.
Les sections subséquentes sont consacrées à d’autres risques communs que nous avons recensés en 2008‑2009, y compris des procédures de gestion de données inadéquates ou erronées, et de simples erreurs humaines. La section finale décrit les efforts fournis par le Commissariat pour réduire l’arriéré de plaintes.
Statistiques clés
Types de plaintes fermées les plus courantes
| Difficulté d’accès aux renseignements personnels | 525 |
|---|---|
| Délai de réponse trop long de la part d’une institution à une demande d’accès aux renseignements personnels | 213 |
| Façon dont une institution utilise ou communique des renseignements personnels | 183 |
| Autre | 69 |
| Total | 990 |
Dix institutions ayant fait l’objet du plus grand nombre de plaintes*
| 1 | Service correctionnel du Canada | 249 |
|---|---|---|
| 2 | Ressources humaines et Développement des compétences Canada† | 129 |
| 3 | Gendarmerie royale du Canada | 67 |
| 4 | Agence du revenu du Canada | 51 |
| 5 | Agence des services frontaliers du Canada | 31 |
| 6 | Citoyenneté et Immigration Canada | 27 |
| 7 | Défense nationale | 25 |
| 8 | Service canadien du renseignement de sécurité | 23 |
| 9 | Société canadienne des postes | 22 |
| 10 | Justice Canada | 14 |
* Le mandat de certaines de ces institutions les oblige à détenir une quantité substantielle de renseignements personnels. Par conséquent, elles tendent à recevoir les demandes les plus fréquentes d’accès à ces renseignements et sont proportionnellement plus susceptibles de s’attirer des plaintes.
† Comprend Service Canada et Développement social Canada.
Cas d’envergure
Risque : Technologies de l’information
1. Fuite de renseignements personnels dans la base de données du ministère des Affaires extérieures et du Commerce international
Au printemps 2008, les médias ont rapporté la fuite des renseignements personnels d’un citoyen canadien détenu dans une prison étrangère, ce qui a amené le gouvernement à s’excuser devant le Parlement pour cette infraction à la Loi sur la protection des renseignements personnels.
Notre enquête a permis de confirmer que les renseignements en question étaient conservés dans un dossier consulaire officiel du système informatique du ministère des Affaires étrangères et du Commerce international (MAECI).
Fait inquiétant, 1 231 employés du MAECI avaient accès aux dossiers de ce système et notre enquête n’a pas permis de déterminer lequel d’entre eux avait transmis l’information aux médias. Il n’existait pas de capacité de vérification à rebours qui aurait indiqué qui avait accédé à quel dossier — ni d’ailleurs de mécanismes pour limiter l’accès à certains dossiers.
La plainte a été jugée fondée.
Suite à notre enquête, le MAECI a accepté :
- D’élaborer des lignes directrices plus précises sur l’échange de renseignements personnels entre ministères et représentants ministériels, en plus de mieux documenter les demandes de renseignements et les réponses à ces demandes;
- D’envisager des modifications du système informatique pour permettre les vérifications à rebours et restreindre l’accès aux dossiers.
2. Un pirate amateur s’infiltre dans les ordinateurs d’Agriculture et Agroalimentaire Canada
En septembre 2008, un administrateur de système informatique d’Agriculture et Agroalimentaire Canada (AAC) s’est aperçu que quelqu’un de l’extérieur s’était infiltré dans deux serveurs Linux et avait installé un logiciel de courriel modifié. Tout indiquait qu’il s’agissait de l’œuvre d’un « piratin » — un amateur qui utilise des logiciels malveillants facilement accessibles pour attaquer les systèmes et réseaux informatiques, simplement pour le plaisir de faire un mauvais coup.
Bien que peu sophistiquée, cette atteinte à la vie privée représentait une menace pour quelque 60 000 dossiers de données personnelles des producteurs agricoles bénéficiant du programme de paiement anticipé (PPA), un programme fédéral de prêts garantis administré par des tiers.
Les données compromises renfermaient des renseignements personnels comme les noms, adresses, numéros de téléphone, le montant des prêts et les remboursements. Même s’il était techniquement faisable de copier les données, l’AAC n’a trouvé aucune preuve indiquant que ce soit arrivé.
Suite à cet incident, l’AAC a réagi immédiatement pour évaluer la portée de l’intrusion et pour minimiser toute compromission future de ses systèmes. Le ministère a procédé à l’examen des pare-feu et des journaux des courriels pour la période couvrant deux semaines avant et deux semaines après l’intrusion, et a retiré toutes les données des serveurs de sauvegarde sécurisés qui n’étaient pas essentielles aux activités immédiates.
L’institution a continué d’explorer des moyens de réduire les risques et de détecter et atténuer l’impact des incidents de façon opportune.
3. Aucune preuve que la Commission des droits de la personne ait accédé à la connexion Internet d’une femme
Une femme a déposé une plainte à l’effet que la Commission canadienne des droits de la personne (CCDP) aurait recueilli et utilisé indûment ses renseignements personnels. Elle allègue que dans le cadre d’une enquête, la CCDP a accédé à sa connexion Internet sans fil pour ouvrir une session et afficher des messages sur un site Web militant pour la suprématie blanche.
En réponse à une assignation décernée au cours d’une audience publique du Tribunal canadien des droits de la personne, un fournisseur d’accès Internet a communiqué le nom, l’adresse et le numéro de téléphone d’un abonné associé à une adresse de protocole Internet (IP) à laquelle aurait accédé la CCDP au cours de son enquête. L’abonné en question était la plaignante.
Dans une décision antérieure, le Commissariat avait conclu qu’une adresse IP constituait un renseignement personnel si on pouvait l’associer à une personne identifiable.
Toutefois, l’enquête n’a permis de découvrir aucune preuve à l’effet que la CCDP avait recueilli, utilisé ou communiqué des renseignements personnels sur la plaignante — ni même entendu parler de cette personne avant les allégations faites au tribunal. Des spécialistes en technologie ont avancé que l’adresse IP de la plaignante avait été associée à la CCDP suite à une erreur de couplage commise par un tiers — une situation qui aurait pu survenir de différentes manières sans que la CCDP soit impliquée.
Nous avons conclu que la plainte n’était pas fondée. Toutefois, nous avons conseillé aux Canadiennes et aux Canadiens de bien sécuriser leur connexion Internet pour éviter l’accès non autorisé à leurs renseignements personnels.
4. Un pépin informatique à l’Agence des services frontaliers déclenche une atteinte à la protection des données
En réponse à une demande présentée en vertu de la Loi sur l’accès à l’information (LAI), l’Agence des services frontaliers du Canada (ASFC) a diffusé en mars 2007 un document de 52 pages qui comprenait une page renfermant les renseignements personnels d’autres personnes.
En raison d’un problème informatique, les renseignements personnels sont apparus sur l’imprimé d’ordinateur bien qu’ils avaient été supprimés de la version électronique. La personne qui avait présenté la demande de renseignements a retourné la page en question.
Nous avions mentionné un problème informatique similaire dans notre Rapport annuel de 2007‑2008 et l’ASFC était au courant de l’avis sur la politique sur la sécurité émis par le Secrétariat du Conseil du Trésor en octobre 2007, concernant la vulnérabilité de la communication électronique de renseignements en vertu de la LAI et de la Loi sur la protection des renseignements personnels. L’Agence tentait avec le vendeur du logiciel de résoudre ses problèmes informatiques.
L’ASFC s’est engagée à travailler de concert avec le vendeur du logiciel et d’examiner les procédures pour s’assurer que les renseignements exclus en vertu de la LAI et de la Loi sur la protection des renseignements personnels sont supprimés de manière permanente. L’Agence a aussi entrepris de mettre en œuvre un processus manuel d’assurance qualité pour tous les renseignements communiqués en vertu des deux lois.
5. Des vols d’ordinateurs portables compromettent des renseignements personnels
En 2008-2009, plusieurs ministères et organismes fédéraux ont signalé le vol d’ordinateurs portables et de clés USB contenant les renseignements personnels de Canadiennes et de Canadiens.
Suite à l’incident et à nos observations, l’AAC a élaboré et mis en œuvre :
- Une nouvelle entente pour les services fournis par des tiers;
- Une entente détaillée d’échange de données pour les tiers qui administrent des programmes de l’AAC, précisant leurs rôles et responsabilités en vertu de la Loi sur la protection des renseignements personnels;
- Une politique en matière d’atteinte à la vie privée.
L’un des incidents concernait le vol d’un ordinateur portable de l’Association des producteurs de canola du Canada, qui administre un programme fédéral de prêts garantis pour le compte d’Agriculture et Agroalimentaire Canada (AAC). L’ordinateur renfermait les renseignements de 31 160 demandeurs, y compris des entreprises. Bien que le portable était protégé par un mot de passe et par une composante biométrique qui en limitait l’accès, il aurait été possible de lire les données en retirant le disque dur et en l’installant sur un autre ordinateur.
Dans un autre incident, une entrée par effraction est survenue dans l’édifice de Service Canada à Victoria où l’on traite les prestations du Régime de pensions du Canada et de la Sécurité de la vieillesse; six ordinateurs portables ont été volés. Heureusement, un seul d’entre eux renfermait de l’information sur les clients et celle-ci était chiffrée.
On a aussi volé des ordinateurs dans les maisons d’employés du gouvernement. Certains ne contenaient pas de renseignements personnels, mais d’autres renfermaient des données sur des demandeurs d’asile et des prestataires d’assurance-emploi.
En raison de tels incidents, le Commissariat conseille aux institutions de rappeler à tous les employés qu’il est important de protéger les renseignements personnels des Canadiennes et des Canadiens. Lorsqu’on apporte un ordinateur à la maison, il ne faut pas le laisser dans la voiture ni dans un endroit où il peut être volé facilement. De plus, les données devraient être protégées par chiffrement.
Lorsque survient une atteinte à la vie privée, les institutions sont tenues d’aviser toutes les personnes concernées. On devrait les informer des moyens dont elles disposent pour se protéger du vol d’identité et de leur droit de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels.
Risque : Déficience des procédures de gestion des données
1. Citoyenneté et Immigration Canada en cause pour procédures de collecte indirecte de renseignements
Un citoyen canadien a déposé une plainte concernant la méthode employée par le ministère de la Citoyenneté et de l’Immigration (CIC) pour recueillir les renseignements fiscaux personnels nécessaires au traitement d’une demande de visa de résidents temporaires présentée par ses parents en Colombie.
Le plaignant a indiqué que le bureau du contrôleur des visas du CIC à l’ambassade du Canada à Bogotá exige que les Colombiens qui présentent une demande de visa de visiteur fournissent des documents spécifiques à l’appui, comme le relevé d’impôt d’un parent vivant au Canada.
Le plaignant n’a pas contesté les pouvoirs du CIC de recueillir des renseignements qui détermineraient sa solvabilité financière. Toutefois, il se croyait en droit de fournir les renseignements lui-même directement au CIC, plutôt que par l’entremise d’un tiers, même s’il s’agissait d’un membre de sa famille.
La Loi sur la protection des renseignements personnels lui donne raison. L’article 5 stipule qu’une institution fédérale est tenue de recueillir les renseignements personnels auprès de l’individu lui-même, chaque fois que possible, sauf autorisation contraire de l’individu ou autres cas d’autorisation prévus par des dispositions de la loi.
Cette question a été portée à notre attention dans des plaintes antérieures remontant à 1998. Ces plaintes ont été jugées fondées. Toutefois, nos recommandations sont restées sans réponse.
Le CIC a accepté d’examiner la procédure actuelle concernant le processus de demandes provenant de Colombie et des 110 autres pays dont les ressortissants sont tenus d’obtenir un visa de résident temporaire pour entrer au Canada. Lorsque nécessaire, le CIC modifiera ses documents de façon à indiquer que les demandeurs ont le choix de fournir les documents au nom de leur hôte au Canada ou d’indiquer que ce dernier les enverra directement au Ministère.
2. VIA met à jour ses procédures après qu’un passager a trouvé un manifeste dans un bac de recyclage
Un voyageur a déposé une plainte après avoir découvert un manifeste de passagers de VIA Rail dans un bac de recyclage de l’Union Station à Toronto. Le passager a remis le manifeste à un gestionnaire. Le document renfermait les noms des voyageurs, les numéros de référence et d’autres renseignements sur le voyage. Comme l’entreprise n’a pas fait de suivi, le passager a déposé une plainte auprès du Commissariat.
Notre enquête a démontré que les renseignements imprimés sur le document permettaient l’accès non autorisé à des renseignements personnels comme les adresses et les numéros de téléphone des personnes inscrites sur la liste. Les renseignements relatifs aux cartes de crédit, toutefois, n’étaient pas compromis.
VIA a immédiatement apporté des modifications à ses procédures de traitement des manifestes de passagers et autres documents renfermant les renseignements personnels des passagers. Par exemple, l’entreprise a ordonné à tous les employés de déchiqueter les documents avant de les mettre au recyclage.
Les manifestes sont maintenant munis d’un bandeau bilingue rappelant au personnel que les documents sont confidentiels et doivent être ramenés aux bureaux de VIA Rail pour y être détruits.
3. Une lettre de nature délicate n’est pas traitée comme étant confidentielle et est divulguée aux médias
L’un des cas portés à notre attention concernait une lettre hautement sensible d’un ministre à un haut fonctionnaire et classée, comme il se devait, « Protégé B — renseignements personnels sensibles », mais n’avait pas été traitée conformément à la Politique du gouvernement sur la sécurité.
Ce qui s’est passé par la suite n’est pas très clair, mais en l’absence de mesures de protection adéquates, la lettre a finalement été divulguée à un journal, puis publiée dans l’ensemble du pays.
Une enquête de la GRC et un examen interne effectué par le Ministère — que nous ne nommerons pas afin de protéger l’identité du sujet de la lettre — n’ont pas pu permettre de confirmer l’identité ni les motifs de la personne qui a divulgué la lettre aux médias.
Suite à cet incident, le Ministère a donné une formation plus approfondie au personnel de la gestion des dossiers. Cette affaire illustre à quel point il importe que les fonctionnaires comprennent les obligations qui leur incombent en vertu de la Loi sur la protection des renseignements personnels et de la Politique du gouvernement sur la sécurité.
4. Un prisonnier trouve des documents de nature délicate dans les poubelles
Un détenu du Pénitencier de la Saskatchewan a remis à un directeur adjoint un document trouvé dans une poubelle à l’intérieur de la prison. Le document renfermait des renseignements sur 184 détenus : noms, numéros de prisonnier, fonctions et programmes auxquels les détenus étaient assignés. Il y était indiqué que sept détenus participaient à un programme pour délinquants sexuels.
Suite à cet incident, les responsables de l’administration pénitentiaire ont cherché en vain d’autres documents qui auraient été jetés.
Tous les détenus concernés ont été informés de l’incident et de leur droit de déposer une plainte auprès de la commissaire à la protection de la vie privée.
Les responsables de l’administration pénitentiaire ont ordonné qu’on mette fin à la pratique consistant à imprimer et distribuer ce type de document.
5. Contenant de lettres confondu avec une boîte à ordures
Agriculture et Agroalimentaire Canada (AAC) nous a signalé une atteinte à la vie privée en Saskatchewan après qu’on a confondu un contenant de plastique renfermant le courrier d’arrivée avec une poubelle, et qu’on l’a vidé aux ordures. Au moment où les responsables s’en sont rendus compte, les ordures avaient déjà été enlevées et livrées au dépotoir de Regina; les lettres n’ont pas pu être récupérées.
Tout porte à croire que 44 dossiers renfermant les demandes de participation à un programme de protection des cultures figuraient parmi les documents jetés. Ces dossiers contenaient des déclarations signées et d’autres renseignements personnels de clients.
L’AAC a réussi à communiquer avec 42 producteurs dont les demandes sont présumées perdues afin de les aviser de l’incident. Selon notre enquête, rien n’indique que les documents auraient été trouvés ou utilisés à mauvais escient, mais ces deux possibilités demeurent.
Suite à cet incident, le courrier est maintenant classé sur des tables dans la salle du courrier et entreposé en vue de l’entrée de données dans des contenants de plastique de couleur clairement identifiés.
6. Des données personnelles disparaissent avec des porte-documents du gouvernement
Il n’est pas rare qu’on avise le Commissariat d’incidents où un fonctionnaire a perdu, égaré temporairement ou s’est fait voler un porte-documents contenant des renseignements personnels de Canadiennes et de Canadiens.
De telles situations sont très sérieuses pour ceux et celles dont les renseignements personnels sont compromis, d’autant plus que les pertes pourraient grandement être évitées si les documents étaient conservés en des lieux sécuritaires, tout simplement.
Plus d’un quart de siècle après l’adoption de la Loi sur la protection des renseignements personnels, de telles atteintes à la vie privée témoignent de l’importance de la vigilance dans le traitement des renseignements personnels par les employés du gouvernement.
Dans un cas notoire, un représentant de Justice Canada en voyage d’affaires à Kingston (Ontario) a perdu un porte-documents contenant les renseignements personnels de 145 contribuables, y compris leurs numéros d’assurance sociale et certains détails sur leurs investissements dans des abris fiscaux. Le porte-documents n’était ni fermé à clé, ni sécurisé, et la police ne l’a jamais retrouvé.
Le Ministère a avisé l’Agence du revenu du Canada, qui a notifié par écrit toutes les personnes concernées. Justice Canada s’est également engagé à former ses employés sur la protection adéquate des renseignements personnels.
Dans un autre cas, les Instituts de recherche en santé du Canada (IRSC) ont avisé le Commissariat que des documents renfermant les renseignements personnels de quelque 63 professionnels et étudiants de médecine avaient été perdus; ils se trouvaient dans un porte-documents à bord d’un avion d’une compagnie intérieure. Les documents n’ont jamais été retrouvés, mais l’on croit qu’ils ont été jetés par l’équipe de nettoyage de la cabine.
L’IRSC a informé les personnes concernées de l’incident et de leur droit de déposer une plainte auprès du Commissariat. L’organisation s’engage également à procéder à l’examen de ses politiques, former le personnel et conseiller les spécialistes externes qui examinent les demandes de subvention en vue d’éviter que des incidents du genre ne se reproduisent.
Dans un troisième incident, un porte-documents contenant des documents papier a été volé dans une voiture. Il contenait des renseignements délicats sur les ressources humaines, comme les ébauches d’examen de rendement des gestionnaires supérieurs d’Agriculture et Agroalimentaire Canada.
Les personnes concernées ont été avisées et on a fourni aux employés des porte-documents sécurisés dotés de serrures à combinaison ou à clé.
7. Des voleurs ciblent des documents importants envoyés par la poste
Dans son rapport pour l’exercice précédent, le Commissariat faisait le compte rendu d’une vérification complète des pratiques de traitement de l’information de Passeport Canada, qui fait partie du ministère des Affaires étrangères et du Commerce international (MAECI).
La vérification a permis de déceler des problèmes de protection de la vie privée et de sécurité dans les opérations de délivrance des passeports; il en découlait un risque considérable pour les Canadiens qui présentaient une demande pour obtenir cette importante pièce d’identité. Nous avons en effet trouvé des lacunes à chaque étape du processus de demande : le mode de collecte et de conservation des renseignements personnels, l’accès à ces renseignements et leur élimination.
Passeport Canada et le MAECI ont accepté la plupart de nos 15 recommandations visant à renforcer le cadre de protection de la vie privée régissant les opérations relatives aux passeports.
Puis, alors que la période visée par le présent rapport tirait à sa fin, des problèmes avec le processus d’application en ligne de Passeport Canada ont entraîné l’arrêt du service. Une brève note sur le site Web de l’agence indiquait : « Passeport en direct cède sa place à une nouvelle génération de formulaires interactifs. Plus sécuritaires... et plus faciles d’utilisation. »
En 2008-2009, toutefois, les trois seuls cas d’atteinte à la vie privée concernant les passeports qui ont été portés à notre attention échappaient au contrôle de l’agence puisqu’il était question du vol des dossiers de demande dans le système postal de l’Alberta et de la Colombie-Britannique. Une enquête de la GRC a mené à l’arrestation et à l’accusation criminelle d’une personne.
Passeport Canada a avisé les demandeurs concernés du vol. L’agence les a aussi informés des moyens de se protéger du vol d’identité, de présenter une demande pour un nouveau certificat de naissance et obtenir un remboursement pour les montants perdus en raison de l’incident. L’agence maintient aussi ses mises en garde sur les formulaires de demande : « Les documents originaux que vous avez joints à votre demande sont importants. Afin que ces documents ne soient pas perdus ou égarés, il est préférable d’utiliser un service de messagerie ou de courrier qui vous permet d’assurer le repérage de votre envoi ».
D’autres ministères et leurs clients ont été victimes de vol de courrier l’an dernier. Dans l’un des cas notables, une enquête de la GRC sur un réseau de vol d’identité dans une résidence de Surrey (Colombie-Britannique), a permis de découvrir une grande quantité d’appareils et d’équipement associés à la fraude par carte de crédit — ainsi que 3 000 objets de correspondance, y compris 31 questionnaires du Recensement dûment remplis.
Les personnes accusées n’étaient pas à l’emploi de Postes Canada ou de Statistique Canada, qui réalise le Recensement. On croit que les formulaires du Recensement ont été obtenus en renversant les boîtes aux lettres ou en entrant par effraction dans les voitures et les maisons.
Les formulaires ont été retournés à Statistique Canada qui a écrit à chacun des 31 ménages concernés pour leur expliquer la situation et leur fournir les coordonnées d’une personne-ressource à la GRC. Le Commissariat a rappelé à l’agence qu’elle aurait aussi dû les informer de leur droit de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels.
Risque : Erreur humaine
Même avec les meilleures intentions et des procédures apparemment solides, le droit à la vie privée des Canadiennes et des Canadiens continue d’être floué par des instants de négligence ou d’inattention de la part d’employés du gouvernement. À 14 reprises, par exemple, Travaux publics et Services gouvernementaux Canada a posté les résultats d’examen de concours de dotation pour la fonction publique aux mauvaises personnes.
Mais le problème de l’erreur humaine est le plus fréquent lorsqu’il est question de traiter des demandes de renseignements présentées en vertu de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels, appelées demandes d’AIPRP.
Voici quelques cas portés à notre attention en 2008-2009 :
- Le ministère de la Défense nationale (MDN) a envoyé à un journaliste un rapport renfermant le nom de 24 personnes ayant présenté une demande d’AIPRP ainsi qu’un aperçu de la nature de leur demande. Le nom des personnes qui présentent une demande de renseignements en vertu des lois en matière de liberté de l’information constitue un renseignement personnel et ne doit pas être communiqué. Après que le journaliste a accepté de renvoyer le document au MDN, on lui a retourné le document accidentellement une seconde fois.
- En raison d’un pépin d’impression, des pages en double attachées à une trousse d’information émise par le ministère de l’Environnement en réponse à une demande d’AIPRP contenaient les renseignements personnels de 41 autres personnes.
- En réponse à une demande d’AIPRP, la GRC a envoyé par inadvertance les renseignements sur le recrutement d’une personne à une autre personne ayant le même nom.
- Le nom d’un employé de Travaux publics et Services gouvernementaux Canada accusé de fraude, ainsi que celui de son superviseur, ont été communiqués par inadvertance en réponse à une demande d’AIPRP.
On ne pourra jamais enrayer l’erreur humaine, mais, en cas de communication accidentelle, certaines règles s’appliquent.
Notamment, les parties concernées doivent être avisées de l’atteinte et de leur droit de déposer une plainte auprès du Commissariat. Selon les circonstances, elles pourraient tirer profit d’information sur les recours ou, du moins, sur les moyens d’atténuer les conséquences d’une atteinte à la vie privée.
Suite à ces atteintes, les ministères ont aussi mis en œuvre diverses stratégies, impliquant en général la formation des employés pour qu’ils soient plus vigilants et accordent plus d’importance à la protection des renseignements personnels.
Changements aux enquêtes et demandes de renseignements
Les plaintes que reçoit le Commissariat sont de plus en plus complexes et nécessitent des enquêtes approfondies. Notre processus de gestion des plaintes ne suffisait plus et les temps de traitement allaient en s’allongeant.
En 2008-2009, il fallait en moyenne près de 20 mois pour fermer un dossier, ce qui voulait dire qu’on abandonnait le travail, qu’on avait résolu ou réglé l’affaire, ou que celle‑ci faisait l’objet de conclusions dans un rapport. Il s’agit là d’une hausse de 35 % comparativement à l’année précédente, de sorte que le Commissariat s’est retrouvé avec un arriéré inacceptable de dossiers.
Pour relever ce défi, nous avons choisi une approche proactive à multiples volets, qui comportait la liaison avec certains ministères et organismes et un remaniement important de nos processus de gestion des cas.
À la fin de l’exercice, nous réalisions des progrès satisfaisants, et notre arriéré de plaintes vieilles de plus d’un an avait décru pour passer de 575 à 333, soit une baisse de 42 %.
Approche proactive
Il est devenu évident, alors que nous nous attaquions aux difficultés de la charge de travail, qu’une grande partie de la solution consisterait à résoudre les problèmes avant qu’ils ne se transforment en plaintes. C’est pourquoi le Commissariat a multiplié les efforts de sensibilisation.
Nous avons rencontré les coordonnateurs de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de certains ministères pour les aider à s’acquitter de leurs obligations en vertu de la Loi sur la protection des renseignements personnels. De concert avec le Commissariat à l’information, nous avons organisé un petit-déjeuner pour discuter de l’AIPRP, promouvoir le réseautage entre les spécialistes du domaine et examiner les manières par lesquelles nos deux commissariats pourraient les épauler.
Nous avons également établi la liaison avec les Canadiennes et les Canadiens au moyen d’un nouveau formulaire de plainte en ligne qui a simplifié le processus de dépôt d’une plainte tout en nous donnant de l’information plus complète et normalisée à partir de laquelle déclencher nos enquêtes.
Nous avons raffermi nos liens avec les organismes chargés de la protection de la vie privée dans les provinces et les territoires parce que nous reconnaissons avoir beaucoup à apprendre les uns des autres. Ainsi, en février 2009, nous avons animé à Ottawa notre conférence annuelle des enquêteurs, qui réunit les enquêteurs à l’information et à la protection de la vie privée de tout le Canada. La conférence de deux jours a permis aux enquêteurs et aux agents des demandes de renseignements d’établir de nouveaux contacts, de mettre en commun leurs expériences et d’échanger des pratiques exemplaires.
Notre arriéré de cas grandissant nous a amené à reconnaître l’urgente nécessité de structurer nos processus internes afin de gérer la charge de travail.
L’initiative, conçue en 2008 mais mise en œuvre durant 2009, comprend plusieurs volets. Il s’agit notamment d’augmenter l’effectif, de mener un effort concerté pour éliminer l’arriéré de cas en suspens et d’adopter de nouveaux processus de gestion des plaintes, le tout soutenu par un meilleur système informatisé de gestion des cas. Ces initiatives sont décrites ci‑dessous.
Davantage de ressources humaines
En août 2008, la Direction des enquêtes et des demandes de renseignements a accueilli un nouveau directeur général expérimenté, qui a démontré un leadership continu dans le processus de restructuration.
La pénurie d’enquêteurs a représenté un défi de taille pour le Commissariat. Bon nombre d’enquêteurs chevronnés dans le domaine de la Loi sur la protection des renseignements personnels ont pris leur retraite ou quitté la Direction ces dernières années et il s’avère difficile de les remplacer. De nombreuses organisations doivent puiser dans un petit bassin de spécialistes en matière d’accès à l’information et de protection des renseignements personnels, ce qui rend difficile le recrutement et le maintien en fonction. On peut pallier cette difficulté en faisant appel à des ressources externes.
Opération-éclair pour réduire l’arriéré
Durant la dernière année, nous avons revu l’échéancier à partir duquel un dossier était considéré comme faisant partie de l’arriéré dans le but de témoigner avec plus de justesse du temps qui s’écoulait depuis le dépôt de la demande par un plaignant. Auparavant, nous considérions qu’un dossier basculait dans l’arriéré de travail si aucun enquêteur n’était disponible pour le prendre en main.
En vertu de notre nouvelle définition, nous considérons qu’un dossier fait partie de l’arriéré si plus d’un an s’est écoulé depuis sa date de réception. Ainsi, en avril, l’arriéré est passé de 370 dossiers non attribués à 575 dossiers vieux de plus d’un an.
Ce nouveau chiffre, bien qu’il soit plus élevé, décrit de manière plus précise le niveau de service offert aux Canadiennes et aux Canadiens.
Outre le processus de restructuration détaillé qui était déjà en cours et que nous décrivons ci‑dessous, nous avons également lancé en juin une opération‑éclair en 16 volets pour tenter de réduire l’arriéré de manière ordonnée.
À titre d’exemple, nous avons regroupé des cas par ministère fédéral ou par type de plainte afin de pouvoir traiter plusieurs cas à la fois. Nous avons adopté un processus simplifié pour obtenir un examen ou des conseils juridiques. Et nous nous engageons à résoudre les cas de l’arriéré avant de s’attaquer à de nouveaux.
En dépit d’un taux d’arrivage qui se situe à 62 nouveaux cas par mois, nous avions réussi à réduire l’arriéré de 42 % en fin d’exercice, pour ramener le lot à 333 cas. Nous sommes en bonne voie d’avoir éliminé le tout d’ici mars 2010.
Processus de restructuration
Nous avons admis depuis longtemps qu’il nous fallait réoutiller nos processus pour faire face aux milliers de plaintes et demandes de renseignements que nous nous attendons à recevoir dans les années à venir.
À cette fin, nous avons revu nos processus de demandes de renseignements et de gestion des plaintes pour les rendre plus simples et efficaces. Nous mettons progressivement en place les processus réoutillés, qui devraient être entièrement opérationnels d’ici l’automne 2009.
Les nouveaux processus sont soutenus par un système informatisé de gestion des cas, installé en 2008 en vue du travail lié aux demandes de renseignements. Il sera mis en œuvre pour le volet des enquêtes en 2009.
L’une des premières étapes vitales du processus de restructuration consiste à trouver une solution rapide dans la mesure du possible. Les personnes qui communiquent avec nous pour faire une demande de renseignements ou déposer une plainte, par exemple, sont encouragées à s’adresser d’abord à l’institution afin d’examiner des façons de résoudre leurs préoccupations.
Lorsqu’un entretien direct ne permet pas de résoudre le problème et qu’une plainte est déposée au Commissariat, nous tenons à nous assurer qu’elle est gérée de manière efficace et satisfaisante pour tous. Notre nouveau formulaire de plainte en ligne est conçu pour s’assurer que tous les renseignements clés sont fournis, ce qui nous permet en retour d’évaluer la plainte plus efficacement.
En vertu de nos procédures révisées, une plainte est d’abord aiguillée vers le registraire des plaintes, un poste nouvellement créé. Selon la nature, la complexité ou l’urgence de l’affaire, le registraire déterminera la manière de gérer la plainte.
Bien que certains cas puissent être attribués directement à un enquêteur, le registraire tentera, dans la mesure du possible, de soumettre les plaintes à un règlement rapide. Les agents de règlement rapide ont recours à des techniques de négociation, de conciliation et à d’autres approches d’expert pour aider les parties à résoudre rapidement leurs problèmes. Toutefois, les cas ne pouvant être résolus de cette manière peuvent être confiés à un enquêteur.
Promouvoir le droit à la vie privée au Canada
Activités de vérification et d’examen
En 2008‑2009, une grande partie du travail du Commissariat en matière de vérification et d’examens liés aux évaluations des facteurs relatifs à la vie privée (EFVP) portait sur les programmes de sécurité nationale (voir page 44). Cela dit, nous avons également mis en lumière des enjeux en matière de protection de la vie privée propres à d’autres secteurs.
Vérification : s’assurer d’une protection sans faille des données personnelles
Cadre de gestion de la protection de la vie privée de certaines institutions fédérales
En février 2009, le Commissariat déposait un rapport spécial au Parlement dans lequel il exposait en détail les conclusions d’une vérification des cadres de gestion des renseignements personnels de quatre institutions fédérales : Élections Canada, Passeport Canada, l’Agence du revenu du Canada et Service Canada.
L’objet de la vérification était d’évaluer si ces organismes traitaient les renseignements personnels de manière à respecter la vie privée des Canadiennes et des Canadiens. Au même moment, le Bureau du vérificateur général vérifiait les mêmes institutions fédérales pour déterminer si elles conjuguaient leurs efforts pour gérer efficacement les renseignements personnels et si elles limitaient leur collecte aux renseignements qui répondaient aux besoins des programmes.
Nous avons trouvé des lacunes chez deux organismes quant aux efforts qu’ils fournissaient pour préserver les renseignements personnels des Canadiennes et des Canadiens.
Élections Canada
Notre vérification d’Élections Canada nous a menés à la conclusion que les lacunes dans la gestion des renseignements personnels des 23 millions d’électeurs canadiens inscrits pouvaient mener à de sérieuses conséquences, telles que le vol d’identité.
Les conclusions sont les suivantes :
- Certaines listes d’électeurs ont tout bonnement disparu durant les élections et les élections partielles.
- Élections Canada recueille trop de renseignements personnels sur les électeurs, y compris les adolescents qui ne sont pas en âge de voter.
- Les Canadiennes et les Canadiens ne sont pas entièrement au fait de la manière dont seront utilisés leurs renseignements personnels.
Nous avons certaines inquiétudes quant à la perte possible ou aux mauvais usages pouvant être faits des renseignements recueillis par Élections Canada et mis à la disposition des candidats politiques, du personnel des partis et des dizaines de milliers d’employés temporaires embauchés pendant les élections pour travailler comme préposés aux bureaux de scrutin.
L’une des principales préoccupations a trait aux listes d’électeurs établies à partir du Registre national des électeurs sur lesquelles on trouve non seulement les noms et adresses, mais également les dates de naissance. Nous avons des preuves selon lesquelles certaines listes manquent à l’appel. En outre, il est possible de photocopier et de transmettre à l’infini les listes distribuées aux partis politiques et aux candidats.
Nous avons recommandé à Élections Canada d’élaborer des politiques pour mieux faire le suivi des documents électoraux, et de mieux former les directeurs du scrutin et les travailleurs dans les bureaux de scrutin pour préserver les renseignements sur les électeurs.
Élections Canada s’est engagé à appliquer un éventail de mesures d’atténuation pour protéger les renseignements des électeurs, notamment des mécanismes améliorés de sensibilisation des employés et une surveillance accrue de la part des gestionnaires.
La Loi sur la protection des renseignements personnels ne s’applique pas aux candidats et aux partis politiques. Nous avons recommandé à Élections Canada de voir à ce que des directives raffermies sur le traitement des renseignements personnels des électeurs soient transmises aux travailleurs des partis politiques.
Nous avons également émis des inquiétudes quant au fait qu’Élections Canada recueillait des renseignements qui ne sont pas requis pour la tenue de son registre national des électeurs. À titre d’exemple, même si les autorités provinciales d’octroi des permis de conduire transmettent de façon routinière les noms et adresses des conducteurs, leurs listes contenaient également des renseignements indiquant, entre autres, si le conducteur est sous le coup d’une suspension de permis. De plus, Élections Canada recueillait et utilisait certains renseignements personnels concernant des conducteurs qui ne sont pas en âge de voter.
La Loi sur la protection des renseignements personnels exige des institutions fédérales qu’elles recueillent uniquement les renseignements personnels liés directement à leur mandat.
La vérification a également soulevé la question du consentement explicite. Les contribuables peuvent cocher une case à la fin de leur déclaration d’impôt autorisant l’Agence du revenu du Canada à communiquer à Élections Canada leur nom, adresse, date de naissance et citoyenneté. Toutefois, les contribuables ne savent pas de quelle manière leurs renseignements seront utilisés. De façon plus particulière, on ne les informe pas qu’une bonne partie de ces renseignements seront transmis aux candidats et aux partis politiques, et qu’ils serviront à des collectes de fonds et au marketing.
Passeport Canada
Le Commissariat avait déjà terminé une vérification distincte des opérations candiennes relatives aux passeports; nos conclusions ont été émises en décembre 2008 (voir le Rapport annuel du Commissariat de 2007-2008 pour tous les détails). En février dernier, nos observations relatives au cadre de gestion des renseignements personnels de Passeport Canada ont été reprises dans le cadre de la vérification de quatre organismes menée parallèlement avec le Bureau du vérificateur général du Canada.
Dans notre vérification de 2008 du traitement des demandes de passeport par Passeport Canada et le ministère des Affaires extérieures et du Commerce international, nous avions cerné une série de lacunes sur le plan des procédures et des mesures de contrôle qui pourraient se traduire par des risques importants à la sécurité et à la vie privée des Canadiennes et Canadiens qui présentent une demande de passeport.
Nous avions constaté, par exemple, que les employés affectés aux passeports ne disposaient pas d’une formation adéquate en matière de protection des renseignements personnels — un enjeu qui suscite des préoccupations dans la meilleure partie des institutions fédérales. Dans le cadre de la vérification, nous recommandions plusieurs changements afin de renforcer la structure de gouvernance, les politiques et les opérations.
Autres conclusions
S’il est vrai que les vérifications des quatre organismes ont révélé certains problèmes, elles ont également cerné des points forts dans les pratiques fédérales de gestion des renseignements personnels.
À titre d’exemple, la vérification de Service Canada, organisme qui gère les dossiers personnels de quiconque fait une demande de numéro d’assurance sociale (NAS), a permis de constater l’existence de politiques solides pour protéger la vie privée, sauf qu’elles n’étaient pas toujours mises en pratique.
L’Agence du revenu du Canada dispose de contrôles complets développés au fil des ans dans toute l’organisation pour préserver la sécurité des renseignements personnels des contribuables. Toutefois, l’Agence ne prenait pas en considération les répercussions sur la vie privée avant de recueillir automatiquement les données du NAS pour environ six à huit millions d’enfants.
Rapports ministériels annuels sur la protection des renseignements personnels à l’intention du Parlement
Nous nous sommes également penchés sur la conformité des ministères fédéraux aux exigences du Secrétariat du Conseil du Trésor en ce qui touche le dépôt au Parlement des rapports annuels sur la protection des renseignements personnels.
Ces rapports visent à décrire comment chaque ministère répond à ses obligations en vertu de la Loi sur la protection des renseignements personnels. En général, on y retrouve un décompte des demandes reçues et un résumé des enjeux principaux. Les rapports servent également à tenir les organisations fédérales responsables de la gestion des renseignements personnels des Canadiennes et des Canadiens par l’entremise d’activités telles l’appariement de données, le partage de données et l’évaluation des facteurs relatifs à la vie privée.
Nous avons examiné la mesure dans laquelle les institutions fédérales se conforment aux exigences du Secrétariat du Conseil du Trésor concernant le dépôt au Parlement des rapports annuels sur la protection des renseignements personnels.
Pour établir le niveau de conformité, nous nous sommes penchés sur les rapports annuels sur la protection des renseignements personnels de 2006‑2007 pour 25 organisations fédérales qui géraient un grand nombre de renseignements personnels ainsi que pour un autre échantillon de huit organisations sélectionnées au hasard.
En tout, 166 des 170 organisations appelées à déposer un rapport annuel sur la protection des renseignements personnels pour 2006-2007 se sont acquittées de cette tâche. La majorité des 33 institutions fédérales visées s’étaient conformées avec la plupart, sinon la totalité, des exigences obligatoires.
Toutefois, bon nombre de rapports n’offraient rien de plus que de l’information de base. Il ne s’y dégageait pas un tableau clair des pratiques de l’organisation quant à la protection de la vie privée, ni de son approche de gestion des risques liés aux renseignements personnels. Seulement trois des rapports examinés décrivaient les mesures de protection des renseignements personnels en place et la manière dont elles ont été mises en œuvre, ainsi que les raisons pour lesquelles elles ont été adoptées.
Seulement 16 des 33 organisations que nous avons examinées affichaient leurs rapports en ligne. Et même dans ces cas, les rapports étaient souvent difficiles à trouver ou désuets.
Évaluation des répercussions des programmes gouvernementaux sur la vie privée
Une évaluation des facteurs relatifs à la vie privée (EFVP) est un outil pour s’assurer que la protection de la vie privée est prise en compte tout au long de la conception ou de la refonte des programmes ou services. Elles servent à recenser et à atténuer les risques posés à la vie privée.
La Politique d’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor est entrée en vigueur en 2002. Depuis, le Commissariat a examiné quelque 385 EFVP, visant précisément la collecte, l’utilisation, la communication, la conservation et le retrait des renseignements personnels par les ministères et organismes fédéraux.
Notre travail auprès de diverses institutions fédérales en 2008‑2009 n’a pas su calmer nos préoccupations à l’égard du fait que les évaluations ne se déroulaient pas toujours de manière opportune.
Certains programmes — par exemple, la liste nationale de numéros de téléphone exclus du Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) — ont été lancés avant que n’ait été réalisée une EFVP. Par conséquent, le Commissariat n’a pu vérifier si les facteurs relatifs à la vie privée avaient été pris en compte durant les phases de conception et de mise en œuvre du programme.
Dans une vérification menée en 2006, nous avons exprimé de vives inquiétudes à l’égard des menaces pouvant être posées à la vie privée dans les cas où les EFVP ne sont pas menées à terme avant la mise en œuvre d’un programme. Les EFVP examinées depuis ne permettent pas de constater une amélioration appréciable des efforts ministériels pour exécuter de manière proactive des EFVP.
L’une des tendances positives observées depuis quelques années est que les ministères invitent des membres du Commissariat à prendre part à des réunions de consultation préliminaires pour discuter de préoccupations liées à la vie privée qui découlent des programmes ou des politiques. Bien entendu, cette démarche donne l’occasion au Commissariat de cerner les programmes susceptibles d’être envahissants sur le plan de la vie privée avant leur mise en œuvre et de travailler avec les ministères pour dégager les risques d’entrée de jeu, mais tout cela ne remplace pas la nécessité de mener une EFVP.
En raison des pénuries de main‑d’œuvre, nous nous retrouvons avec un arriéré de dossiers liés aux EFVP en attente d’un examen.
Pour essayer de réduire cet arriéré, nous avons mis en œuvre un processus de tri en fonction duquel les dossiers liés aux EFVP font l’objet d’un classement prioritaire. Cela permet d’accélérer les examens des programmes ou des initiatives qui posent le plus de risques à la vie privée des Canadiennes et des Canadiens. Le Commissariat n’approuve ni les EFVP ni les projets. En revanche, nous formulons des recommandations sur la manière d’améliorer les projets afin de mieux protéger la vie privée des Canadiennes et des Canadiens.
En vertu de la politique gouvernementale sur les EFVP, les organismes fédéraux ne sont nullement tenus de répondre à nos recommandations, ni de les mettre en œuvre. Cependant, nous avons constaté que les ministères sont la plupart du temps réceptifs à nos recommandations visant à améliorer les protections pour la vie privée. Le processus d’EFVP a souvent des répercussions très positives.
Nous avons noté qu’un nombre croissant de ministères manifestent un niveau élevé d’engagement et de coopération durant le processus d’EFVP. Bien que les ministères ne répondent pas tous aux conseils du Commissariat par une lettre officielle, bon nombre de recommandations sont données et reçues à toutes les étapes de l’élaboration d’une EFVP dans le cadre d’un processus de consultation continu avec les responsables ministériels.
En 2008-2009, le Commissariat a reçu un total de 64 EFVP, ce qui représente une légère augmentation par rapport aux 60 reçues lors de la période de référence précédente. Nous avons mené à terme 31 examens. Nous avons reçu des réponses écrites à 62 lettres d’examen d’EFVP (expédiées durant l’exercice actuel ou précédent), soit près du double des 32 réponses reçues lors de la période de référence précédente.
Un des dossiers d’EFVP que nous avons examinés faisait référence à la Liste nationale des numéros de téléphone exclus. Cette liste a été établie dans le but de protéger la vie privée des Canadiennes et des Canadiens qui s’opposent à ce que les télévendeurs les appellent. Le Commissariat s’est déclaré fermement en faveur de cet objectif.
La liste s’est également révélée extrêmement populaire auprès des Canadiennes et des Canadiens — tellement populaire, en fait, que le site Web du programme n’a pas pu faire face à la ruée de personnes qui voulaient s’enregistrer le premier jour. En date de l’été 2009, près de sept millions de numéros de téléphone avaient été consignés dans le cadre de ce service.
Toutefois, on a largement fait état du fait que des Canadiennes et Canadiens qui avaient demandé à ce que leur numéro figure sur la liste auraient au contraire reçu davantage d’appels non sollicités. Le CRTC est à mener sa propre enquête sur les plaintes qu’il a reçues du public.
Le Commissariat a eu plusieurs discussions avec le CRTC au sujet de la liste. Le CRTC nous a remis le 19 décembre 2008 deux EFVP ayant trait à la liste nationale de numéros de téléphone exclus, la première portant sur le gestionnaire de la liste, Bell Canada, et la seconde sur les procédures de plaintes du CRTC.
Toutefois, ces EFVP étaient soumises trois mois après que la liste soit devenue opérationnelle.
Lorsque nous avons examiné les deux EFVP, nous avons cerné un certain nombre d’éléments préoccupants. Par exemple, le CRTC a reconnu le manque de processus, de procédures et de documents officiels requis pour gérer les renseignements personnels figurant sur la Liste nationale des numéros de téléphone exclus.
En outre, nous n’avons pu évaluer entièrement les risques posés à la sécurité puisque le CRTC ne nous a pas fait parvenir de copie des plaintes et de l’évaluation des risques.
Nous avons demandé au CRTC de répondre à nos préoccupations initiales. Au moment de rédiger le présent rapport, le CRTC avait demandé une prorogation du délai pour nous répondre.
Selon nous, le CRTC aurait sans doute pu cerner, évaluer et atténuer avant le lancement du programme la majorité des risques envers la vie privée si l’organisme avait mené une EFVP durant les premières étapes de planification dudit programme.
Nous continuerons de contrôler ce programme et tenterons de collaborer avec le CRTC pour s’assurer que la protection des renseignements personnels figure au nombre des considérations clés alors que le programme va de l’avant.
Devant les tribunaux
En vertu de l’article 41 la Loi sur la protection des renseignements personnels, la Cour fédérale ne peut se pencher que sur le refus d’une institution fédérale de communiquer les renseignements personnels demandés en vertu de la Loi. On ne peut appliquer l’article 41 en cas de collecte, d’utilisation ou de communication injustifiée de ses renseignements personnels par une institution gouvernementale.
Dans le cadre de nombreuses observations faites au Parlement, nous avons recommandé que le gouvernement fédéral étende les motifs de recours aux tribunaux en vertu de l’article 41.
D’ici là, en raison de la grande limitation des motifs de recours aux tribunaux, le nombre de cas portés devant les tribunaux en vertu de la Loi sur la protection des renseignements personnels au cours des années demeure très faible.
En 2008-2009, seuls quelques cas d’intérêt ont été portés devant la Cour fédérale. Ils sont décrits ci-après.
Conformément à l’esprit de notre mandat, nous ne publions pas le nom des plaignants afin de respecter leur vie privée. Nous n’énumérons que le numéro du greffe et le nom de l’institution fédérale en cause.
Action intentée contre le Commissariat
X. c. commissaire à la protection de la vie privée du Canada
Dossier de la Cour fédérale no T-349-09
Dans cette affaire, le demandeur a introduit une requête en révision judiciaire, en vue de contester la réponse de la commissaire à la protection de la vie privée relativement à une plainte que le demandeur avait déposée.
Le demandeur avait déposé auprès du Commissariat en 2007 une plainte contre le Tribunal de dotation de la fonction publique, alléguant que l’organisme avait communiqué des renseignements personnels de façon inappropriée.
Le demandeur a introduit une requête en révision judiciaire pour obtenir une ordonnance obligeant le Commissariat à exercer sa compétence et à compléter son enquête sur la plainte du demandeur.
L’enquête étant presque complétée au moment de l’introduction de la requête en révision judiciaire, nous avons par la suite fourni au plaignant le rapport final de nos conclusions relatives à la plainte. Par conséquent, le demandeur a déposé un avis de désistement en juin 2009.
Interventions de la commissaire à la protection de la vie privée
Dans les causes qui suivent, la commissaire à la protection de la vie privée est intervenue dans le cadre des recours en révision judiciaire; les demandeurs contestaient la décision de la Commission de la fonction publique de publier leurs renseignements personnels.
Les deux litiges soulevaient des questions relatives à l’application du « principe de l’audience publique » aux décisions des tribunaux administratifs ainsi qu’à l’interprétation de plusieurs dispositions permettant aux institutions gouvernementales de communiquer des renseignements personnels sans le consentement des personnes concernées. (On trouvera davantage d’information à ce sujet à la page 14.)
Dans les deux cas, les demandeurs tentent d’obtenir un redressement similaire, incluant, entre autres, une déclaration à l’effet que la communication proposée des renseignements personnels contrevient à la Loi sur la protection des renseignements personnels, et une ordonnance de prohibition interdisant à la Commission de la fonction publique de communiquer les renseignements personnels des demandeurs.
Monsieur A. et Madame B. c. procureur général du Canada
et Monsieur. X. c. procureur général du Canada
Dossiers de la Cour fédérale no T-1256-08 et T-1257-08
Monsieur X. avait fait l’objet d’une enquête de la Commission de la fonction publique suite à laquelle il avait été trouvé coupable de fraude dans divers processus de recrutement de la fonction publique. En août 2008, Monsieur X. et deux personnes avec qui il avait un lien de parenté (Monsieur A. et Madame B.) avaient déposé des avis de requête distincts, entamant ainsi une révision judiciaire de la décision de la Commission de communiquer des renseignements personnels sensibles concernant Monsieur X. et sa parenté dans son rapport annuel au Parlement. La Cour a accepté de joindre les requêtes et de procéder à une audience commune.
Monsieur X. a également réussi à obtenir la permission de la Cour de poursuivre l’affaire sous un pseudonyme ainsi qu’une ordonnance de confidentialité générale lui permettant de déposer des preuves par affidavit de manière confidentielle.
Dans une ordonnance en date du 20 février 2009, la commissaire à la protection de la vie privée a été autorisée à participer aux recours en qualité d’intervenante et à offrir un soutien à la cour pour identifier les enjeux juridiques se rapportant à la protection de la vie privée. Toutefois, les parties en sont arrivées à une entente et les demandes ont été abandonnées le 24 août 2009.
X. c. Commission de la fonction publique
Dossier de la Cour fédérale no T-1659-08
Dans cette affaire, le demandeur a fait l’objet d’une enquête par la Commission de la fonction publique suite à des allégations de participation à des activités politiques inappropriées alors qu’il était à l’emploi de la fonction publique fédérale. Le demandeur a déposé une requête en révision judiciaire de la décision de la Commission de communiquer sur Internet des renseignements personnels sensibles le concernant.
La commissaire à la protection de la vie privée à été autorisée à participer aux recours en qualité d’intervenante; elle a prêté assistance à la Cour pour identifier les enjeux légaux se rapportant à la protection de la vie privée. Après une période d’inactivité, l’affaire se poursuit maintenant en suivant un échéancier mandaté par la Cour, selon lequel la commissaire à la protection de la vie privée doit présenter ses arguments par écrit d’ici le 22 février 2010.
Accès à l’information et protection des renseignements personnels
Le dernier exercice était le deuxième exercice au cours duquel le Commissariat était assujetti à la Loi sur l’accès à l’information et à la Loi sur la protection des renseignements personnels.
Outre une demande en vertu de la Loi sur l’accès à l’information reportée depuis l’année précédente, le Commissariat a reçu 28 demandes d’accès en 2008-2009, soit deux de moins que l’année précédente.
En 2008-2009, nous avons reçu 48 autres demandes d’accès concernant des dossiers sous la responsabilité d’autres institutions fédérales — nous les avons donc transférées en conséquence.
À la fin de l’exercice, nous avions complété le traitement de 23 demandes; 6 ont été reportées.
Aucune plainte n’a été déposée en vertu de la Loi sur l’accès à l’information au cours de l’exercice. Toutefois, le Commissariat à l’information a présenté des conclusions se rapportant à deux plaintes déposées au cours de l’exercice précédent et qui avaient été reportées. L’une des plaintes a été jugée non fondée et l’autre, résolue.
Nous avons également reçu 10 demandes d’accès en vertu de la Loi sur la protection de la vie privée visant des renseignements personnels contenus dans nos dossiers. Nous avons répondu aux 10 demandes au cours de l’exercice.
L’année qui vient
Les risques posés à la vie privée — qui représentent autant de défis pour le Commissariat — iront sans nul doute croissants au cours de l’année qui vient.
Les enjeux liés à la sécurité resteront une préoccupation de premier plan ici au Canada comme dans le monde entier. Nous pouvons nous attendre à l’élaboration de nouvelles initiatives de sécurité qui impliqueront la collecte et l’utilisation de nos renseignements personnels. Mentionnons à ce chapitre l’opération massive que seront les Olympiques de Vancouver au début de 2010; l’enjeu de la sécurité en sera un d’envergure.
Nous continuerons de suivre de près l’initiative proposée par l’Administration canadienne de la sûreté du transport aérien selon laquelle on commencerait à utiliser des balayeurs pouvant voir à travers les vêtements comme option supplémentaire pour le contrôle secondaire des passagers aériens.
En outre, nous analyserons l’incidence sur la vie privée des projets de loi visant à établir un régime de surveillance élargi (projets C-46 et C-47). Notre analyse tiendra compte de consultations avec des responsables de l’application de la loi et de la sécurité nationale, des entreprises de télécommunications, des défenseurs du droit à la vie privée et des universitaires.
De plus, nous suivrons attentivement la manière dont les nouvelles technologies de l’information agissent sur le droit à la vie privée.
Nous avons établi cinq priorités générales pour notre organisation en 2009‑2010 :
- Continuer d’améliorer la prestation des services grâce à la convergence des efforts et à l’innovation.
- Exercer un leadership pour promouvoir les quatre domaines prioritaires en matière de protection de la vie privée (technologies de l’information, sécurité nationale, intégrité et protection de l’identité, renseignements génétiques).
- Promouvoir stratégiquement la protection de la vie privée à l’échelle mondiale pour les Canadiennes et les Canadiens.
- Aider les Canadiennes et les Canadiens, les organisations et les institutions à prendre des décisions plus éclairées.
- Améliorer et soutenir la capacité organisationnelle.
Vérification et examen
Au nombre des enjeux liés à la vérification et à l’examen des EFVP sur lesquels nous travaillons déjà ou planifions de travailler en 2009‑2010, mentionnons les suivants :
- Réaliser une vérification des communications sans fil au sein du gouvernement fédéral pour déterminer si certaines organisations gouvernementales disposent de contrôles efficaces pour protéger les renseignements personnels transmis par sans‑fil.
- Réaliser un plan de vérification de trois ans pour orienter notre travail de vérification vers les domaines de la plus grande importance pour les Canadiennes et les Canadiens ainsi que pour le Parlement. Nous avons toujours adopté une approche fondée sur les risques pour sélectionner les organisations à soumettre à une vérification tout en nous concentrant sur nos priorités stratégiques. Nous avons l’intention de poursuivre sur cette lancée en élargissant les consultations au sein et à l’extérieur du Commissariat afin de cerner les organisations qui présentent des risques élevés pour la vie privée et qui sont visées par la Loi sur la protection des renseignements personnels ou par la Loi sur la protection des renseignements personnels et les documents électroniques.
- Examiner l’EFVP que l’Administration canadienne de la sûreté du transport aérien a réalisée sur l’utilisation qu’elle propose faire du système d’imagerie visuelle du corps en entier dans les aéroports canadiens.
- Examiner l’EFVP de Citoyenneté et Immigration Canada ayant trait à plusieurs initiatives biométriques.
- Examiner l’EFVP de l’Agence du revenu du Canada ayant trait à son projet de recouvrement intégré des recettes, qui implique des fonctions évoluées de stockage et de forage des données.
Enquêtes
Au cours de l’année à venir, l’élimination de l’arriéré d’enquêtes sur les plaintes et la mise en œuvre de nos processus révisés, qui comprennent un nouveau système de suivi des cas assorti d’un volet amélioré de gestion de l’information pour faciliter le processus décisionnel, sera l’enjeu prioritaire.
Nous prévoyons qu’une réorganisation au sein du Commissariat, qui vient réunir les fonctions de vérification et d’examen et celles de réponse aux demandes de renseignements et d’enquête sous la direction d’une même commissaire adjointe, nous permettra de mieux cerner et régler les enjeux systémiques de protection de la vie privée dans les opérations du gouvernement fédéral.
Élaboration de lois
Au cours de l’année qui vient, nous nous attendons à ce que les parlementaires nous demandent de nous pencher sur un vaste éventail de projets de loi.
Pour ce qui est des enjeux touchant le secteur public, les deux projets de loi présentés en juin 2009, visant la création d’un régime de surveillance élargi ayant des conséquences majeures sur le droit à la vie privée, seront sans contredit un thème central.
Les projets C-46, Loi sur les pouvoirs d’enquête au 21e siècle, et C-47, Loi sur l’assistance au contrôle d’application des lois au 21e siècle, donnent de nouveaux pouvoirs aux responsables de l’application de la loi et exigent des télécommunicateurs qu’ils répondent aux demandes d’accès aux renseignements des abonnés — même sans autorisation judiciaire — de la part des responsables de la sécurité nationale et des forces publiques.
Les lois proposées donneraient aux autorités policières un accès sans précédent aux renseignements personnels des Canadiennes et Canadiens. Les Canadiennes et Canadiens accordent beaucoup de valeur au droit à la vie privée ainsi qu’à la confidentialité et la sécurité de leurs communications personnelles. Nos tribunaux ont également associé des attentes élevées en matière de confidentialité à de telles communications.
Annexe 1
Définition des types de plaintes
Les plaintes adressées au CPVP sont réparties en trois grandes catégories : accès, protection des renseignements personnels et délais. Une description de chaque catégorie est proposée ci-dessous.
Accès
Accès — Une personne n’a pas obtenu tous les renseignements personnels qu’une institution détient à son sujet parce qu’il manque des documents ou des renseignements, ou encore parce que l’organisation a invoqué des exceptions afin de ne pas communiquer les renseignements.
Correction/annotation — L’institution n’a pas apporté les corrections aux renseignements personnels ou ne les a pas annotés parce qu’elle n’approuve pas les corrections demandées.
Langue — Les renseignements personnels n’ont pas été fournis dans la langue officielle demandée.
Frais — Des frais ont été exigés pour répondre à la demande de renseignements effectuée en vertu de la Loi sur la protection des renseignements personnels, alors qu’aucun frais n’est actuellement prévu pour l’obtention de renseignements personnels.
Répertoire — Info Source (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données — groupes de fichiers sur un même sujet — que l’institution possède) ne décrit pas de façon adéquate le fonds de renseignements personnels que détient une institution.
Protection des renseignements personnels
Collecte — Une institution a recueilli des renseignements personnels qui ne sont pas nécessaires à l’exploitation d’un de ses programmes ou à l’une de ses activités; les renseignements personnels n’ont pas été recueillis directement auprès de la personne concernée; ou la personne n’a pas été informée des fins pour lesquelles les renseignements personnels ont été recueillis.
Conservation et retrait — Des renseignements personnels ne sont pas conservés selon les calendriers de conservation et de retrait approuvés pas les Archives nationales et publiés dans Info Source : ils sont détruits trop rapidement ou conservés trop longtemps.
En outre, les renseignements personnels utilisés à des fins administratives doivent être conservés pendant au moins deux ans après la dernière application d’une mesure administrative, à moins que la personne ait consenti à leur retrait.
Utilisation et communication — Des renseignements personnels sont utilisés ou communiqués sans le consentement de la personne concernée et ne satisfont pas à l’un des critères d’utilisation ou de communication permise sans consentement énoncés aux articles 7 et 8 de la Loi.
Délais
Délais — L’institution n’a pas répondu dans les délais prescrits.
Avis de prorogation — L’institution n’a pas donné une justification appropriée pour la prorogation; elle a fait la demande de prorogation après le délai initial de 30 jours ou elle a fixé l’échéance à plus de 60 jours de la date de réception de la demande.
Correction/annotation - délais — L’institution n’a pas corrigé les renseignements personnels ou n’a pas annoté le dossier dans les 30 jours suivant la réception de la demande de correction.
Définition des conclusions et d’autres dispositions en vertu de la Loi sur la protection des renseignements personnels
Le CPVP a élaboré une série de définitions des conclusions qui expliquent les résultats des enquêtes qu’il effectue en vertu de la Loi sur la protection des renseignements personnels.
Réglée rapidement : S’applique aux cas où l’affaire est réglée avant même qu’une enquête officielle ne soit entamée. Par exemple, si une personne dépose une plainte dont le sujet a déjà fait l’objet d’une enquête par le CPVP et a été considéré conforme à la Loi sur la protection des renseignements personnels, nous expliquons la situation à cette personne. Il nous arrive également de recevoir des plaintes pour lesquelles une enquête officielle aurait pu avoir des conséquences défavorables pour la personne. En pareil cas, nous expliquons en détail la situation au plaignant. Si ce dernier décide de ne pas poursuivre l’affaire, le dossier est fermé et la plainte est considérée comme étant « réglée rapidement ».
Non fondée : L’enquête n’a pas permis de déceler des éléments de preuve qui suffisent à conclure que l’institution fédérale n’a pas respecté les droits d’un plaignant selon la Loi sur la protection des renseignements personnels.
Fondée : L’institution fédérale n’a pas respecté les droits d’une personne aux termes de la Loi sur la protection des renseignements personnels.
Fondée et résolue : Les allégations sont corroborées par l’enquête et l’institution fédérale accepte de prendre des mesures correctives afin de remédier à la situation.
Résolue : Après une enquête approfondie, le CPVP a participé à la négociation d’une solution satisfaisant les deux parties. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.
Réglée en cours d’enquête : Le CPVP a participé à la négociation d’une solution satisfaisant toutes les parties dans le cadre de l’enquête. Aucune conclusion n’est rendue.
Abandonnée : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons. Par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire, ou il est impossible de le trouver afin qu’il fournisse des renseignements supplémentaires essentiels pour arriver à une conclusion.
Annexe 2
Processus d’enquête en vertu de la Loi sur la protection des renseignements personnels
Annexe 3
Demandes de renseignements, plaintes et enquêtes en vertu de la Loi sur la protection des renseignements personnels
Du 1er avril 2008 au 31 mars 2009
Statistiques sur les demandes de renseignements
| Demandes de renseignements reçues | |
|---|---|
| Demandes téléphoniques | 1 770 |
| Demandes écrites (lettre, courriel, télécopie) | 1 333 |
| Total | 3 103 |
| Demandes de renseignements fermées | |
| Demandes téléphoniques | 1 771 |
| Demandes écrites (lettre, courriel, télécopie) | 1 105 |
| Total: | 2 876 |
| Demandes de renseignements généraux* reçues | |
| Demandes téléphoniques | 2 204 |
| Demandes écrites (lettre, courriel, télécopie) | 284 |
| Total: | 2 488 |
| Demandes de renseignements généraux* fermées | |
| Demandes téléphoniques | 2 206 |
| Demandes écrites (lettre, courriel, télécopie) | 260 |
| Total | 2 466 |
* Demandes de renseignements relatives à la protection des renseignements personnels ne pouvant être liées exclusivement à la Loi sur la protection des renseignements personnels ou à la Loi sur la protection des renseignements personnels et les documents électroniques.
Plaintes reçues par type de plainte
| Type de plainte | Nombre | Pourcentage |
|---|---|---|
| Accès | 282 | 38 |
| Délais | 254 | 34 |
| Utilisation et communication | 171 | 23 |
| Collecte | 19 | 3 |
| Correction – annotation | 9 | 1 |
| Conservation et retrait | 6 | <1 |
| Correction – délai | 4 | <1 |
| Avis de prorogation | 2 | <1 |
| Langue | 1 | <1 |
| Total | 748 | 100 |
Comme au cours des exercices précédents, les plaintes les plus fréquentes soumises au Commissariat concernaient l’accès aux renseignements personnels et la durée que les ministères et organismes gouvernementaux prennent pour répondre aux demandes d’accès. On trouvera une définition des types de plaintes à l’annexe 1.
Les 10 institutions ayant fait l’objet du plus grand nombre de plaintes
| Organisation | Total | Accès aux renseignements personnels |
Délais | Protection des renseignements personnels |
|---|---|---|---|---|
| Service correctionnel du Canada | 249 | 70 | 149 | 30 |
| Ressources humaines et Développement des compétences Canada / Développement social Canada / Service Canada | 129 | 16 | 19 | 94 |
| Gendarmerie royale du Canada | 67 | 52 | 3 | 12 |
| Agence du revenu du Canada | 51 | 28 | 11 | 12 |
| Agence des services frontaliers du Canada | 31 | 24 | 4 | 3 |
| Citoyenneté et Immigration Canada | 27 | 13 | 11 | 3 |
| Défense nationale | 25 | 9 | 8 | 8 |
| Service canadien du renseignement de sécurité | 23 | 12 | 11 | 0 |
| Société canadienne des postes | 22 | 8 | 13 | 1 |
| Justice Canada | 14 | 8 | 3 | 3 |
| Autres | 110 | 42 | 28 | 40 |
| Total | 748 | 282 | 260 | 206 |
Le nombre de plaintes déposées au sujet d’une institution ne signifie pas nécessairement que les pratiques de l’institution ne sont pas conformes à la Loi sur la protection des renseignements personnels. En raison de leur mandat, certaines institutions détiennent une quantité considérable de renseignements personnels. Elles sont donc plus susceptibles de recevoir de nombreuses demandes d’accès à ces renseignements personnels et des plaintes subséquentes.
On trouvera des définitions des types de plaintes à l’annexe 1.
Plaintes reçues par institution
| Service correctionnel du Canada | 249 |
|---|---|
| Ressources humaines et Développement des compétences Canada / Développement social Canada / Service Canada | 129 |
| Gendarmerie royale du Canada | 67 |
| Agence du revenu du Canada | 51 |
| Agence des services frontaliers du Canada | 31 |
| Citoyenneté et Immigration Canada | 27 |
| Défense nationale | 25 |
| Service canadien du renseignement de sécurité | 23 |
| Société canadienne des postes | 22 |
| Justice Canada | 14 |
| Affaires étrangères et Commerce international Canada | 11 |
| Commission nationale des libérations conditionnelles | 10 |
| Transports Canada | 9 |
| Affaires indiennes et du Nord Canada | 7 |
| Santé Canada | 6 |
| Agriculture et Agroalimentaire Canada | 4 |
| Environment Canada | 4 |
| Commissariat à l’information du Canada | 4 |
| Bureau du Conseil privé | 4 |
| Commission de la fonction publique du Canada | 4 |
| Anciens Combattants Canada | 4 |
| Agence canadienne d’inspection des aliments | 3 |
| Commission des plaintes du public contre la GRC | 3 |
| Commission de l’immigration et du statut de réfugié du Canada | 3 |
| Industrie Canada | 3 |
| Sécurité publique Canada | 3 |
| Société Radio-Canada | 2 |
| Commission canadienne des droits de la personne | 2 |
| Pêches et Océans Canada | 2 |
| Ressources naturelles Canada | 2 |
| Travaux publics et Services gouvernementaux Canada | 2 |
| Secrétariat du Conseil du Trésor du Canada | 2 |
| Administration canadienne de la sûreté du transport aérien | 1 |
| Tribunal canadien du commerce extérieur | 1 |
| Ministère des Finances Canada | 1 |
| Centre d’analyse des opérations et déclarations financières du Canada | 1 |
| Bureau de l’Inspecteur général du Service canadien du renseignement de sécurité | 1 |
| Marine Atlantique S.C.C. | 1 |
| Conseil national de recherches du Canada | 1 |
| Bureau du Commissaire des tribunaux de révision | 1 |
| Service des poursuites pénales du Canada | 1 |
| Commissariat à l’intégrité du secteur public | 1 |
| Commission des relations de travail dans la fonction publique | 1 |
| Tribunal de la dotation de la fonction publique | 1 |
| Ridley Terminals Inc. | 1 |
| Conseil de recherches en sciences humaines du Canada | 1 |
| Statistique Canada | 1 |
| VIA Rail Canada | 1 |
| Total | 748 |
Plaintes reçues par province ou territoire
| Province ou territoire | Total | Pourcentage |
|---|---|---|
| Ontario | 178 | 24 |
| Québec | 175 | 23 |
| Colombie-Britannique | 98 | 13 |
| Région de la capitale nationale | 98 | 13 |
| Saskatchewan | 67 | 9 |
| Alberta | 50 | 7 |
| Nouveau-Brunswick | 26 | 3 |
| Manitoba | 23 | 3 |
| Nouvelle-Écosse | 12 | 2 |
| International * | 12 | 2 |
| Terre-Neuve-et-Labrador | 5 | 1 |
| Île-du-Prince-Édouard | 3 | - |
| Nunavut | 1 | - |
| Total | 748 | 100 |
* Les citoyens canadiens, les résidents permanents, les détenus des pénitenciers canadiens et les autres personnes « présentes au Canada » ont le droit d’accéder à leurs propres renseignements personnels. Ces personnes ont également le droit connexe de déposer une plainte au Commissariat s’ils se voient refuser l’accès à leurs renseignements. Les Canadiennes et Canadiens vivant à l’étranger ont les mêmes droits en vertu de la Loi sur la protection des renseignements personnels que ceux qui vivent au Canada, notamment le droit de déposer une plainte au Commissariat, et certains d’entre eux ont choisi d’exercer ces droits en 2008-2009. Les dispositions des articles 4 à 8 de la Loi sur la protection des renseignements personnels, qui visent la collecte, l’utilisation, la communication, etc. des renseignements personnels visent tous les individus au sujet desquels le gouvernement recueille des renseignements personnels, peu importe leur citoyenneté ou leur pays de résidence. Toute personne peut déposer une plainte au Commissariat à ce sujet.
Issue de toutes les plaintes fermées, par type de plainte
| Abandonnée | Réglée rapidement |
Non fondée |
Résolue | Réglée en cours d’enquête |
Fondée | Fondée et résolue |
Total | |
|---|---|---|---|---|---|---|---|---|
| Accès | 121 | 6 | 257 | 17 | 54 | 11 | 59 | 525 |
| Délais | 8 | 11 | 17 | 0 | 8 | 169 | 0 | 213 |
| Utilisation et communication | 38 | 20 | 47 | 1 | 19 | 45 | 13 | 183 |
| Collecte | 10 | 5 | 13 | 0 | 8 | 2 | 0 | 38 |
| Correction – annotation | 6 | 0 | 5 | 0 | 3 | 0 | 0 | 14 |
| Conservation et retrait | 4 | 0 | 3 | 0 | 0 | 1 | 0 | 8 |
| Correction – délais | 0 | 0 | 0 | 0 | 0 | 5 | 0 | 5 |
| Avis de prorogation | 0 | 0 | 0 | 0 | 0 | 3 | 0 | 3 |
| Langue | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 1 |
| Total | 187 | 42 | 342 | 19 | 92 | 236 | 72 | 990 |
De par leur nature, la plupart des plaintes liées aux délais sont jugées comme étant fondées, puisque les plaignants s’adressent à nous une fois que le délai prescrit pour répondre à leur demande est échu.
Parmi les plaintes au sujet de l’accès aux renseignements personnels, 60 % ont été réglées rapidement, réglées en cours d’enquête ou jugées comme étant non fondées. Cela laisse entendre que la majorité des plaignants ont accepté qu’ils ne pouvaient pas recevoir les documents qu’ils tentaient d’obtenir en raison d’exemptions statutaires appliquées de manière appropriée.
Les cas portant sur la collecte, l’utilisation et la communication, ou la conservation et le retrait de renseignements personnels ont représenté 23 % de l’ensemble des plaintes sur lesquelles nous avons fait enquête. Parmi ce nombre, seulement 27 % ont été désignées comme étant fondées ou fondées et résolues.
Issue des plaintes relatives à l’accès ou à la protection des renseignements personnels fermées
| Abandonnée | Réglée rapidement |
Non fondée |
Résolue | Réglée en cours d’enquête |
Fondée | Fondée et résolue |
Total | |
|---|---|---|---|---|---|---|---|---|
| Accès | 121 | 6 | 257 | 17 | 54 | 11 | 59 | 525 |
| Utilisation et communication | 38 | 20 | 47 | 1 | 19 | 45 | 13 | 183 |
| Collecte | 10 | 5 | 13 | 0 | 8 | 2 | 0 | 38 |
| Correction – annotation | 6 | 0 | 5 | 0 | 3 | 0 | 0 | 14 |
| Conservation et retrait | 4 | 0 | 3 | 0 | 0 | 1 | 0 | 8 |
| Langue | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 1 |
| Total | 179 | 31 | 325 | 19 | 84 | 59 | 72 | 769 |
Comme au cours des exercices précédents, le nombre de plaintes relatives à l’accès ou à la protection des renseignements personnels considérées comme étant non fondées dépasse largement le nombre de plaintes considérées comme étant fondées.
En outre, 15 % de ces plaintes ont été réglées au moyen d’autres mécanismes de résolution — réglées rapidement ou en cours d’enquête.
Issue des plaintes relatives aux délais fermées
| Abandonnée | Réglée rapidement |
Non fondée |
Résolue | Réglée en cours d’enquête |
Fondée | Fondée et résolue |
Total | |
|---|---|---|---|---|---|---|---|---|
| Délais | 8 | 11 | 17 | 0 | 8 | 169 | 0 | 213 |
| Correction – délais | 0 | 0 | 0 | 0 | 0 | 5 | 0 | 5 |
| Avis de prorogation | 0 | 0 | 0 | 0 | 0 | 3 | 0 | 3 |
| Total | 8 | 11 | 17 | 0 | 8 | 177 | 0 | 221 |
Issue des plaintes relatives aux délais, par institution
| Abandonnée | Réglée rapidement | Non fondée | Réglée en cours d’enquête | Fondée | Total | |
|---|---|---|---|---|---|---|
| Service correctionnel du Canada | 5 | 10 | 1 | 0 | 83 | 99 |
| Service Canada | 0 | 0 | 0 | 0 | 18 | 18 |
| Société canadienne des postes | 0 | 1 | 1 | 7 | 4 | 13 |
| Agence des services frontaliers du Canada | 0 | 0 | 0 | 0 | 12 | 12 |
| Service canadien du renseignement de sécurité | 0 | 0 | 8 | 0 | 3 | 11 |
| Citoyenneté et Immigration Canada | 0 | 0 | 0 | 0 | 10 | 10 |
| Défense nationale | 0 | 0 | 0 | 0 | 10 | 10 |
| Agence du revenu du Canada | 0 | 0 | 2 | 0 | 5 | 7 |
| Ressources humaines et Développement des compétences Canada / Développement social Canada | 1 | 0 | 0 | 0 | 5 | 6 |
| Affaires étrangères et Commerce international Canada | 0 | 0 | 0 | 0 | 6 | 6 |
| Gendarmerie royale du Canada | 1 | 0 | 1 | 0 | 2 | 4 |
| Santé Canada | 1 | 0 | 0 | 0 | 2 | 3 |
| Justice Canada | 0 | 0 | 1 | 0 | 2 | 3 |
| Bureau du Conseil privé | 0 | 0 | 1 | 0 | 2 | 3 |
| Transports Canada | 0 | 0 | 0 | 0 | 3 | 3 |
| Agence de la fonction publique du Canada | 0 | 0 | 1 | 0 | 1 | 2 |
| Commission de l’immigration et du statut de réfugié du Canada | 0 | 0 | 0 | 0 | 2 | 2 |
| Commission nationale des libérations conditionnelles | 0 | 0 | 0 | 0 | 2 | 2 |
| Agriculture et Agroalimentaire Canada | 0 | 0 | 1 | 0 | 0 | 1 |
| Société Radio-Canada | 0 | 0 | 0 | 0 | 1 | 1 |
| Affaires indiennes et du Nord Canada | 0 | 0 | 0 | 1 | 0 | 1 |
| Industrie Canada | 0 | 0 | 0 | 0 | 1 | 1 |
| Service des poursuites pénales du Canada | 0 | 0 | 0 | 0 | 1 | 1 |
| Travaux publics et Services gouvernementaux Canada | 0 | 0 | 0 | 0 | 1 | 1 |
| Statistique Canada | 0 | 0 | 0 | 0 | 1 | 1 |
| Total | 8 | 11 | 17 | 8 | 177 | 221 |
Le Service correctionnel du Canada a de loin le plus grand nombre de plaintes liées aux délais de réponse aux demandes en vertu de la Loi sur la protection des renseignements personnels. Une des raisons qui explique ces données est que l’organisme détient un fonds important de renseignements personnels au sujet des détenus qui, en retour, présentent de nombreuses demandes d’accès à leurs renseignements. L’an dernier, les ressources de l’organisme dédiées au traitement des demandes ont augmenté de manière significative, ce qui a donné lieu à une réduction de 43 % du volume de plaintes.
Parmi les autres organismes dont le nombre de plaintes relatives aux délais a diminué par rapport à l’exercice précédent, on retrouve le ministère de la Défense nationale, l’Agence des services frontaliers du Canada, la Gendarmerie royale du Canada, l’Agence du revenu du Canada et Justice Canda.
Issue des plaintes relatives à l’accès et à la protection des renseignements personnels, par institution
| Abandonnée | Réglée rapidement | Non fondée | Résolue | Réglée en cours d’enquête | Fondée | Fondée et résolue | Total | |
|---|---|---|---|---|---|---|---|---|
| Service correctionnel du Canada | 38 | 2 | 68 | 4 | 19 | 11 | 8 | 150 |
| Gendarmerie royale du Canada | 17 | 1 | 49 | 5 | 13 | 7 | 9 | 101 |
| Agence du revenu du Canada | 19 | 5 | 28 | 1 | 8 | 2 | 7 | 70 |
| Service Canada | 13 | 13 | 4 | 2 | 10 | 4 | 11 | 57 |
| Service canadien du renseignement de sécurité | 15 | 0 | 40 | 0 | 0 | 0 | 0 | 55 |
| Défense nationale | 11 | 0 | 21 | 1 | 3 | 4 | 5 | 45 |
| Commission de l’immigration et du statut de réfugié du Canada | 2 | 0 | 28 | 0 | 0 | 3 | 6 | 39 |
| Citoyenneté et immigration Canada | 9 | 1 | 13 | 0 | 5 | 3 | 0 | 31 |
| Agence des services frontaliers du Canada | 4 | 0 | 12 | 3 | 5 | 0 | 3 | 27 |
| Affaires étrangères et Commerce international Canada | 3 | 4 | 7 | 0 | 0 | 6 | 3 | 23 |
| Ressources humaines et Développement des compétences Canada / Développement social Canada | 8 | 0 | 8 | 0 | 1 | 1 | 2 | 20 |
| Société canadienne des postes | 6 | 0 | 3 | 0 | 3 | 0 | 7 | 19 |
| Développement économique Canada pour les régions du Québec | 13 | 0 | 0 | 0 | 0 | 0 | 1 | 14 |
| Commission de la fonction publique du Canada | 0 | 2 | 2 | 0 | 1 | 6 | 1 | 12 |
| Transports Canada | 0 | 0 | 8 | 0 | 1 | 0 | 1 | 10 |
| Justice Canada | 2 | 0 | 4 | 1 | 1 | 0 | 1 | 9 |
| Commission nationale des libérations conditionnelles | 0 | 2 | 4 | 0 | 0 | 1 | 2 | 9 |
| Santé Canada | 4 | 1 | 2 | 0 | 1 | 0 | 0 | 8 |
| Centre des armes à feu Canada | 5 | 0 | 1 | 0 | 0 | 0 | 0 | 6 |
| Environment Canada | 0 | 0 | 2 | 0 | 2 | 0 | 1 | 5 |
| Pêches et Océans Canada | 0 | 0 | 3 | 0 | 0 | 1 | 1 | 5 |
| Anciens Combattants Canada | 1 | 0 | 0 | 0 | 4 | 0 | 0 | 5 |
| Agriculture et Agroalimentaire Canada | 0 | 0 | 0 | 0 | 0 | 4 | 0 | 4 |
| Bibliothèque et Archives Canada | 0 | 0 | 2 | 0 | 2 | 0 | 0 | 4 |
| Commission canadienne des droits de la personne | 1 | 0 | 1 | 0 | 0 | 0 | 1 | 3 |
| Bureau du Conseil privé | 1 | 0 | 1 | 1 | 0 | 0 | 0 | 3 |
| Statistique Canada | 1 | 0 | 2 | 0 | 0 | 0 | 0 | 3 |
| Commission des plaintes du public contre la GRC | 0 | 0 | 2 | 0 | 0 | 0 | 0 | 2 |
| Industrie Canada | 1 | 0 | 1 | 0 | 0 | 0 | 0 | 2 |
| Commission d’examen des plaintes concernant la police militaire | 0 | 0 | 0 | 0 | 0 | 2 | 0 | 2 |
| Commissariat à l’information du Canada | 1 | 0 | 0 | 0 | 0 | 1 | 0 | 2 |
| Bureau de l’Inspecteur général, Service canadien du renseignement de sécurité | 1 | 0 | 1 | 0 | 0 | 0 | 0 | 2 |
| Ombudsman de la Défense nationale et des Forces canadiennes | 0 | 0 | 2 | 0 | 0 | 0 | 0 | 2 |
| Commission d’appel des pensions | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 2 |
| Commission des relations de travail dans la fonction publique | 0 | 0 | 0 | 0 | 0 | 2 | 0 | 2 |
| Travaux publics et Services gouvernementaux Canada | 0 | 0 | 1 | 1 | 0 | 0 | 0 | 2 |
| Comité des griefs des Forces canadiennes | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
| Tribunal canadien du commerce extérieur | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 |
| Exportation et développement Canada | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
| Ministère des Finances Canada | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
| Centre d’analyse des opérations et déclarations financières du Canada | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
| Affaires indiennes et du Nord Canada | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 |
| Résolution des questions des pensionnats indiens Canada | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
| Ressources naturelles Canada | 0 | 0 | 0 | 0 | 0 | 0 | 1 | 1 |
| Bureau du Commissaire des tribunaux de révision | 1 | 0 | 0 | 0 | 0 | 0 | 0 | 1 |
| Sécurité publique Canada | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 |
| Monnaie royale canadienne | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 |
| Secrétariat du Conseil du Trésor du Canada | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
| Administration portuaire de Vancouver | 0 | 0 | 1 | 0 | 0 | 0 | 0 | 1 |
| VIA Rail Canada | 0 | 0 | 0 | 0 | 1 | 0 | 0 | 1 |
| Total | 179 | 31 | 325 | 19 | 84 | 59 | 72 | 769 |
Durée de traitement des enquêtes faisant suite à des plaintes en vertu de la Loi sur la protection des renseignements personnels
Par issue
| Issue | Durée moyenne, en mois |
|---|---|
| Fondée et résolue | 28,32 |
| Abandonnée | 23,48 |
| Non fondée | 23,47 |
| Résolue | 21,42 |
| Réglée en cours d’enquête | 19,24 |
| Fondée | 10,40 |
| Réglée rapidement | 4,40 |
| Moyenne générale | 19,47 |
La durée de traitement est mesurée d’après la date où la plainte est reçue et la date où l’enquête trouve son issue, que ce soit par l’émission d’une conclusion ou par un autre moyen.
La plupart des plaintes liées aux délais sont jugées comme étant fondées, puisque les personnes attendent en général que le délai dont dispose une organisation pour répondre à leur demande de renseignements soit échu avant de s’adresser à nous. Comme le délai en question a déjà été outrepassé, les cas de ce genre sont généralement clairs et l’on peut en disposer de manière relativement rapide.
Comme ces plaintes représentent le tiers du volume que nous traitons, la durée de traitement moyen pour les plaintes fondées correspond à moins de la moitié de celui des plaintes non fondées.
Par type de plainte
| Type de plainte | Durée moyenne, en mois |
|---|---|
| Langue | 31,00* |
| Conservation et retrait | 30,50 |
| Accès | 24,48 |
| Collecte | 21,74 |
| Utilisation et communication | 21,58 |
| Correction — annotation | 18,71 |
| Correction — délai | 7,20 |
| Délai | 5,00 |
| Avis de prorogation | 2,67 |
| Moyenne générale | 19,50 |
* Le délai de traitement pour ce genre de plainte se fonde sur un seul cas.
Supports de substitution
- PDF (997 Ko) Accessibilité non vérifiée
- Date de modification :