Rapport annuel au Parlement 2008 sur la Loi sur la protection des renseignements personnels et les documents électroniques
Cette page Web a été archivée dans le Web
L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.
Commissariat à la protection de la vie privée du Canada
112, rue Kent
Ottawa (Ontario) K1A 1H3
613-995-8210, 1-800-282-1376
élécopieur : 613-947-6850
ATS : 613-992-9190
© Ministre des Travaux publics et Services gouvernementaux Canada 2009
N° de cat. : IP51-1/2008
ISBN : 978-0-662-06851-8
Cette publication se trouve également sur notre site au www.priv.gc.ca.
Août 2009
L’honorable Noël A. Kinsella, sénateur
Président
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Monsieur,
J’ai l’honneur de présenter au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s’échelonnant du 1er janvier au 31 décembre 2008.
Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Août 2009
L’honorable Peter Milliken, député
Président
Chambre des communes
Ottawa (Ontario) K1A 0A6
Monsieur,
J’ai l’honneur de présenter au Parlement le rapport annuel sur la Loi sur la protection des renseignements personnels et les documents électroniques du Commissariat à la protection de la vie privée du Canada pour la période s?échelonnant du 1er janvier au 31 décembre 2008.
Veuillez agréer, Monsieur, l’assurance de ma considération distinguée.
La commissaire à la protection de la vie privée du Canada,
(Document original signé par)
Jennifer Stoddart
Message de la commissaire
Ceux qui se rappellent avoir échangé des notes avec leurs amis quand le professeur avait le dos tourné doivent trouver que les communications entre les jeunes d’aujourd’hui sont vraiment d’un autre monde.
Ce qui est étonnant, à vrai dire, ce n’est pas tant que les messages électroniques aient remplacé les notes sur papier, ni même la variété de moyens par lesquels les jeunes restent en contact de nos jours. C’est plutôt l’attitude observée chez certains de ces jeunes envers la protection de la vie privée qui semble si différente — et parfois même indifférente.
Bon nombre de jeunes personnes choisissent de se révéler au grand jour d’une manière que leurs parents auraient jugée impossible et leurs grands‑parents, impensable. Ils étalent leur vie sur une scène publique qu’ils ont eux‑mêmes conçue dans leur quête de visibilité, de connectivité et de connaissances.
Ils envoient donc des textos, ils bloguent, clavarden et surfent, ils affichent tout ce qui leur tombe sous la main, qu’il s’agisse d’une photo, d’une vidéo, d’une chanson ou d’une opinion, ils font de la promotion, et ils vont même jusqu’à révéler l’endroit où ils se trouvent.
Une telle ouverture peut favoriser la créativité, l’alphabétisation, le réseautage et l’engagement social. Sauf que la transmission au grand jour de renseignements personnels peut également exposer les jeunes à la cyberintimidation ou encore laisser une trace durable de moments embarrassants qui pourraient les hanter pendant longtemps.
Pire encore, les renseignements personnels non protégés sont autant de fruits faciles à cueillir pour les spécialistes du marketing sans scrupule, les courtiers en données obtenues illégalement et même les voleurs d’identité.
C’est pourquoi le Commissariat à la protection de la vie privée du Canada est si déterminé à contribuer à la protection les renseignements personnels. Dans le secteur privé, notre principal outil à cette fin est la Loi sur la protection des renseignements personnels et les documents électroniques, ou LPRPDE.
Ce rapport annuel relate le travail accompli au Commissariat, sous le leadership exemplaire d’Elizabeth Denham, commissaire adjointe à la protection de la vie privée, qui supervise l’application de la loi sur la protection des renseignements personnels applicable au secteur privé.
Par nos réponses aux demandes de renseignements, nos travaux d’enquête, de vérification et examen, et nos services juridiques, nous avons tenté de faire en sorte que la LPRPDE constitue un outil dynamique, moderne et efficace pour raffermir le droit à la vie privée des Canadiennes et Canadiens.
Le Commissariat a également entrepris d’autres genres d’activités, que ce soit sensibiliser le public, les parlementaires et les entreprises à la loi, donner des conseils, plaider en faveur de changements positifs, ou encore développer des relations efficaces avec les provinces, les territoires et d’autres groupes d’intervenants.
À la fin de l’année, il était clair que nous avions bien des raisons de célébrer.
Le nombre imposant d’appels et de lettres que nous recevons démontre à quel point les Canadiennes et Canadiens reconnaissent et ont à cœur leur droit à la vie privée.
Nous nous réjouissons également de voir que bon nombre d’organisations mettent en œuvre de solides politiques de protection de la vie privée pour préserver les renseignements personnels de leur clientèle.
Il n’en demeure pas moins que notre mission n’est pas entièrement accomplie.
Certaines organisations continuent de faire fi de l’esprit, sinon de la lettre, de la LPRPDE. Des atteintes à la protection des données continuent de soustraire des renseignements personnels aux mesures de sécurité qui leur sont dues. Plusieurs de ces atteintes auraient pu être évitées, ce qui vient souligner l’urgence d’établir des politiques plus rigoureuses et de mieux former les employés.
Et la technologie, malgré ses indéniables avantages, continue de lancer de nouveaux défis à la protection de la vie privée, que ce soit par de nouveaux moyens de surveillance et de suivi, des applications novatrices en communication, ou la capacité sans limite des ordinateurs modernes à recueillir, manipuler, stocker et transférer des renseignements personnels.
C’est ainsi que, à l’aube de 2009, nous examinons l’incidence sur la protection de la vie privée de la vidéosurveillance secrète, des fonctions de localisation de Google Latitude, des nouvelles technologies de localisation et d’imagerie présentes dans des applications comme Google Street View et Canpages, et des politiques et paramètres de confidentialité de sites de réseautage social tels que Facebook.
Les jeunes sont les plus susceptibles d’adopter les nouvelles technologies, alors que certains d’entre eux semblent indifférents aux répercussions de des technologies sur leur vie privée. Ou peut-être ne sont‑ils pas entièrement au fait des risques possibles.
C’est la raison pour laquelle le Commissariat a décrété que la protection de la vie privée des jeunes en cette époque de changements technologiques rapides était une de ses priorités clés pour 2008. Pour rejoindre les jeunes et les encourager à réfléchir à cette problématique, nous avons utilisé des concours, du matériel de communication et un nouveau site Web consacré à la protection de la vie privée des jeunes.
Nous ne souhaitons pas revenir à une époque révolue; nous voulons seulement nous assurer que les Canadiennes et Canadiens disposent de l’information dont ils ont besoin pour prendre des décisions éclairées concernant leur vie privée.
À titre de gardiens de la protection de la vie privée au Canada, notre rôle est de sensibiliser les personnes aux risques posés à leur vie privée, de leur suggérer des manières de réagir à ces risques et de les aider à faire des choix éclairés.
Sommaire
La nécessité de disposer de lois rigoureuses sur la protection des renseignements personnels dans le secteur privé n’a jamais été plus claire. Les avancées technologiques ont facilité l’accumulation, la manipulation et l’échange de renseignements personnels à des degrés qui auraient été inconcevables à une autre époque.
En même temps, nous observons de grands changements dans la manière dont les personnes utilisent les nouvelles technologies pour distribuer de l’information.
Les générations qui nous ont précédées ont été marquées par nombre de nouvelles technologies de communication, que ce soit le télégraphe, la radio ou encore la télévision. Les moyens de recevoir de l’information allaient en augmentant, mais les moyens d’en diffuser demeuraient restreints.
Avec l’arrivée du Web 2.0, les choses ont changé de manière radicale. La jeune génération d’aujourd’hui est la première à pouvoir distribuer rapidement de l’information à un grand nombre de personnes et à peu de frais.
Les plus jeunes d’entre nous ont accueilli chaleureusement ces nouveaux outils de communication que sont la messagerie instantanée, les réseaux sociaux, les textos et les sites de partage de photos ou de vidéos.
Conséquemment, nous vivons une révolution des communications. Ces changements profonds qui transforment les technologies et les communications influent aussi sur notre conception de la vie privée.
Un premier défi pour le Commissariat est de mettre sur pied des outils et des ressources afin d’aider les jeunes Canadiennes et Canadiens à faire face à cette transition tout en gardant le contrôle de leur identité.
Un deuxième défi important est de trouver un moyen d’appliquer des textes de loi conçus dans l’optique de moyens plus traditionnels de collecte et d’utilisation de renseignements personnels.
Dans le cadre d’une relation classique entre un client et une organisation ayant pignon sur rue, l’entreprise recueille les renseignements personnels nécessaires à la prestation d’un service directement auprès du client. Par contre, dans le contexte d’un site de réseautage social, les personnes affichent leurs renseignements personnels en ligne, de leur propre initiative, précisément dans le but de partager ces renseignements avec d’autres.
En même temps, la publicité comportementale — qui en est encore à ses débuts — est déjà un enjeu très complexe pour les autorités de protection des données, et risque de le demeurer encore longtemps.
L’inspection approfondie des paquets, un outil de gestion de l’affluence sur Internet qui permet aux fournisseurs de réseaux d’examiner les paquets numériques qui forment un message ou une transmission, soulève également une foule de conséquences pour nous. À l’heure actuelle, nous n’avons aucune preuve que les fournisseurs canadiens de service Internet examinent le contenu du trafic de données. Toutefois, l’inspection approfondie des paquets permet de surveiller ce contenu.
Bien que ces nouveaux modèles de collecte et d’utilisation de données représentent des défis pour l’application de la LPRPDE, les concepteurs de cette loi ont eu la préscience de la garder neutre au sujet de la technologie.
À notre avis, il serait impossible de modifier la loi chaque fois que surgit une nouvelle technologie.
Survol
Le présent rapport décrit les activités du Commissariat à la protection de la vie privée du Canada relativement à la supervision de l’application de la LPRPDE pendant l’année 2008. Comme il s’agissait du cinquième anniversaire de l’entrée en vigueur intégrale de la Loi, nous avons inclus certaines tendances historiques et quelques capsules fondées sur cinq années complètes de données statistiques.
Le Commissariat entreprend ses travaux à partir du principe que plus les entreprises comprennent leurs obligations, plus la LPRPDE sera efficace.
Le Commissariat a donc créé en 2008 la Direction de la recherche, de la sensibilisation et de l’engagement qui vient complémenter le travail de la Direction des communications en faisant connaître au public la LPRPDE et le rôle qu’elle peut jouer pour mieux protéger la vie privée des Canadiennes et Canadiens.
Au cours de la dernière année, le Commissariat a mis l’accent sur la collaboration avec les bureaux régionaux, les provinces et les territoires, l’industrie, les groupes de défense des droits ainsi que les organismes internationaux.
Il est de plus en plus crucial que nous ne travaillions pas en vase clos. Eu égard à l’importance grandissante du flux transfrontalier de données, le seul moyen de protéger le droit des Canadiennes et Canadiens à la vie privée dans l’avenir est de collaborer avec les autres États pour faire en sorte que des mesures adéquates de protection des renseignements personnels sont en place partout au monde.
Nous prenons part à de nombreuses initiatives sur la scène internationale, notamment au sein de l’Organisation de coopération et de développement économiques (OCDE), de la Coopération économique Asie-Pacifique (APEC) et de l’Organisation internationale de normalisation (ISO).
Notre objectif devrait être d’atteindre à un certain niveau de protection de base équivalent à l’échelle mondiale — une norme de protection qui tienne compte des différences juridiques et culturelles.
Bien que nous ayons fait des progrès, il nous reste encore beaucoup à faire sur la scène internationale.
Un autre élément important de notre rôle consiste à surveiller la conformité à la LPRPDE. Nos efforts visent en grande partie à s’assurer que les organisations comprennent leurs obligations et qu’ils ont les outils qu’il faut pour s’en acquitter. À cette fin, nous élaborons des documents d’information et d’orientation sur plusieurs enjeux, certains étant destinés à toutes les entreprises et d’autres à des secteurs particuliers.
Puisqu’il faut parfois appliquer une démarche plus ciblée, nous avons reçu durant l’année 422 nouvelles plaintes pour enquête dans le secteur privé et rédigé environ 68 avis juridiques pour circulation interne.
Technologie et protection de la vie privée
La nature envahissante et sans cesse changeante de la technologie est l’une des principales tendances influant sur le travail du Commissariat à la protection de la vie privée du Canada.
À titre d’exemple, la surveillance est un phénomène dont on a de plus en plus conscience et qui suscite toujours plus d’inquiétude, qu’elle prenne la forme de caméras de sécurité à découvert ou d’autres moyens plus secrets. Chaque innovation, que ce soit les systèmes mondiaux de localisation (GPS), les étiquettes d’identification par radiofréquence (IRF) ou les caméras microminiaturisées, donne aux gens de nouvelles façons de surveiller, de contrôler et de suivre les activités d’autrui.
Ainsi, le Commissariat a publié en mars un document de consultation sur l’utilisation des systèmes d’IRF en milieu de travail. Bien que cette technologie puisse améliorer la productivité et accroître la sécurité, une telle surveillance peut également miner la dignité et l’autonomie des travailleurs. Les résultats de la consultation seront rendus publics au début de l’année 2009.
De concert avec les commissaires à l’information et à la protection de la vie privée de l’Alberta et de la Colombie‑Britannique, le Commissariat a également publié des directives à l’intention des compagnies qui installent des systèmes de vidéosurveillance. Ces directives prévoient, entre autres, que la surveillance ne devrait être envisagée qu’à des fins raisonnables et appropriées.
Puisque les personnes compromettent souvent elles-mêmes leurs renseignements personnels dans le cadre de leurs activités en ligne, le Commissariat a commandé un rapport de recherche examinant les enjeux liés à la protection de la vie privée présents dans d’importants jeux en ligne à multiples joueurs tels que Second Life. L’auteur du document a examiné l’application de la loi canadienne à l’entreprise américaine qui exploite cet univers virtuel.
En fait, pour l’ensemble de la communauté de la protection de la vie privée, le défi consiste à cerner les risques réels et éventuels en cette époque de changements rapides, et à concevoir des moyens de les atténuer. Dans un tel contexte, la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) de l’Université d’Ottawa nous a demandé de faire enquête, entre autres, afin de déterminer si Facebook, le populaire site de réseautage social, allait à l’encontre de la LPRPDE en n’informant pas les membres de la manière dont leurs renseignements personnels sont communiqués à des tiers à des fins publicitaires.
La CIPPIC a également déposé une plainte auprès du Commissariat sur la pratique d’inspection approfondie des paquets, qui donne aux fournisseurs de services Internet la capacité technique de recueillir des données sur les utilisateurs en ligne.
Nos conclusions sur ces deux affaires devraient paraître en 2009.
Enquêtes et demandes de renseignements
On trouvera de plus amples détails sur le travail de la Direction des enquêtes et des demandes de renseignements à la page 23. Des données statistiques figurent également à l’annexe 2.
La Direction des enquêtes et des demandes de renseignements, premier point de contact des Canadiennes et Canadiens avec le Commissariat, a traité 6 344 nouvelles demandes de renseignements visés par la LPRPDE en 2008, soit une moyenne de plus de 500 par mois. Cela représente une diminution de 17 % par rapport aux 7 636 demandes que nous avons reçues en 2007.
La Direction générale a connu beaucoup de succès dans ses efforts pour aider les plaignants à résoudre eux-mêmes leurs préoccupations en les encourageant à traiter directement avec les entreprises. Grâce à cette approche, les enjeux sont souvent réglés avant qu’ils ne fassent l’objet de plaintes officielles.
Malgré tout, le Commissariat a reçu 422 nouvelles plaintes liées à la LPRPDE en 2008, mettant fin à la tendance à la baisse qui durait depuis plusieurs années. Durant l’année 2008, nous avons réglé 412 plaintes.
Cette année, nous nous sommes attaqués de front à la mission de réduire le nombre croissant de plaintes plus anciennes. Sous le leadership de la commissaire adjointe et d’un nouveau directeur général, et avec l’appui de nouvelles ressources, nous avons embauché des enquêteurs, fait un effort concerté pour résoudre l’arriéré de dossiers, et établi de nouvelles procédures simplifiées afin de bien servir les Canadiennes et Canadiens dans l’avenir.
Atteintes à la sécurité des données
Dans notre dernier rapport annuel sur la LPRPDE, nous considérions l’année 2007 comme celle de l’atteinte à la protection des données. L’année 2008 nous a donné la possibilité d’examiner ce phénomène de manière plus structurée et de nous y attaquer.
Le Commissariat a analysé en profondeur les atteintes à la protection des données qui nous ont été signalées volontairement entre 2006 et 2008, afin de cerner les principales causes de ces atteintes. Cette analyse a permis de cerner les systèmes de sécurité inadéquats et le manque de sensibilisation et de formation des employés comme étant des enjeux primordiaux sur lesquels les organisations devraient se concentrer.
Si nous continuons de faire pression en faveur d’un régime d’avis obligatoire en cas d’incident, nous continuons également de souligner que les organisations ont besoin de politiques rigoureuses ainsi que d’une formation soutenue et complète pour réduire les possibilités de communication accidentelle des données.
Un nouveau guide à l’intention des entreprises résume les 10 principes de protection de la vie privée qui sous‑tendent la LPRPDE, explique la façon de cerner, gérer et déclarer un incident et insiste sur l’importance de réduire le risque de ces incidents à l’avenir.
Nous avons également créé un outil d’autoévaluation qui indique aux organisations leurs obligations en vertu de la LPRPDE et qui comporte des listes de contrôle qu’elles peuvent utiliser pour évaluer leur propre conformité.
Tracer le chemin
On trouvera de plus amples détails sur le travail des Services juridiques à la page 49.
Dans les cinq années complètes où la LPRPDE a été en vigueur pour toutes les organisations, le Commissariat a acquis une expérience considérable à l’égard de l’interprétation de cette loi. Nous avons également eu l’occasion de réfléchir sur son efficacité.
En mai, le Commissariat publiait un rapport sur l’impact de la LPRPDE. Intitulé Tracer le chemin : Principaux développements au cours des sept premières années d’application de la Loi surla protection des renseignements personnels et les documents électroniques (LPRPDE), le rapport met en lumière certains cas et enjeux ayant créé des précédents qui ont aidé à interpréter et à appliquer la Loi. Plus particulièrement, le rapport fait état des grandes tendances telles que la surveillance, la circulation transfrontalière des données, les atteintes à la sécurité des données et la collecte de renseignements personnels à des fins secondaires de marketing. Un objectif clé de ce rapport était d’aider les entreprises à se conformer à la LPRPDE au sens où on l’interprète.
Sensibilisation de la population canadienne
Compte tenu de l’ampleur et de l’urgence des défis posés à la protection de la vie privée de nos jours, le Commissariat estime que la protection des renseignements personnels est une responsabilité partagée. Les organisations du secteur privé devraient se comporter de manière proactive et voir à se conformer aux prescriptions de la LPRPDE, et les particuliers devraient quant à eux comprendre leur droit à la vie privée et prendre des mesures pour protéger leurs renseignements personnels.
C’est dans ce contexte que le Commissariat a préparé des ressources d’orientation pour aider les personnes à protéger leurs renseignements personnels dans leurs transactions au détail et mené des sondages d’opinion publique sur de nombreux enjeux relatifs à la protection de la vie privée.
Le Commissariat a également créé un Programme de sensibilisation régionale afin de s’adresser aux Canadiennes et aux Canadiens là où ils vivent et travaillent. Durant l’année, des membres du Commissariat ont voyagé du Yukon à la Nouvelle‑Écosse en passant par la Saskatchewan pour offrir des conseils sur les enjeux relatifs à la protection de la vie privée qui touchent les personnes dans leur quotidien.
Nous pouvons maintenant compter sur une employée à temps plein dans le Canada atlantique. Son travail consiste à s’entretenir avec les chefs d’entreprise, les avocats, les groupes de citoyens et les étudiants des écoles secondaires sur la protection de la vie privée, la loi sur la protection des renseignements personnels applicables au secteur privé, et la protection de la vie privée des enfants et adolescents.
En 2008, le Commissariat a également annoncé un financement de plus de 400 000 $ pour appuyer la recherche sur les enjeux touchant la protection de la vie privée comme la vidéosurveillance et la protection de l’identité. Outre les propositions de recherche officielle, le Programme des contributions a également soutenu les initiatives novatrices axées sur la sensibilisation, la conscientisation et l’engagement du public. Nous avons invité les établissements d’enseignement, les associations industrielles et commerciales, les organismes de défense des droits, les organismes de défense des consommateurs et les organismes bénévoles à présenter des propositions, qui pouvaient être financées à hauteur de 50 000 $ par projet.
Sensibilisation des jeunes
Un portrait détaillé de l’enjeu de la protection de la vie privée chez les jeunes débute à la page 17.
En 2008, nos efforts d’engagement ont ciblé les jeunes de manière primordiale.
De concert avec ses homologues provinciaux et territoriaux, le Commissariat a lancé le site Web viepriveedesjeunes.ca, qui indique aux jeunes comment protéger leurs renseignements personnels et prendre en main la façon dont leur identité se forge en ligne. Le site, assorti d’un blogue et d’un jeu‑questionnaire interactif, a reçu en moyenne 3 400 visites par mois au terme de son année inaugurale.
Parallèlement, nous avons lancé un concours — le premier du genre — pour encourager les étudiants de 12 à 18 ans à créer des vidéos sur la protection de la vie privée. Nous avons annoncé les gagnants au début de 2009.
En 2008 a eu lieu un autre concours, qui visait cette fois les étudiants de premier cycle dans les écoles de droit et les programmes d’études juridiques dans tout le Canada. Nous invitions ces derniers à rédiger des essais sur les enjeux liés à la protection de la vie privée dans nos quatre domaines prioritaires, qui comprennent entre autres les technologies de l’information et l’intégrité de l’identité.
En juin, les commissaires à la protection de la vie privée et les responsables de la surveillance fédérale, provinciaux et territoriaux ont convenu, lors d’une réunion à Regina, d’améliorer la situation des enfants et des adolescents en ce qui touche la protection de leur vie privée en ligne. La résolution exhortait les gouvernements, les éducateurs, l’industrie et les organismes communautaires à élaborer des outils et de l’information pour aider à préserver la vie privée des jeunes en ligne.
Quelques mois plus tard, le Commissariat mettait de l’avant une résolution du même genre sur la scène mondiale. Avalisée par des autorités internationales de la protection des données lors d’une conférence à Strasbourg (France), la résolution reconnaissait que quantité de jeunes ne disposent pas des connaissances ni de l’expérience voulues pour réduire les risques auxquels ils s’exposent en ligne, et faisait appel à un effort mondial pour sensibiliser davantage la population à la nécessité d’un environnement sécuritaire en ligne pour les enfants et les adolescents.
Sensibilisation des entreprises
Dans la foulée de son engagement à améliorer la conscientisation des entreprises quant à leurs responsabilités en vertu de la LPRPDE, le Commissariat a publié en 2008 une brochure qui explique la Loi aux petites entreprises. Nous y décrivons l’importance de disposer d’une politique exhaustive en matière de protection de la vie privée, et de s’assurer que tous les employés reçoivent une formation adéquate pour bien comprendre, respecter et mettre en œuvre la politique dans son intégralité.
Le Commissariat a également créé d’autres produits pour aider les entreprises à protéger les renseignements personnels de leur clientèle. Mentionnons notamment un outil d’autoévaluation assorti d’un guide de la conformité visant à réduire les risques d’atteinte à la protection des données et un manuel pour aider les entreprises à répondre aux atteintes à la vie privée.
De concert avec les commissaires à l’information et à la protection de la vie privée de l’Alberta et de la Colombie‑Britannique, le Commissariat a également produit deux ensembles de directives : le premier s’adresse aux entreprises du secteur privé qui envisagent l’installation de systèmes de vidéosurveillance, et le second explique aux détaillants pourquoi ils doivent faire preuve de prudence lorsqu’ils recueillent et conservent des renseignements à partir du permis de conduire des clients.
Nous avons également consulté diverses organisations — et reçu 15 mémoires formels — alors que nous élaborions des lignes directrices sur la vidéosurveillance secrète qui ont été publiées en 2009.
En 2008, nous préparions également des lignes directrices à l’intention des entreprises au sujet du traitement transfrontalier des données. Ces lignes directrices ont été publiées au début de l’année 2009.
Collaboration avec les provinces et les territoires
En 2008, nous avons accru de façon marquée la collaboration avec nos homologues de la Colombie-Britannique, de l’Alberta et du Québec, à savoir les provinces qui disposent de lois sur la protection des renseignements personnels à l’intention du secteur privé. Le Commissariat a publié au printemps dernier une déclaration d’intention, dans laquelle il énonçait la manière dont nous allions travailler avec les commissaires et ombudsmans provinciaux et territoriaux sur les dossiers liés à la protection de la vie privée.
À titre d’exemple, le document décrivait notre volonté de consulter les commissariats provinciaux et territoriaux dans certains domaines prioritaires tels que les projets de loi fédéraux ayant des répercussions importantes sur la collecte, l’utilisation ou la communication de renseignements personnels au sein d’une province ou d’un territoire.
Sous cette égide, nous avons conclu un protocole d’entente avec la Colombie-Britannique et l’Alberta pour aborder la manière dont collaboreront les commissaires qui se partagent une juridiction sur le secteur privé.
Nous avons également travaillé plus étroitement avec les provinces et les territoires sur plusieurs autres fronts, comme la sensibilisation, la conformité, les questions de politiques et l’application de la loi.
Dans le domaine de l’application de la loi, par exemple, tant les entreprises que leurs clients tirent profit d’une application uniforme. En unissant nos efforts, nous tirons également des avantages concrets tels que l’utilisation efficace et efficiente de nos ressources respectives.
Nous en avons eu un bon exemple avec l’affaire Ticketmaster Canada Ltd., une enquête parallèle menée par le Commissariat et le commissaire à l’information et à la protection de la vie privée de l’Alberta. Notre collaboration étroite a permis d’adopter une approche cohérente relativement à bon nombre de conclusions et recommandations. (Veuillez consulter la page 33 pour davantage de détails à ce sujet.)
L’année qui vient
Au moment où le présent rapport annuel va sous presse, nous pouvons anticiper les défis et occasions à venir.
Dans l’ensemble du Commissariat, nous poursuivrons nos efforts pour améliorer nos processus afin de résoudre les plaintes ou de faire enquête à leur propos, au moyen d’un nouveau système de gestion des cas et de l’élimination d’un arriéré de travail encore trop important.
Nous continuerons de surveiller les développements sur le front législatif et dans le monde qui nous entoure pour déterminer leurs répercussions sur la vie privée. Et nous continuerons de mettre à profit ce que nous avons appris en nous attaquant à des enjeux importants, complexes et parfois controversés.
En outre, nous maintiendrons le cap sur nos quatre priorités stratégiques, soit les technologies de l’information, l’intégrité de l’identité, les enjeux de sécurité nationale ayant une incidence sur la vie privée et les renseignements génétiques.
De plus, nous continuerons à tendre la main aux Canadiennes et Canadiens, qu’il s’agisse de particuliers, d’entreprises ou de groupes d’intervention, afin de promouvoir le respect de la vie privée.
La protection de la vie privée en chiffres en 2008
Le Commissariat à la protection de la vie privée du Canada en 2008
| Demandes liées à la LPRPDE reçues | 6 344 |
|---|---|
| Plaintes liées à la LPRPDE reçues | 422 |
| Enquêtes liées à la LPRPDE résolues | 412 |
| Avis juridiques préparés en vertu de la LPRPDE | 68 |
| Lois et projets de loi examinés sous l’angle de leurs effets sur la protection de la vie privée | 7 |
| Politiques et initiatives du secteur privé examinées | 24 |
| Documents d’orientation stratégique produits | 16 |
| Rapports de recherche produits | 22 |
| Témoignages faits devant des comités parlementaires | 4 |
| Autres activités menées auprès de parlementaires ou de leur personnel | 79 |
| Discours prononcés et présentations données | 86 |
| Intervenants externes reçus en visite officielle | 53 |
| Ententes de contribution établies | 10 |
| Contrats de recherche conclus | 7 |
| Visites enregistrées au site Web du Commissariat Visites enregistrées au blogue du Commissariat Total |
1 422 068 282 905 1 704 973 |
| Publications distribuées | 8 951 |
| Entrevues accordées aux médias | 282 |
| Communiqués et fiches d’information diffusés | 35 |
| Demandes en vertu de la Loi sur l’accès à l’information reçues | 26 |
| Demandes en vertu de la Loi sur l’accès à l’information résolues | 25 |
Enjeu clé : Vie privée des jeunes
Les changements dans les technologies et les habitudes de communication influent sur le développement des jeunes Canadiennes et Canadiens en tant que personnes et comme membres de la société dans son ensemble. Le Commissariat à la protection de la vie privée du Canada élabore actuellement des ressources et des outils novateurs destinés à aider les jeunes Canadiennes et Canadiens à faire face à cette transition tout en gardant le contrôle de leur identité.
En tant que Canadiennes et Canadiens, nous avons appris, au fil des générations, à intégrer la nouvelle technologie dans nos vies. Nous avons accueilli favorablement la suite apparemment sans fin de médias de plus en plus puissants et rapides, lesquels ont transmis davantage d’information, avec plus de détails, à un nombre sans cesse croissant de personnes au Canada et partout dans le monde.
Par le passé, les innovations comme le télégraphe, le téléphone et la télévision ont changé la manière dont les Canadiennes et Canadiens recevaient des renseignements de la part des organisations. Aujourd’hui, l’invention de l’ordinateur personnel, l’apparition du courriel et l’accès étendu au service Internet haute vitesse marquent un changement fondamental dans la collecte, la communication et le partage de renseignements par les personnes, les collectivités, les entreprises et les gouvernements.
Grâce au développement des applications sur Internet, les jeunes d’aujourd’hui constituent la première génération à avoir accès à des outils leur permettant de distribuer rapidement de l’information, à peu de frais et à de nombreuses personnes.
Ces outils ont beaucoup de fonctions — messagerie instantanée, réseaux sociaux, textos et partage de photos ou de vidéos — et sont offert sous un grand nombre de marques nominales. Les jeunes Canadiennes et Canadiens peuvent maintenant partager facilement leurs expériences et leurs renseignements personnels avec leurs meilleurs amis, leurs compagnons de classe, leur famille et de plus vastes groupes au sein de la collectivité ou du monde entier. Ainsi motivés, certains d’entre eux se sont ralliés autour de questions sociales et économiques, diffusent des opinions personnelles ou politiques et ont joint des groupes activistes.
La relation entre les consommateurs canadiens et les entreprises subit aussi des changements. Les médias de masse, comme la télévision et les journaux, ont vu leur marché se fragmenter à mesure que les Canadiennes et les Canadiens découvrent qu’ils peuvent consulter d’innombrables sources d’information. Entreprises et spécialistes du marketing doivent désormais redoubler d’efforts afin de trouver leur marché cible et, à plus forte raison, d’attirer l’attention assez longtemps pour conclure une vente.
Cette détermination de la cible peut désormais se fonder sur des données démographiques, des historiques d’achats, des préférences en matière de produits et d’attributs révélées par une étude de marché ou encore par l’observation du comportement en ligne.
Les entreprises cherchent à multiplier les occasions d’interagir avec les consommateurs de tous âges dans le but d’accumuler et d’analyser les renseignements essentiels à leur succès continu. Au Canada, les frontières entre la collecte raisonnable d’information commerciale et l’intrusion dans la vie privée sont encore en voie d’être établies.
Par conséquent, cette jeune génération de Canadiennes et de Canadiens possède les moyens d’exercer une plus grande influence et de marquer plus profondément la société que toutes celles qui l’ont précédée.
Pour paraphraser le Cluetrain Manifesto, une analyse novatrice du développement des relations et de l’identité en ligne, les conversations générées par les jeunes Canadiennes et Canadiens peuvent sembler confuses et créer de la confusion. Toutefois, ces derniers disposent de meilleurs outils, ont plus de nouvelles idées et ne sont régis par aucune règle absolue pour les ralentirNote de bas de page 1.
Cet environnement en mutation perpétuelle représente un défi colossal pour ces jeunes qui luttent déjà pour comprendre leur milieu, déterminer leurs propres qualités et préférences personnelles et façonner leur identité.
Les membres de la jeune génération vivent également les mêmes expériences formatives que leurs prédécesseurs — leurs amis, leurs condisciples, leurs groupes communautaires et leurs normes sociales continuent d’influer sur le façonnement de leurs identités. Aujourd’hui, par contre, toutes ces influences sont plus étroitement liées en raison de ces nouveaux outils.
Entre‑temps, les jeunes Canadiennes et Canadiens tentent de développer les compétences sociales et les capacités cognitives visant à mesurer et à gérer la façon dont ils interagissent avec la société en général. L’arrivée de ces nouveaux outils pourrait accélérer leur passage à l’âge adulte.
La réputée sociologue et chercheuse danah boyd a remarqué que la plupart des adolescents utilisent des médias sociaux sans parfaitement comprendre la dynamique ou la structure sous‑jacente. Selon elle, le simple fait qu’ils comprennent comment se servir de cette technologie ne signifie pas qu’ils saisissent l’écologie de l’information qui l’entoure. La majorité d’entre eux n’ont pas les outils nécessaires pour réfléchir à leurs pratiques en matière d’informationNote de bas de page 2.
Il s’agit d’un point important pour le Commissariat. En effet, un nombre croissant de jeunes Canadiennes et Canadiens se lient activement avec leurs amis dans le monde virtuel, mais peuvent ne pas avoir le temps, les ressources ou l’envie d’évaluer les conséquences qu’entraîne la façon dont ils partagent des renseignements, opinions ou potins.
Il ne s’agit pas d’une mise en garde contre l’utilisation des nouvelles technologies ou l’intégration de nouveaux outils dans les activités de tous les jours; après tout, ces outils sont tellement présents dans tous les médias qu’ils font maintenant partie de la vie des jeunes comme des plus vieux.
Il faut plutôt reconnaître que ces jeunes Canadiennes et Canadiens ont besoin d’aide pour établir des pratiques appropriées de gestion de l’information, des moyens pour veiller à ce que leurs renseignements personnels soient recueillis par des organismes uniquement avec leur permission, diffusés selon leurs souhaits et utilisés seulement aux fins auxquelles ils ont consenti.
Dans la pratique, les jeunes Canadiennes et Canadiens perçoivent leurs renseignements personnels comme une composante de leur identité individuelle parmi d’autres. Cette identité est exprimée par leur interaction avec leurs groupes d’amis ou leurs compagnons de classe.
Leslie Regan Shade, professeure à l’Université Concordia de Montréal, a constaté que si les jeunes se préoccupent de leurs renseignements personnels et de leur vie privée, c’est dans le contexte de leurs relations : ils veulent contrôler leur image et la façon dont leurs pairs et les autres les perçoiventNote de bas de page 3.
Une recherche réalisée par l’Université Ryerson de Toronto, dans le cadre du Programme des contributions du Commissariat, a confirmé cette observation et révélé que les attentes des étudiants universitaires en matière de vie privée se fondaient non pas sur leur sentiment d’autonomie, mais plutôt sur leur sentiment de réputation et de dignité; lorsqu’ils jugent que leur vie privée est menacée, c’est plutôt leur réputation, leur dignité, leur personne ou leur identité en ligne qui est en causeNote de bas de page 4.
La génération de Canadiennes et de Canadiens qui a grandi dans un environnement où la puissance informatique est facilement accessible et où Internet est toujours présent commence à peine à constater les conséquences de vivre sa vie en ligne.
Des étudiants ont été réprimandés par leur université pour avoir utilisé les réseaux sociaux en ligne afin de partager leurs devoirs. Des jeunes Canadiennes et Canadiens ont été licenciés après que leur employeur a trouvé, dans leur profil d’un réseau social en ligne, des commentaires indiscrets ou des photos inappropriées prises au travail.
En effet, les jeunes Canadiennes et Canadiens apprennent par expérience à contrôler la façon dont leur identité personnelle est présentée et perçue.
Le défi du Commissariat consiste à élaborer des outils et des ressources documentaires qui soutiennent ce processus d’apprentissage naturel et favorisent un comportement positif en matière de protection de la vie privée chez les consommateurs et les entreprises.
Les enquêtes menées en vertu de la LPRPDE continuent de fournir de solides exemples de la façon dont les principes de gestion de l’information devraient être appliqués dans les situations d’intérêt pour les jeunes Canadiennes et Canadiens. Par exemple, en 2008, nous avons amorcé des enquêtes relatives à des plaintes d’usurpation d’identité sur un réseau social de même qu’à une plainte très publicisée concernant les pratiques de Facebook, un important site de réseautage social, en matière de protection des renseignements personnels.
Nous avons également collaboré avec nos homologues des États‑Unis et de l’Europe pour comprendre les répercussions de l’accroissement de la collecte de données, du forage des données et de la publicité comportementale sur la protection de la vie privée. Ces travaux serviront éventuellement à informer et à guider les jeunes Canadiennes et Canadiens dans leurs interactions avec les entreprises, en ligne ou hors ligne.
Le Commissariat a présenté à deux reprises des résolutions conjointes demandant de meilleurs outils, ressources et lois pour protéger la vie privée des jeunes : une première fois lors d’une réunion des commissaires et ombudsmans à la protection de la vie privée des échelons fédéral, provincial et territorial à Victoria en février 2008, et une deuxième fois en octobre dans le cadre de la Conférence internationale des commissaires à la protection des données et de la vie privée à Strasbourg (France).
Au cours de la dernière année, nous avons également élargi la portée de nos activités de sensibilisation du public en présentant des outils et des ressources utiles pour les jeunes Canadiennes et Canadiens de 6 à 25 ans.
Le site viepriveedesjeunes.ca, une ressource vouée aux jeunes Canadiennes et Canadiens, à leurs parents et à leurs professeurs, constitue le point d’ancrage de ces initiatives. Ce site Web autonome présente un guide pratique sur la façon de discuter des questions de protection de la vie privée avec les jeunes Canadiennes et Canadiens, un jeu‑questionnaire interactif et facilement mis à jour sur la protection de la vie privée, un blogue destiné aux jeunes de même que les vidéos gagnantes du concours national de vidéo de 2008, « Ma vie privée et moi ».
Le Commissariat poursuit sa collaboration avec les universitaires et les organisations sans but lucratif afin d’élaborer du matériel sur la vie privée des jeunes en fonction de l’âge. Nous avons chargé le Réseau Éducation‑Médias de concevoir des modules pouvant s’intégrer facilement aux plans de leçons et aux programmes d’enseignement des élèves de la 7e à la 12e annéeNote de bas de page 5. Le Réseau a également obtenu du financement en vertu du programme des contributions du Commissariat afin de mettre à jour son programme de sensibilisation intitulé « Jeunes à vendre : marketing en ligne et protection de la vie privée », qui avait été bien accueilliNote de bas de page 6.
Au cours de la prochaine année, nous déterminerons les activités que nous présenterons en collaboration avec d’autres organisations qui travaillent directement auprès des jeunes, particulièrement dans les domaines comme l’entreprenariat, les connaissances financières, la consommation et la société civile.
Nous puisons notre inspiration pour ces activités de sensibilisation du public dans les efforts déployés par nos collègues des commissariats à la protection de la vie privée de l’Ontario, de l’Alberta, du Manitoba et du Québec, de même que dans les initiatives lancées par les bureaux de la protection des données du Royaume‑Uni, de la Suède, de Hong Kong, de l’Irlande, de l’Espagne et de l’Australie. Nous continuons d’examiner les possibilités de collaboration à de prochaines initiatives de sensibilisation du public.
Répondre à la population canadienne : Enquêtes sur les plaintes et demandes de renseignements
Des imposteurs traquent le cyberespace
Il semble bien que les imposteurs en ligne ne se limitent pas qu’à traquer les gens riches et célèbres.
Dans une affaire qui a fait l’objet d’une enquête en 2008, un individu a utilisé le nom, les renseignements personnels et la photo d’un homme sans histoire, marié et père de deux filles pour créer un compte bidon sur un site de réseautage social.
Se faisant passer pour le père, l’imposteur a ensuite dupé les filles afin qu’elles l’ajoutent parmi leurs « amis », pour ensuite accéder à leurs renseignements personnels.
Assez rapidement, il s’est mis à harceler les filles par des messages et des courriels menaçants et obscènes. Les victimes se sont rapidement rendu compte qu’elles avaient été piégées et ont demandé au site de réseautage social de supprimer le compte en question.
On peut tirer de ce canular de sérieuses leçons sur l’importance d’établir des contrôles rigoureux pour protéger sa vie privée sur les sites de réseautage social. Les mesures de contrôle n’arrêteront pas les imposteurs, mais elles peuvent limiter l’accès de ces derniers aux renseignements personnels de leurs victimes.
Pour la Direction des enquêtes et des demandes de renseignements, l’année 2008 a été une période de défis et de transition.
Nous avons examiné des situations qui se trouvaient aux limites mêmes des lois sur la protection de la vie privée. En fait, les technologies telles que l’inspection approfondie des paquets et les nouvelles applications de réseautage social constituaient un territoire vierge pour les autorités de la protection de la vie privée, et travailler à l’élaboration de conclusions qui résisteraient à l’épreuve du temps donnait parfois l’impression d’enfoncer un piquet dans des sables mouvants.
Néanmoins, nous avons pris en compte certains dossiers importants qui continueront de toucher la vie des Canadiennes et Canadiens pour des années à venir.
Comme nous l’expliquons plus en détail dans le présent chapitre, nous avons été témoin des répercussions envahissantes de la technologie sur la protection de la vie privée, la gestion de l’identité et la collecte de quantités excessives de renseignements personnels.
Demandes de renseignements
L’unité des demandes de renseignements est le premier point de contact du Commissariat avec les Canadiennes et Canadiens. En 2008, nous avons reçu 6 344 nouvelles demandes de renseignements sur des enjeux visés par la LPRPDE, soit une moyenne de plus de 500 par mois. Cela représente une diminution de 17 % par rapport aux 7 636 demandes de renseignements reçues en 2007.
Nous avons remarqué que l’utilisation en apparence malveillante du numéro d’assurance sociale et la perte ou le vol de renseignements personnels pouvant donner lieu au vol d’identité sont des préoccupations courantes. Certaines personnes nous ont également fait part de problèmes liés aux renseignements personnels que des organisations détenaient à leur sujet : il est parfois difficile d’y avoir accès; parfois, cela prend trop de temps. Nous avons également reçu de nombreux appels au sujet d’une pratique en vigueur dans l’industrie de l’assurance selon laquelle on peut obtenir une prime réduite en échange d’une vérification de la solvabilité.
Un sondage révèle une diminution des mesures de protection de la vie privée
Selon les résultats d’une recherche d’opinion publique menée pour le compte du Commissariat au début de 2009, seulement 12 % des 2 028 répondants avaient le sentiment que les entreprises prenaient « très au sérieux » leur obligation de protéger les renseignements personnels des consommateurs.
Qui plus est, près de 9 personnes sur 10 (87 %) craignaient que le durcissement de la situation économique ne mène les entreprises à réduire les dépenses liées aux mesures de protection des renseignements personnels. En fait, 6 personnes sur 10 avaient le sentiment que leurs renseignements personnels étaient moins bien protégés qu’il y a 10 ans.
Les Associés de recherche EKOS inc., mars 2009
Environ 83 % de toutes les demandes de renseignements de l’année dernière nous sont parvenues par téléphone; les autres ont été acheminées par télécopieur ou par la poste. Cela est sans doute attribuable au fait que nous avons grandement publicisé nos numéros de téléphone et informé les Canadiennes et Canadiens que nous n’acceptions pas les plaintes ou les demandes de renseignements expédiées par courriel.
En tout, nous avons mené à terme 6 234 demandes de renseignements sur des enjeux visés par la LPRPDE en 2008.
Environ la moitié (51 %) des demandes de renseignements portaient sur des enjeux visés par la LPRPDE, alors que 27 % portaient sur des enjeux visés par la Loi sur la protection des renseignements personnels et environ 22 % étaient des demandes de renseignement généraux.
L’une des approches que nous avons fait valoir au cours de la dernière année consistait à aider les gens à s’aider eux‑mêmes. Lorsque les gens nous consultent pour un problème, nous les encourageons à s’adresser d’abord directement à l’organisation, et nous les aidons à déterminer la meilleure manière de le faire. Dans cet ordre d’idées, nous conservons dans une banque de données les coordonnées des agents responsables de la protection de la vie privée au sein de plusieurs organisations.
Ainsi, les organisations ont l’occasion de répondre aux préoccupations de leurs clients avant que nous ne devions jouer un rôle formel. Ce faisant, les problèmes se règlent en général de manière rapide, avant qu’ils ne fassent indûment l’objet de plaintes officielles.
Plaintes
En 2008, nous avons reçu 422 nouvelles plaintes liées à la LPRPDE pour enquête, ce qui a mis fin à une tendance à la baisse qui durait depuis plusieurs années. En 2007, nous en avions reçu 350, soit moins de la moitié des 723 plaintes consignées en 2004.
Étant donné notre arriéré de plaintes, toutefois, notre charge de travail demeure aussi importante que jamais.
Parmi les plaintes que nous avons reçues en 2008, plus de 6 sur 10 avaient trait à la collecte, à l’utilisation ou à la communication de renseignements personnels de la part de compagnies assujetties à la LPRPDE.
Est-ce que le couplage de données crée des renseignements personnels?
Au cours d’une enquête terminée en 2008, nous avons examiné si le fait de combiner des renseignements publics sur les quartiers à des renseignements personnels diffusés dans des annuaires téléphoniques crée une nouvelle catégorie de renseignements personnels susceptibles d’être protégés en vertu de la LPRPDE.
La plainte a été déposée contre une entreprise qui combinait des données géographiques et démographiques anonymes de Statistique Canada à des renseignements figurant dans les pages blanches, comme le nom et l’adresse, afin de créer des listes pouvant être vendues à des agents de vente directe et à d’autres clients.
Le plaignant soutenait que les listes de consommateurs ainsi créées constituent des renseignements personnels, ce qui signifie que l’entreprise devrait obtenir le consentement des personnes concernées pour que leurs renseignements puissent être inclus dans la liste et vendus.
La commissaire adjointe n’était pas d’accord. Elle a conclu que tous les renseignements figurant dans les listes de consommateurs provenaient de sources publiques, et que le fait de les classer en fonction de critères géographiques et démographiques ne transformait pas ces renseignements personnels publics en des renseignements personnels privés qui exigent l’obtention d’un consentement.
La commissaire adjointe a indiqué qu’étant donné qu’aucun renseignement concernant des personnes identifiables n’a été créé, ces renseignements ne nécessitent pas l’obtention d’un consentement pour leur utilisation à des fins commerciales. Toutefois, elle a ajouté que cette conclusion, formulée dans le cadre d’une affaire précise, ne s’applique pas nécessairement à tous les processus de couplage de données.
En 2008, nous avons réglé 412 plaintes, comparativement à 420 l’année précédente.
Il n’y a aucune tendance surprenante dans les types de plaintes que nous recevons, mais certains schémas se sont manifestés avec constance au cours des cinq dernières années.
À titre d’exemple, bien que le nombre de plaintes contre les banques affiche un recul marqué (chutant de 145 en 2004 à 40 en 2008), les institutions financières en général se taillent la part du lion. En fait, entre 22 % et 30 % de toutes les plaintes sur lesquelles nous faisons annuellement enquête sont portées contre cette industrie, qui inclut également les agences de recouvrement, les fournisseurs de crédit et les conseillers financiers.
L’une des explications est l’incroyable volume de transactions effectuées par les banques tous les jours, chacune d’entre elles impliquant des renseignements personnels très sensibles. Les Canadiennes et Canadiens ont raison de vouloir que ces renseignements soient protégés, particulièrement si l’on tient compte de leur valeur pour les fraudeurs et les voleurs.
Ces dernières années, le secteur des télécommunications s’est classé au deuxième rang, loin derrière l’industrie financière, avec environ la moitié des plaintes de cette dernière. Il est suivi de près par les ventes. Encore une fois, les volumes de transactions observés dans ces secteurs représentent l’explication la plus probable de ces tendances.
En 2008, l’industrie de l’assurance s’emparait toutefois de la deuxième place, engendrant 71 plaintes, c’est‑à‑dire 17 % du total. La plupart avaient trait soit aux difficultés qu’éprouvaient les plaignants d’accéder à leurs renseignements personnels détenus par l’industrie, soit à des questions liées à l’utilisation et à la communication des renseignements.
La raison de cette augmentation n’est pas encore apparente, et nous ignorons si elle se poursuivra à l’avenir. Toutefois, nos enquêteurs ont remarqué que certains plaignants utilisaient la LPRPDE comme outil pour promouvoir leurs intérêts dans les différends avec leurs assureurs au chapitre des réclamations, ce qui représente une utilisation parallèle légitime de la Loi.
Certaines plaintes avaient également trait aux techniques auxquelles ont recours les experts en sinistres pour évaluer ou corroborer les réclamations.
Parmi ces techniques, on retrouve la vidéosurveillance secrète, qui est généralement faite par un enquêteur privé suivant une personne ciblée et capturant l’image de cette dernière. À l’automne 2008, eu égard au nombre de plaintes que nous avions reçu jusque-là au sujet de cette pratique, nous avons cru bon d’élaborer des lignes directrices sur la vidéosurveillance secrète pour le bénéfice de l’industrie. Nous avons lancé un processus de consultation sur une version préliminaire de ces lignes directrices affichée sur notre site Web. Nous avons reçu des mémoires de 15 parties intéressées, qui représentaient soit des enquêteurs privés, des syndicats ou encore des employeurs. La version finale des lignes directrices a été publiée en 2009.
Le Commissariat souhaite vivement continuer de collaborer avec les associations industrielles afin de régler certains des enjeux qui sont survenus dans le cadre de nos enquêtes.
Plaintes reçues, par secteur industriel*
| Secteur | 2008 | 2007 | 2006 | 2005 | 2004 |
|---|---|---|---|---|---|
| Institutions financières | 93 | 105 | 108 | 113 | 212 |
| Assurance | 71 | 35 | 51 | 60 | 82 |
| Vente | 63 | 37 | 58 | 44 | 82 |
| Télécommunications | 63 | 42 | 55 | 55 | 125 |
| Transport | 38 | 28 | 37 | 39 | 67 |
| Services professionnels | 32 | 26 | 11 | 13 | 15 |
| Services | 21 | 6 | 7 | 2 | 10 |
| Hébergement | 15 | 21 | 29 | 17 | 18 |
| Autre | 10 | 39 | 56 | 52 | 76 |
| Santé | 9 | 9 | 7 | 4 | 36 |
| Location | 6 | 2 | 5 | 1 | 0 |
*Les définitions des secteurs industriels se trouvent à la page 30.
Plaintes reçues, par type de plainte*
| Type de plainte | 2008 | 2007 | 2006 | 2005 | 2004 |
|---|---|---|---|---|---|
| Utilisation et communication | 162 | 120 | 153 | 143 | 286 |
| Collecte | 93 | 68 | 75 | 68 | 172 |
| Accès | 73 | 67 | 84 | 80 | 112 |
| Mesures de sécurité | 30 | 36 | 34 | 34 | 40 |
| Consentement | 24 | 16 | 13 | 21 | 37 |
| Délais | 11 | 13 | 17 | 18 | 9 |
| Responsabilité | 8 | 8 | 11 | 10 | 9 |
| Exactitude | 8 | 7 | 11 | 5 | 22 |
| Correction/Annotation | 5 | 3 | 8 | 5 | 11 |
| Transparence | 3 | 4 | 1 | 8 | 2 |
| Possibilité de porter plainte | 2 | 0 | 3 | 1 | 1 |
| Autre | 2 | 0 | 0 | 1 | 4 |
| Frais | 1 | 1 | 3 | 3 | 12 |
| Conservation | 0 | 7 | 11 | 3 | 6 |
*Les définitions des termes utilisés se trouvent à l’annexe 1.
Répartition par secteur industriel
Plaintes reçues entre le 1er janvier et le 31 décembre 2008
| Nombre | Pourcentage | |
|---|---|---|
| Institutions financières | 93 | 22 |
| Assurance | 71 | 17 |
| Ventes | 63 | 15 |
| Télécommunications | 63 | 15 |
| Transport | 38 | 9 |
| Services professionnels | 33 | 8 |
| Services | 21 | 5 |
| Hébergement | 15 | 4 |
| Autre | 10 | 2 |
| Santé | 9 | 2 |
| Location | 6 | 1 |
| Total | 422 | |
Secteurs industriels
Institutions financières : banques, agences de recouvrement, agences d’évaluation du crédit, fournisseurs de crédit, conseillers financiers
Assurance : assurance-vie, assurance-maladie, assurance de biens, assurance risques divers
Télécommunications : radiotélévision, cable ou satellite, télécommunicateurs, télécommunicateurs sans fil, service Internet
Ventes : concessionnaires automobiles, pharmacies, immobilier, commerce de détail, magasins
Transport : aérien, terrestre, ferroviaire, par eau
Services professionnels : comptables, avocats
Services : garderies, salons de coiffure, salons de beauté
Hébergement : hôtels, locateurs, condominiums, gestion immobilière
Autre : par exemple, écoles privées, bandes autochtones, entreprises de sécurité et enquêteurs privés
Santé : chiropraticiens, dentistes, médecins, physiothérapeutes, psychologues et psychiatres
Location : location de voitures, location d’autres biens
Plaintes à l’égard de la technologie
La technologie peut être libératrice ou asservissante, réconfortante ou contrariante. Pour la plupart des gens, toutefois, elle est une réalité incontournable.
Il n’est donc pas surprenant que bon nombre de nos enquêtes portaient sur certains aspects de la technologie et leurs répercussions sur la protection de la vie privée et la sécurité des renseignements personnels.
Ainsi, l’une de nos enquêtes concernait l’impartition par Canwest Publishing Inc. de son service de courriel Canada.com à une compagnie américaine. Notre enquête nous a appris que Canwest s’était conformée à ses obligations en vertu de la LPRPDE en informant adéquatement les abonnés canadiens du service de courriel, nouveaux et existants, de son intention de transférer leurs données à l’étranger, de sorte qu’ils avaient la possibilité d’accepter ou de rejeter les modalités de service.
Cependant, nous avons également remarqué que les données, une fois transférées, allaient être assujetties aux lois américaines, qui obligeraient la compagnie américaine à communiquer aux autorités américaines les renseignements qu’elle détenait. Nous avons recommandé que les organisations fassent preuve de transparence dans tous les aspects de leurs pratiques de gestion des renseignements personnels.
Le risque de perdre des renseignements personnels en cas d’atteinte à la sécurité des données a toujours existé, mais la technologie a facilité la collecte, le stockage — et, à l’occasion, la perte — de renseignements personnels. La mémoire informatique étant peu coûteuse et abondante, la technologie a également accru les risques que les fuites de données, lorsqu’elles surviennent, soient d’une ampleur spectaculaire. Nous aborderons plus loin dans le présent chapitre des cas de ce genre.
En même temps, la Clinique d’intérêt public et de politique d’Internet du Canada (CIPPIC) de l’Université d’Ottawa a soulevé en 2008 deux cas liés à la technologie qui ont retenu notre attention.
Dans un premier cas, la CIPPIC nous a demandé de faire enquête pour déterminer si Facebook, le populaire site de réseautage social, allait à l’encontre de la LPRPDE, notamment en n’informant pas les membres de la manière dont leurs renseignements personnels sont communiqués à des tiers à des fins publicitaires.
La CIPPIC nous a également demandé d’examiner la pratique d’inspection approfondie des paquets, qui donne aux fournisseurs de service Internet la capacité technique de recueillir des données sur les utilisateurs en ligne.
Depuis plusieurs années déjà, on se sert de l’inspection approfondie des paquets pour maintenir l’intégrité et la sécurité des réseaux, en étant à l’affût de la non-conformité au protocole, des virus, des programmes malveillants, du pourriel et d’autres menaces. Cette technologie soulève des enjeux relatifs à la vie privée puisqu’elle peut servir à inspecter de l’information transmise d’un utilisateur à un autre.
Cette technologie pourrait donner aux fournisseurs de service Internet et à d’autres organisations un accès élargi à une vaste quantité de renseignements personnels transmis en ligne, dans le but de :
- cibler des messages publicitaires selon le comportement en ligne des utilisateurs;
- balayer le trafic à la recherche de contenu indésirable ou illégal, comme la distribution non autorisée de matériel protégé par le droit d’auteur ou la diffusion de matériel obscène ou haineux;
- capturer et enregistrer des paquets dans le cadre d’une surveillance liée à la sécurité nationale ou à une enquête criminelle;
- mesurer le trafic pour évaluer la performance du réseau et prévoir des investissements matériels.
Nos conclusions sur l’affaire Facebook et sur l’inspection approfondie des paquets devraient paraître en 2009.
Plaintes relatives à la gestion de l’identité
L’une des questions qui a préoccupé le Commissariat pendant un certain temps est l’utilisation arbitraire de pièces d’identité avec photo à des fins autres que celles prévues au départ. À titre d’exemple, nous avons souvent reçu des plaintes concernant des détaillants qui demandent aux consommateurs de présenter leur permis de conduire lorsqu’ils rapportent de la marchandise sans reçu.
Un permis de conduire contient beaucoup de renseignements personnels, y compris le nom, la photo, l’âge, l’adresse et le sexe du détenteur. Comme de tels renseignements sont d’un grand intérêt pour les fraudeurs, le permis de conduire devrait essentiellement servir aux responsables de l’application de la loi à confirmer que le détenteur a la permission de conduire.
En 2008, nous avons fait enquête auprès d’une importante chaîne d’articles de décoration intérieure qui consignait et conservait les renseignements figurant sur le permis de conduire de certains clients. Nous avons recommandé à l’organisation qu’elle laisse tomber cette pratique pour de bon et qu’elle supprime tous les numéros liés à des cartes d’identité avec photo stockés dans ses bases de données. En accord avec nos recommandations, la compagnie avait, en novembre, épuré ces dossiers de ces données.
Par contre, les choses n’ont pas été aussi faciles dans un autre cas impliquant une grande chaîne de location de vidéo. En réponse à une plainte antérieure reçue par le Commissariat, la compagnie avait accepté de ne plus recueillir les renseignements affichés sur le permis de conduire de ses clients. Cependant, en 2008, elle avait repris cette pratique, ce qui a amené la commissaire à lancer une enquête. Cette enquête devrait être terminée au cours de l’année 2009.
Comme l’utilisation malveillante de pièces d’identité avec photo est devenue un problème généralisé, le Commissariat a joint ses efforts à ceux des commissariats de l’Alberta et de la Colombie‑Britannique pour élaborer un document d’orientation visant à informer les détaillants des solutions de rechange viables à la collecte des renseignements figurant sur le permis de conduire.
Autres cas d’intérêt en 2008
Ticketmaster Canada Ltd.
En avril 2008, la commissaire à la protection de la vie privée du Canada et le commissaire à l’information et à la protection de la vie privée de l’Alberta ont complété des enquêtes parallèles sur les pratiques de collecte et de communication de renseignements de Ticketmaster Canada Ltd., un important fournisseur de billets en ligne.
Nous avons constaté que la politique de la compagnie en matière de protection de la vie privée telle qu’elle était diffusée était trop longue et difficile à comprendre. Qui plus est, les clients en ligne devaient consentir à ce qu’on utilise leurs renseignements personnels à des fins de marketing pour pouvoir acheter un billet, ce qui est manifestement contraire à la LPRPDE.
Les préoccupations soulevées dans le cadre de cette enquête ont été résolues au Canada. Ticketmaster a accepté de donner aux clients le choix de recevoir ou non des messages promotionnels de la part de Ticketmaster et d’organisateurs d’événements. Les clients en ligne sont pleinement informés et ont l’occasion de s’inscrire afin de recevoir des messages promotionnels de la part des organisateurs d’événements en cochant une case avant de payer leurs billets.
Toutefois, les bureaux de Ticketmaster situés aux États-Unis n’ont pas donné à leurs clients la possibilité de refuser le matériel de marketing.
Law School Admission Council
En mai, nous avons publié les conclusions de notre enquête sur la plainte d’une personne qui s’opposait à ce qu’on oblige les étudiants inscrits dans les universités canadiennes à faire prendre leurs empreintes digitales pour passer le test d’admission à la faculté de droit (LSAT).
Le Law School Admission Council, le concepteur du test dont les bureaux se trouvent aux États‑Unis, a déclaré que la collecte des empreintes du pouce servait à éviter que des spécialistes soient payés pour passer le test à la place de quelqu’un d’autre.
Le Commissariat a accueilli la plainte pour la raison que la prise des empreintes digitales ne répondait pas adéquatement à l’objectif visé, soit de décourager les imposteurs. Eu égard à la difficulté d’apparier scientifiquement des empreintes digitales, il est beaucoup plus facile de comparer à l’œil nu une photo et un candidat, ou une photo et une image du candidat disponible à grande échelle. En conséquence, il pourrait être beaucoup plus facile d’identifier et de capturer les tricheurs après coup, ce qui améliore en retour l’effet de dissuasion. De toute façon, les empreintes n’ont jamais servi à l’objectif visé. Nous en avons conclu que l’empiètement sur la vie privée était supérieur aux avantages obtenus.
Le Conseil a accepté de laisser tomber l’obligation de prendre des empreintes digitales au Canada, tout en indiquant qu’il se mettrait plutôt à recueillir les photos de ceux qui passent le test. Nous avons conclu que la collecte de photos était moins envahissante sur le plan de la vie privée et que, dans le cas présent, elle ne contrevenait pas à la LPRPDE.
Canad Corporation of Manitoba Ltd. (Canad Inns)
Cette affaire portait sur la collecte de renseignements personnels au sujet des clients d’un bar par l’entremise d’un enregistreur de pièces d’identité qui recueille et conserve les renseignements figurant au recto d’une carte d’identité.
Une femme a déposé une plainte au Commissariat contre la Canad Corporation of Manitoba Ltd., alléguant que, à titre de cliente du bar d’un hôtel Canad Inns, ses renseignements personnels avaient été recueillis et conservés de manière inappropriée.
Notre enquête a révélé que les employés du bar avaient inséré son permis de conduire dans un enregistreur qui avait photocopié et conservé l’information qui se trouvait sur le document.
Dans un rapport préliminaire, la commissaire adjointe à la vie privée a conclu que les enregistreurs conservaient plus de renseignements qu’il n’est nécessaire pour l’atteinte des buts visés de vérification de l’âge des clients et de sécurité. Le rapport recommandait que Canad Inns cesse de recueillir et de conserver ainsi des renseignements personnels, et détruise les renseignements personnels recueillis auprès des clients qui se trouvent dans les enregistreurs de pièces d’identité.
Canad Inns s’est dite en désaccord avec ces recommandations. Avec le consentement de la plaignante, nous avons demandé une audience à la Cour fédérale afin de faire respecter nos recommandations.
Au début de 2009, une médiation a été ordonnée par la cour dans cette affaire, mais la cause est demeurée tout de même devant la Cour fédérale. Canad Inns s’est vu accorder une période de temps pour établir des moyens de limiter la quantité de renseignements personnels qu’elle recueille. L’entreprise devait présenter un résumé des mesures proposées par voie d’affidavit. Le Commissariat examinera alors ces propositions et demandera une conférence de gestion des cas afin de déterminer les prochaines étapes.
Atteintes à la protection des données
Dans notre dernier rapport annuel sur la LPRPDE, nous considérions l’année 2007 comme celle de l’atteinte à la protection des données. Cette année, nous pouvons relater nombre d’initiatives que nous avons entreprises en 2008 pour aider à pallier ce problème sérieux.
Par atteinte à la protection des données, on entend un incident impliquant une perte de données, un accès non autorisé ou une communication de données à la suite d’une atteinte aux mesures de sécurité d’une organisation. Elle peut impliquer un seul client ou des milliers, comme dans une situation où il y a perte ou vol de disques d’ordinateur.
Mais quelle que soit l’ampleur de l’incident, les conséquences peuvent être désastreuses. Les renseignements personnels qui tombent entre de mauvaises mains peuvent faire l’objet de bien des formes d’utilisation malveillante, depuis les achats frauduleux placés sur des cartes de crédit au vol et à l’usurpation d’identité.
Miser sur la formation des employés
En décembre 2006, un employé de la CIBC à Montréal a expédié par messagerie un colis au centre de traitement informatique de la banque à Markham (Ontario). Dans le colis devait se trouver un lecteur portable contenant les fichiers de 470 752 clients des fonds communs de placement Talvest, une filiale de la banque.
Le colis est arrivé deux jours plus tard, mais il était vide. À ce jour, on n’a pas réussi à retrouver le lecteur, et personne ne sait trop ce qui est arrivé aux données.
L’incident a amené la commissaire à lancer une enquête sur des enjeux tels que le cryptage des données, la responsabilité technique et la supervision dans le cadre du transfert de données, et les processus d’avis en cas d’atteinte à la protection des données.
Dans ses conclusions présentées en novembre 2008, la commissaire adjointe a indiqué que, s’il est indispensable pour les entreprises d’appliquer de solides politiques de protection de la vie privée, il faut étayer le tout par une formation continue des employés.
La fuite de données peut être accidentelle ou délibérée.
Nous avons analysé les atteintes à la protection des données qui se sont produites dans le secteur privé qui nous ont été signalées entre 2006 et 2008. Nous avons constaté que le nombre d’incidents qui nous étaient rapportés avait plus que doublé, passant de 23 en 2006 à 48 en 2007, l’année même où le Commissariat publiait, à l’intention des entreprises, une liste de contrôle des atteintes à la vie privée. En 2008, on a relevé 65 incidents.
Nous encourageons les organismes à nous signaler les fuites, principalement afin que nous puissions mieux comprendre comment ces dernières ont lieu et comment elles peuvent être évitées à l’avenir.
Notre analyse a porté sur 114 atteintes à la protection des données pour lesquelles le dossier est réglé. (Les enquêtes en cours n’ont pas été incluses dans cette analyse.)
Nous avons réparti les atteintes entre quatre types d’incident : accès, utilisation ou communication sans autorisation; communication accidentelle; vol; perte.
Accès, utilisation ou communication sans autorisation
Nous avons déterminé que l’accès, l’utilisation ou la communication sans autorisation représentait le type d’incident le plus fréquent, soit 36 % de l’ensemble des atteintes qui nous ont été signalées. L’accès, l’utilisation ou la communication sans autorisation a lieu lorsqu’une personne accède à des renseignements personnels, les utilise ou les communique (habituellement avec une intention malveillante) sans être autorisée à le faire. En outre, dans plus des deux tiers des cas, le coupable était un employé sans scrupule soit de l’organisation victime de l’atteinte ou d’un tiers fournisseur de services. La plupart des atteintes étaient motivées par la fraude.
Communication accidentelle
Tout effacer
Il n’est pas nécessaire qu’une atteinte à la protection des renseignements personnels soit spectaculaire pour être traumatisante. La meilleure preuve qu’on puisse en fournir s’observe dans la revente de produits technologiques.
Dans un scénario type, une personne achète un appareil de communication sans fil et y introduit certains noms et d’autres renseignements personnels. Toutefois, elle se rend compte que l’appareil ne lui convient pas et le retourne.
Bien que la mémoire de l’appareil aurait dû en principe être effacée, bon nombre d’enquêtes nous ont révélé que le processus en cause ne fonctionnait pas toujours ou encore qu’il fonctionnait à moitié. L’appareil vendu à un autre client contenait donc des renseignements compromettants pour la vie privée du propriétaire original.
Les enquêtes nous ont également appris que tous les types d’équipement, depuis les téléphones aux ordinateurs en passant par les imprimantes et les caméras, contiennent une mémoire qu’il faut vider avant la revente. Les détaillants comme les fabricants sont tenus de s’assurer que la chose se fasse adéquatement.
Le deuxième type d’incident en importance était la communication accidentelle, un facteur clé dans plus de 30 % des cas. Dans cette catégorie, on retrouve :
- les erreurs d’expédition (40 % des communications accidentelles);
- la destruction ou le retrait inadéquats (20 %);
- la communication en ligne (14 %);
- les erreurs liées à l’envoi par courriel (11 %);
- les erreurs liées à l’envoi par télécopieur (9 %).
L’erreur humaine, surtout de la part des employés, est à la source de la majorité de ces incidents. Nous avons établi que l’erreur humaine était la cause principale de plus de 85 % des communications accidentelles. Parmi les autres causes, on retrouve les erreurs attribuables au traitement mécanique ou à la technologie.
Vol et perte
Notre analyse a démontré que le vol était la troisième cause d’incident en importance, un peu moins du tiers des cas lui étant attribuables. Les documents et les dispositifs électroniques contenant des renseignements personnels ont été principalement dérobés de véhicules (41 % des cas), de bureaux ou de magasins (30 %) ou de sacs de messagerie (19 %).
La perte de renseignements personnels représente quant à elle 10 % des atteintes. La disparition de documents papier tels des formulaires de demande de carte de crédit ou des relevés de transactions bancaires fait partie de ce type d’incident. Les renseignements personnels peuvent également être mis en jeu lorsque des dispositifs électroniques tels des lecteurs de disque ou des clés de mémoire USB sont égarés.
Notre analyse a également porté sur les enjeux à la source de ces types d’incidents. Dans plusieurs cas, l’atteinte était le résultat de nombreux facteurs.
L’analyse a démontré que les organisations pourraient s’attaquer à nombre d’enjeux afin de prévenir plus efficacement les atteintes potentielles.
L’enjeu le plus fréquent était un système de sécurité insuffisant (46 %), suivi de près par une formation inadéquate du personnel (45 %).
Trop d’organisations sous-estiment les risques à la sécurité et le besoin de protéger les renseignements personnels. En outre, comme les technologies évoluent continuellement, il est primordial pour les organisations de s’assurer que leurs systèmes de sécurité demeurent en mesure de protéger les renseignements personnels.
Dans de nombreux cas, la formation du personnel est insuffisante — même s’il s’agit là d’un élément crucial des systèmes assez solides pour protéger adéquatement les renseignements personnels. Un sondage mené en 2007 par le Commissariat auprès des entreprises a révélé que seulement le tiers d’entre elles avaient formé leur personnel au sujet des pratiques et des responsabilités découlant de la législation canadienne en matière de protection de la vie privée, bien que cette proportion soit beaucoup plus élevée parmi les plus grandes entreprises.
La mauvaise conduite intentionnelle des employés est un autre enjeu significatif que notre analyse a permis de mettre au jour. Faire en sorte que les renseignements personnels ne soient accessibles que par ceux qui ont un motif valable de le faire est un moyen de réduire ce risque.
Parmi les autres enjeux dont les entreprises peuvent tenir compte dans leurs efforts pour réduire le risque d’atteinte à la protection des données, on peut citer les suivants : les procédures administratives, y compris les pratiques de destruction et de retrait; les tiers fournisseurs et leur habileté à protéger les renseignements personnels; les mesures de sécurité et procédures qui encadrent les employés qui emportent des données à l’extérieur du bureau.
Tout en continuant de plaider en faveur de lois qui rendraient obligatoires les avis d’incidents liés à la protection des renseignements personnels, nous avons cherché à sensibiliser les industries à la nécessité de mettre en place des politiques internes fortes et d’offrir une formation aux employés afin d’amoindrir les risques de fuites de données.
En 2008, le Commissariat a fait paraître à l’intention des entreprises de nouveaux outils relatifs aux avis d’atteinte à la protection des données.
Nous avons également pris des mesures pour aider les compagnies à réagir de manière proactive en nous avisant de toute atteinte réelle ou présumée à la protection des données. Plus particulièrement, nous avons créé sur notre site Web un formulaire pour le signalement des atteintes à la protection des données. Nous avons également établi un point central pour le signalement au sein du Commissariat. La personne responsable participe aux enquêtes connexes, fait le suivi de la situation et produit ensuite un rapport sur la fuite de données.
Notre analyse a démontré que la proportion d’incidents du genre déclarés par les organisations elles‑mêmes — plutôt que portés à notre attention d’une autre manière, par exemple, s’ils sont rapportés par les médias — a augmenté pour passer de 75 % en 2006 à près de 90 % en 2008.
Parallèlement, les organisations ont avisé trois fois sur quatre toutes les personnes touchées par la fuite des données, et elles ont avisé une partie des personnes touchées dans une proportion de 9 %.
Devenir plus efficaces
Les plaintes que nous recevons sont de plus en plus complexes et appellent des enquêtes poussées. Au fil du temps, nos processus de gestion des plaintes ne suffisaient plus à la tâche, et les délais de traitement s’étiraient.
En 2008, il fallait en moyenne près de 20 mois pour régler une affaire, peu importe l’issue : annulation, résolution, règlement ou production de conclusions d’enquête sur la question. Cela représentait une hausse de près d’un tiers par rapport aux délais de l’année précédente. Notre arriéré de plaintes avait atteint des proportions inacceptables.
Pour nous attaquer à ce problème, nous avons choisi une approche proactive à plusieurs volets, incluant la production de documents d’orientation, des activités de sensibilisation auprès des entreprises et une refonte globale de nos processus de gestion de cas.
À la fin de l’année, nous avions réalisé des progrès intéressants, et notre arriéré de dossiers de plaintes datant de plus d’un an avait commencé à fondre.
Enjeux ayant donné lieu à des atteintes
Systèmes de sécurité – Les systèmes de sécurité inadéquats (ou inexistants) représentent l’enjeu le plus commun parmi les incidents qui ont été signalés au Commissariat (46 % des causes réglées).
Conscientisation ou formation du personnel – Un manque de connaissances de la part des employés sur la manière de protéger les renseignements personnels des clients a été un facteur dans 45 % des causes.
Inconduite du personnel – Des employés mal intentionnés, le plus souvent mêlés à des histoires de fraude, ont été responsables de près du tiers des incidents (31 %). Ce nombre inclut à la fois les employés des organisations qui ont été victimes de l’atteinte, ou les employés de tiers fournisseurs de service ou impartiteurs.
Procédures administratives – On peut attribuer 31 % des cas à des lacunes sur le plan des procédures administratives, comme l’envoi par la poste, par courriel ou par télécopieur, ou la gestion de banques de données.
Tiers fournisseurs de services – Dans près de 30 % des cas, l’atteinte a eu lieu alors que les renseignements personnels étaient détenus par un tiers fournisseur de services ou impartiteur.
Employés emportant des données avec eux à l’extérieur du bureau – Les mesures de sécurité et procédures encadrant les employés qui emportent des données à l’extérieur du bureau — pour travailler à la maison ou voyager — ont été un facteur dans 18 % des incidents.
Procédures de destruction ou de retrait – Se défaire de renseignements personnels de manière sécuritaire demeure un défi pour de nombreuses organisations. Les procédures de destruction et de retrait ont été un facteur dans 8 % des incidents.
Nota : Dans nombre de cas, nous avons déterminé que de plusieurs enjeux étaient à la source de l’atteinte à la protection des renseignements personnels.
Approche proactive
Nous nous sommes rendu compte, lorsque nous nous sommes attaqués aux problèmes de la charge de travail, qu’une bonne partie de la solution consistait à tenter de régler les problèmes avant qu’ils ne fassent l’objet de plaintes. Le Commissariat s’est donc lancé activement dans davantage d’activités d’engagement.
Nous nous adressons aux industries, aux entreprises et aux organisations professionnelles de tout le Canada pour nous assurer qu’ils comprennent pleinement et respectent leurs obligations en vertu de la LPRPDE. Durant l’année, nous avons également publié plusieurs documents d’information et d’orientation qui expliquaient la Loi et les mesures à prendre en cas d’atteinte à la protection des données.
Nous rejoignons également les Canadiennes et Canadiens au moyen d’un nouveau formulaire en ligne qui a simplifié le processus de dépôt d’une plainte tout en nous donnant de l’information plus complète et normalisée à partir de laquelle nous pouvons mener enquête.
Nous avons également raffermi nos liens avec les commissariats à la protection de la vie privée des provinces et territoires parce que nous reconnaissons que nous avons beaucoup à apprendre les uns des autres. En février 2008, par exemple, nous avons tenu notre conférence annuelle des enquêteurs à Ottawa, qui a rassemblé des agents à l’information et à la protection de la vie privée de tout le Canada. La conférence de deux jours a permis aux agents chargés des enquêtes et des demandes de renseignements d’établir de nouveaux contacts, de communiquer leurs expériences et d’échanger des pratiques exemplaires.
Notre volume croissant d’affaires à traiter nous a amenés à reconnaître l’urgence de restructurer nos processus internes pour nous attaquer à la charge de travail.
L’effort de restructuration, conçu en 2008 et mis de l’avant en 2009, comporte plusieurs volets, notamment une augmentation du nombre d’employés, un effort concerté pour éliminer l’arriéré d’affaires en suspens, et de nouveaux processus de traitement des plaintes appuyés par un nouveau système informatisé de gestion des cas. Nous les décrivons ci‑dessous.
Davantage de ressources humaines
En août 2008, un nouveau directeur général expérimenté s’est joint à la Direction des enquêtes et des demandes de renseignements et a assuré un leadership soutenu du processus de refonte.
On a embauché dix nouveaux enquêteurs qui se sont ajoutés aux quatre qui travaillaient déjà sur les dossiers liés à la LPRPDE. Ces nouveaux enquêteurs ont pris part à un nouveau programme de formation intensif sur deux mois au début de 2009. Nous avons également recruté quatre nouveaux agents affectés aux demandes de renseignements.
Le manque d’enquêteurs a été un défi de taille pour le Commissariat. De nombreux enquêteurs chevronnés affectés à la LPRPDE nous ont quitté au cours des trois dernières années et ils se sont avérés difficiles à remplacer. Le recrutement et le maintien en poste de spécialistes de l’accès et de la protection des renseignements personnels sont des entreprises difficiles, puisque de nombreuses organisations puisent au même bassin restreint de candidats.
À certains moments au cours de l’année 2008, nous ne pouvions compter que sur quatre enquêteurs d’expérience affectés à la LPRPDE et ils avaient tous de nombreux dossiers entre les mains.
En l’absence d’enquêteurs formés, nous avons confié certains dossiers à des consultants et à des avocats. En outre, dans le cadre d’un projet pilote, nous avons embauché sous contrat un enquêteur à Calgary pour gérer certains dossiers touchant l’Ouest du pays, particulièrement lorsque l’affaire présentait un intérêt commun pour le Commissariat à l’information et à la protection de la vie privée de l’Alberta. Tout en aidant à composer avec une pénurie aiguë de main‑d’œuvre, cet exercice de décentralisation a également permis à la Direction de peaufiner des stratégies de télétravail efficaces et sécuritaires.
Opération éclair de réduction de l’arriéré
En juin, nous avons revu la définition à partir de laquelle un dossier était considéré comme faisant partie de l’arriéré dans le but de témoigner avec plus de justesse du temps qui s’écoulait après le dépôt de la demande par un plaignant. Auparavant, nous considérions qu’un dossier faisait partie de l’arriéré de travail s’il ne pouvait pas être assigné à un enquêteur. Selon la nouvelle définition, un dossier fait partie de l’arriéré si plus d’un an s’est écoulé depuis sa date de réception. Aux termes de cette nouvelle définition, le nombre de dossiers qui composait l’arriéré a gonflé pour passer de 96 en mai à 361 en juin.
Quoique plus élevé, ce nouveau nombre reflète mieux le niveau de service offert aux Canadiennes et Canadiens.
Parallèlement au processus de refonte déjà en branle et décrit ci-dessous, nous avons également mis en œuvre en juin une opération éclair en 16 parties pour tenter de réduire ce nombre de manière ordonnée.
À titre d’exemple, nous avons regroupé des cas qui présentaient des similarités quant au secteur industriel en cause, au thème de la plainte ou à l’organisation intimée, et nous les avons pris en compte en même temps. Nous avons également raccourci la chaîne de commandement pour l’approbation des cas et nous nous sommes engagés à donner suite aux cas de l’arriéré avant de nous attaquer aux nouveaux.
À la fin de l’année, même si de nouveaux cas continuaient d’arriver à un rythme moyen de 32 par mois, nous avions réussi à abaisser l’arriéré de 14,3 %, de sorte qu’il contenait 312 cas. Nous sommes en bonne voie d’éliminer l’arriéré dans les meilleurs délais.
Refonte des processus
Nous savons depuis longtemps que nous devons renouveler nos processus pour prendre le dessus sur les milliers de plaintes et demandes de renseignements que nous nous attendons à recevoir au cours des années à venir.
À cette fin, nous avons élaboré un système novateur de gestion des cas qui inclut de nouveaux logiciels ainsi que des procédures de gestion des plaintes plus rationalisées et efficaces. Les processus refondus seront soutenus par un nouveau système informatisé de gestion des cas. Le système a été mis en œuvre en 2008 pour les demandes de renseignements et le sera pour les enquêtes en 2009.
L’initiative de refonte fait l’objet d’une mise en œuvre progressive et nous prévoyons qu’elle sera entièrement intégrée d’ici l’automne 2009.
En premier lieu, nous avons établi un rigoureux protocole de « renvoi », en vertu duquel nous encourageons les gens qui communiquent avec nous pour déposer une plainte ou réclamer une enquête à s’adresser d’abord à la compagnie avec laquelle ils ont un différend. S’ils le désirent, nous les aidons à établir ce contact. L’entreprise peut souvent résoudre rapidement le problème, ce qui est bénéfique pour toutes les parties. Pour tout dire, les entreprises nous ont avoué qu’elles appréciaient avoir ainsi l’occasion de résoudre les préoccupations de leurs clients. Nous continuons comme toujours à aider les plaignants à joindre les entreprises concernées.
Lorsque le contact direct ne fonctionne pas et qu’une plainte est déposée au Commissariat, nous voulons nous assurer que l’affaire est gérée efficacement et de manière satisfaisante pour toutes les parties.
Notre nouveau formulaire de plainte en ligne contribuera à faire en sorte que tous les renseignements clés sont fournis, ce qui nous aidera en retour à évaluer la plainte de manière plus efficace.
Dans le cadre de nos nouvelles procédures, la plainte est d’abord transmise au titulaire du poste nouvellement créé de registraire des plaintes. Le registraire décidera de la manière dont la plainte sera traitée, selon sa nature, son degré de complexité et l’urgence de l’enjeu en question.
Bien que certains cas pourraient être assignés directement à un enquêteur, dans la mesure du possible, le registraire confiera l’affaire à un agent de règlement rapide, une autre nouveauté à la Direction. Les agents de règlement rapide utilisent la négociation, la conciliation ou d’autres techniques spécialisées pour tenter d’aider les parties à résoudre le problème dans les meilleurs délais. Toutefois, les cas qui ne pourront pas être résolus de cette manière pourraient également être soumis à un enquêteur.
Secret professionnel de l’avocat
En juillet 2008, la Cour suprême du Canada prenait une décision qui a eu une incidence sur la manière dont nous menons certaines de nos enquêtes, notamment lorsqu’il est question d’aider des personnes à avoir accès à leurs propres renseignements personnels qui seraient détenus par des organisations.
Dans l’affaire en question, une organisation refusait de soumettre les documents exigés parce qu’ils auraient été protégés par le secret professionnel de l’avocat.
Dans l’affaire Canada (commissaire à la protection de la vie privée) c. Blood Tribe Department of Health, la Cour suprême a déterminé que la commissaire à la protection de la vie privée n’avait pas l’autorisation légale de contraindre la production de documents visés par une revendication du secret professionnel de l’avocat afin d’effectuer un examen indépendant de la revendication.
Certaines organisations en ont déduit que la commissaire à la protection de la vie privée ne pourrait plus faire enquête sur les revendications du secret professionnel de l’avocat.
Le Commissariat a confié l’affaire à la Cour fédérale afin d’en préciser les répercussions.
Selon nous, la Cour suprême a éliminé seulement un des outils sur lesquels le Commissariat pouvait s’appuyer pour s’assurer que l’on respecte le droit des personnes d’accéder à leurs renseignements personnels, à savoir le pouvoir d’exiger la production de documents visés par une revendication du secret professionnel de l’avocat pour en faire l’examen.
Nous restons déterminés à faire enquête sur ces revendications au moyen d’autres outils à notre disposition conformément au mandat qui nous est conféré par la loi et aux directives de la Cour suprême du Canada.
Latitude en matière d’enquêtes
Au début de 2009, le gouvernement fédéral a déposé le projet de Loi sur la protection du commerce électronique, un projet de loi antipourriel réclamé depuis longtemps qui prévoit entre autres des modifications importantes à la LPRPDE.
Si elle est adoptée, cette loi viendrait accroître le pouvoir discrétionnaire de la commissaire à la protection de la vie privée pour ce qui est de recevoir des plaintes et de mener des enquêtes, que ce soit relativement au pourriel ou à d’autres enjeux de vie privée.
Selon le projet de loi, la commissaire pourrait refuser une plainte si elle juge que :
- le plaignant n’a pas épuisé toutes les autres procédures de grief ou d’examen à sa disposition (par exemple, auprès d’un organisme responsable de la supervision ou de la surveillance d’une industrie ou d’un groupe professionnel);
- la plainte pourrait être réglée, dans un premier temps ou à toutes les étapes, en vertu d’autres lois fédérales ou provinciales;
- la plainte n’a pas été déposée dans un délai raisonnable suivant la date à laquelle le conflit est survenu.
D’autres modifications conféreraient à la commissaire le pouvoir de mettre fin à une enquête dans les cas où elle juge :
- qu’il n’existe pas suffisamment d’éléments de preuve pour la poursuivre;
- que la plainte est futile, vexatoire ou entachée de mauvaise foi;
- que l’organisation a apporté une réponse juste et équitable à la plainte;
- que la plainte fait déjà l’objet d’une enquête ou que la commissaire a déjà dressé un rapport sur l’objet de la plainte;
- que la plainte a fait, fait ou pourrait faire l’objet d’une procédure de grief ou d’examen, ou encore d’un traitement en vertu d’autres lois fédérales ou provinciales.
Le Commissariat a déjà demandé au Parlement d’accorder à la commissaire le pouvoir de refuser une plainte ou de mettre fin à une enquête si elle juge qu’il n’est pas dans l’intérêt public et qu’il est peu utile, voire inutile, de la poursuivre.
À l’heure actuelle, de précieuses ressources sont consacrées de façon disproportionnée à l’ouverture de dossiers de plaintes et à la tenue d’enquêtes connexes, selon le principe du premier arrivé, premier servi. Nous nous attendons à ce que l’accroissement du pouvoir de refus ou d’abandon d’enquêtes permette au Commissariat de mieux concentrer ses efforts sur les enjeux liés à la protection de la vie privée qui ont un intérêt élargi.
Sur la scène internationale
Dans une économie mondiale où les renseignements personnels circulent en permanence, les problèmes de protection de la vie privée ne connaissent pas de frontières.
Les multinationales transfèrent les renseignements personnels à d’autres pays pour bénéficier de salaires plus faibles et d’économies d’échelle ainsi que pour répondre aux exigences de leurs clients. Les particuliers envoient eux aussi leurs renseignements personnels aux quatre coins du monde quand ils effectuent des transactions en ligne à toute heure du jour et de la nuit, et ils s’attendent à avoir accès à leur argent peu importe où ils se trouvent.
Les nouvelles technologies cumulées aux inquiétudes à l’égard du terrorisme international et des activités criminelles transnationales sont sources de nouveaux défis pour les commissaires à la protection de la vie privée et les autres autorités d’application.
Le pourriel et les appels téléphoniques indésirables proviennent souvent de l’extérieur du Canada.
Dans ce contexte moderne, il est clair que le Canada doit travailler avec ses homologues internationaux à la protection continue des renseignements personnels dans le monde entier.
Le Commissariat se penche depuis de nombreuses années sur ces problèmes transfrontaliers, en communiquant par exemple ses pratiques exemplaires aux pays novices en matière de protection de la vie privée et en aidant à l’élaboration de mécanismes d’application pour offrir un recours aux particuliers, quel que soit l’endroit où les renseignements les concernant sont traités.
En 2008, le Commissariat a tablé sur le succès de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée dont il était l’hôte à Montréal au mois de septembre précédent. Pendant cette conférence, les commissaires ont convenu :
- de travailler ensemble ainsi qu’avec les organisations internationales pour renforcer la protection des données dans le monde;
- de presser les gouvernements à adopter des normes internationales de protection des données sur les passagers utilisées à des fins d’application de la loi et de sécurité aux frontières;
- de soutenir l’élaboration de normes internationales et universelles efficaces en matière de protection de la vie privée par l’intermédiaire d’organismes comme l’Organisation internationale de normalisation (ISO).
Les efforts du Commissariat à l’échelle internationale visaient principalement à établir et maintenir des relations stratégiques, à coordonner des activités, comme l’élaboration de politiques et de normes internationales, ainsi qu’à y participer.
Voici d’autres activités internationales auxquelles nous avons participé en 2008 :
- Le Commissariat a participé activement au Groupe de travail sur la sécurité de l’information et la vie privée de l’Organisation de coopération et de développement économiques (OCDE). La commissaire est même intervenue pendant la Réunion ministérielle de l’OCDE sur l’avenir de l’économie Internet à Séoul (Corée) et a fait partie de la délégation canadienne.
- Le Commissariat a également collaboré activement au sous-groupe de protection des données de la Coopération économique Asie-Pacifique (APEC), qui a examiné les façons de mettre en œuvre le cadre de protection de la vie privée de l’APEC de 2004. Il a en outre travaillé avec les commissariats à la protection de la vie privée de Colombie-Britannique, de Nouvelle-Zélande, de Hong Kong et d’Australie, ainsi qu’avec la Federal Trade Commission des États-Unis, à l’élaboration d’un cadre d’application transfrontalière des lois de protection de la vie privée au sein des économies de l’APEC.
- Un membre du Commissariat a présidé un groupe de travail du Comité consultatif canadien au sous-comité de l’ISO chargé d’élaborer des normes de sécurité visant les technologies d’information. Il est également chef de délégation pour le Canada d’un groupe de travail sur la gestion de l’identité et les technologies de protection de la vie privée pendant les réunions internationales de l’ISO.
- Le Commissariat, qui a joué un rôle clé dans la création de l’Association francophone des autorités de protection des données personnelles, poursuit également sa participation à plusieurs autres forums internationaux comme celui des Autorités à la protection de la vie privée de l’Asie-Pacifique, de l’International Working Group on Data Protection in Telecommunications, du Plan d'action de Londres et du Groupe de travail des états fédérés.
Services juridiques, politiques et affaires parlementaires
Devant les tribunaux
Plusieurs nouvelles demandes d’audience ont été déposées en 2008.
En vertu de l’article 14 de la LPRPDE, un plaignant peut, dans certaines circonstances, demander une audience à la Cour fédérale pour toute question évoquée dans sa plainte ou dans le rapport de la commissaire. Cinq plaignants ont déposé des demandes d’audience à la Cour fédérale en 2008.
Une demande d’audience a émané de la commissaire en vertu de l’article 15. Cet article permet également à la commissaire à la protection de la vie privée, avec le consentement du plaignant, de demander directement une audience à la Cour fédérale concernant une affaire visée par l’article 14. Conformément à cet article, la commissaire peut également comparaître devant la Cour fédérale au nom de tout plaignant ayant demandé une audience en vertu de l’article 14. Elle peut également, avec la permission de la Cour fédérale, comparaître comme partie à toute audience en vertu de l’article 14 non demandée par elle-même.
La commissaire à la protection de la vie privée intente régulièrement des poursuites en justice lorsqu’une organisation refuse d’adopter ses recommandations dans des cas fondés, ce qui a aidé à établir un niveau élevé de conformité aux recommandations.
La commissaire présente également des documents préliminaires dans certaines actions en justice afin de ne pas comparaître comme partie lorsqu’elle est indûment citée.
En outre, elle a participé cette année à une action en appel aux États‑Unis, dont nous discutons plus loin.
Conformément à la lettre et à l’esprit de notre mandat, nous avons respecté la vie privée des plaignants en retirant leur nom.
Causes réglées
Commissaire à la protection de la vie privée c. X
No de dossier de la Cour fédérale : T‑142‑09
Cette affaire concerne le défaut d’une compagnie d’assurance de fournir au Commissariat une preuve par affidavit pour étayer sa revendication d’un privilège dans un litige concernant des documents auxquels tente d’accéder le plaignant.
Par suite de la parution d’un rapport d’enquête concluant que la plainte était fondée, le Commissariat a déposé une demande d’audience auprès de la Cour fédérale en vue d’obtenir une ordonnance confirmant ou niant le privilège que revendique l’organisation impliquée dans le litige et exigeant de l’organisation qu’elle fournisse au plaignant les documents, si la Cour devait rejeter la revendication de l’organisation.
Peu après le début de la présentation de la demande en cour, l’organisation a choisi d’abandonner sa revendication d’un privilège pour les documents en cause, et a remis au plaignant tous les renseignements disponibles auxquels il avait droit en vertu de la Loi. Par conséquent, la commissaire à la protection de la vie privée a mis fin à sa demande.
Litiges en cours
State Farm Automobile Insurance Company c. commissaire à la protection de la vie privée du Canada
Cour d’appel du Nouveau‑Brunswick. No de dossier : 14-08-CA
Nota : Cette affaire a également été décrite dans notre rapport annuel de 2007.
Le 27 juillet 2007, la State Farm Autobile Insurance Company a demandé une audience à la Cour du Banc de la Reine du Nouveau‑Brunswick pour faire une déclaration selon laquelle :
- La LPRPDE ne s’appliquait pas à la communication de documents, au privilège ou à d’autres intérêts concernant la vie privée d’un plaignant dans le cadre de sa réclamation pour dommages corporels contre un client assuré par State Farm (parce que State Farm ne menait pas des « activités commerciales » au moment de recueillir, d’utiliser ou de communiquer des renseignements personnels pour la défense de son client contre un litige intenté par le plaignant).
- La LPRPDE, si elle s’applique vraiment, a été édictée hors des pouvoirs attribués au Parlement.
- La commissaire à la protection de la vie privée n’avait pas le pouvoir de faire enquête sur la plainte en question.
- La commissaire à la protection de la vie privée n’avait pas le pouvoir de demander ou d’exiger que State Farm produise les renseignements nécessaires à l’enquête.
La commissaire à la protection de la vie privée a présenté une motion préliminaire pour que la demande de State Farm soit refusée ou mise en sursis au motif que la Cour fédérale était le forum le plus indiqué pour trancher la question.
La motion a été accueillie en janvier 2008. La Cour du Banc de la Reine a déterminé que la Cour fédérale était le forum le plus indiqué pour évaluer la demande, qui impliquait des questions touchant la validité constitutionnelle et le contrôle judiciaire du pouvoir de la commissaire à la protection de la vie privée. Comme les cours fédérales disposent d’un pouvoir exclusif sur les demandes de contrôle judiciaire des décisions de la commissaire à la protection de la vie privée, il a été déterminé que la Cour fédérale constituait le forum le plus approprié.
State Farm a interjeté appel devant la Cour d’appel du Nouveau‑Brunswick, et une audience a eu lieu le 10 septembre 2008. La Cour d’appel a rendu son jugement le 22 janvier 2009. Dans ses motifs confirmant la décision du juge saisi de la demande, la Cour d’appel du Nouveau-Brunswick a rejeté l’appel de State Farm.
La Cour d’appel a retenu notre position selon laquelle la demande de State Farm était, à tous égards, une demande de contrôle judiciaire qui relevait de la compétence exclusive de la Cour fédérale. La Cour a fait remarquer que, peu importe la manière dont State Farm définissait sa demande, il s’agissait en substance d’une contestation des actions et décisions du Commissariat que devrait entendre la Cour fédérale.
En février 2009, State Farm a demandé à la Cour fédérale de prolonger le délai pour qu’elle puisse lui présenter une demande similaire.
Accusearch, Inc., s/n Abika.com, et X c. Federal Trade Commission des États-Unis
Le Commissariat a obtenu l’autorisation de déposer un mémoire d’amicus curiae (un exposé écrit visant à offrir des conseils à la cour dans son processus de décision) dans une poursuite devant la United States Tenth Circuit Court of Appeals qui entendait l’affaire Accusearch, Inc., s/n Abika.com, et X c. Federal Trade Commission des États-Unis.
L’entreprise en question, une compagnie américaine offrant sur le Web des services de recherche, avait fait l’objet d’une plainte au Commissariat. La commissaire adjointe à la protection de la vie privée avait d’abord établi qu’elle n’avait pas l’autorité nécessaire pour mener enquête sur la plainte. Toutefois, le plaignant a présenté une demande de contrôle judiciaire qui a été acceptée en 2007 par la Cour fédérale, selon le motif que la commissaire adjointe avait effectivement l’autorité de mener des enquêtes sur le flux transfrontalier de renseignements personnels dans l’affaire en cause.
En mai 2006, la Federal Trade Commission (FTC) des États‑Unis a accusé Accusearch, Inc. d’avoir enfreint la loi fédérale des États‑Unis en vendant les relevés téléphoniques de clients à des tiers à l’insu et sans le consentement des clients. Selon la FTC, les défendeurs affirmaient sur leur site Web qu’ils pouvaient obtenir les relevés téléphoniques confidentiels de toute personne (y compris des renseignements sur les appels entrants et sortants) et les rendre disponibles à leurs clients moyennant des frais. Toujours selon la FTC, afin d’obtenir de tels renseignements, les défendeurs demandaient à d’autres parties d’utiliser de faux prétextes afin d’encourager les services de télécommunications à divulguer les renseignements personnels.
Le 28 janvier 2008, un juge de la Cour de district du Wyoming a conclu que les défendeurs avaient obtenu et vendu les relevés téléphoniques confidentiels de clients sans les informer ni obtenir leur consentement, qu’ils avaient forcément accompli cela par des moyens illégaux et qu’ils savaient que les relevés téléphoniques avaient été obtenus clandestinement. Il a également conclu que cette pratique avait porté préjudice aux clients et a interdit à Accusearch, Inc. d’obtenir, d’acheter ou de vendre des renseignements personnels de clients et de faire de la promotion à cet égard, sauf si l’information avait été obtenue légalement. Accusearch, Inc. a interjeté appel de cette décision devant la United States Tenth Circuit Court of Appeals.
Puisque le Commissariat est touché par le litige concernant Accusearch, Inc. tel qu’on le constate dans des rapports annuels antérieurs (2007, 2006 et 2005) et que les questions soulevées portent sur le transfert transfrontalier de données, il a obtenu la permission de présenter un mémoire d’amicus curiae dans le cadre de l’appel d’Accusearch.
À notre avis, l’affaire examinée par la United States Tenth Circuit Court of Appeals concerne le transfert de données entre les États‑Unis et le Canada, la façon dont les courtiers en données recueillent, utilisent et communiquent des renseignements personnels sans en informer les personnes visées ou sans obtenir leur consentement et la façon dont l’échange en ligne de renseignements personnels touche le droit à la protection de la vie privée, des enjeux qui sont tous au cœur de notre mandat.
Dans le mémoire, le Commissariat explique la mesure dans laquelle la décision de la Cour aura un impact direct sur le droit à la vie privée des Canadiennes et des Canadiens et la réputation des organismes canadiens touchés par les activités des courtiers.
Le fait de reconnaître que les pratiques d’Accusearch Inc. et les préjudices qui en découlent sont illégaux selon la loi aux États‑Unis favoriserait la collaboration entre les organismes de réglementation canadiens et américains en uniformisant l’approche utilisée par les deux administrations.
L’affaire fournirait, à son tour, l’assurance nécessaire aux organismes qui prévoient impartir des fonctions de traitement des données aux États‑Unis et aiderait à donner aux personnes la confiance dont elles ont besoin pour faire affaire sur Internet. Le mémoire du Commissariat soulignait particulièrement le fait que la collecte, l’utilisation et la communication non autorisées de renseignements personnels sur Internet par des courtiers en données peuvent causer des préjudices et avoir des conséquences à l’étranger.
En juin 2009, la United States Court of Appeals for the Tenth Circuit a rendu jugement affirmant les amendes et injonctions contre Accusearch, Inc.
Demandes de contrôle judiciaire présentées en vertu de l’article 18.1 de la Loi sur les Cours fédérales
Canada (commissaire à la protection de la vie privée) c. Blood Tribe Department of Health
No de dossier de la Cour suprême du Canada : 31755
Nota : Cette affaire a également été décrite dans nos rapports annuels de 2006 et 2007.
Il s’agissait d’un appel que la commissaire à la protection de la vie privée avait porté devant la Cour suprême du Canada. Nous interjetions appel de la décision de la Cour d’appel fédérale selon laquelle la LPRPDE n’autorisait pas la commissaire à imposer la production de documents visés par une revendication du secret professionnel de l’avocat.
Une personne s’est plainte au Commissariat que le Blood Tribe Department of Health retenait de façon inappropriée ses renseignements personnels après qu’elle ait fait une demande d’accès. La Blood Tribe a affirmé que certains documents qu’elle refusait de transmettre étaient assujettis au secret professionnel de l’avocat.
Le Commissariat a déterminé qu’il était nécessaire de consulter les documents en question afin d’examiner la plainte en toute indépendance. Malgré plusieurs demandes du Commissariat, la Blood Tribe a maintenu son refus de lui transmettre des copies des documents en question. Nous avons émis une ordonnance de production en vertu de l’alinéa 12(1)a) de la LPRPDE. La Blood Tribe a contesté la validité de cette ordonnance devant la Cour fédérale.
La Cour fédérale a établi que le Commissariat pouvait imposer la production des documents en cause pour vérifier la revendication du privilège. La Cour d’appel fédérale s’est dite en désaccord avec cette décision. La Cour suprême du Canada a confirmé la décision de la Cour d’appel fédérale, en précisant que l’alinéa 12(1)a) n’accordait pas de façon claire et expresse le pouvoir de contraindre la production de documents visés par une revendication de privilège.
La Cour suprême était d’avis que la contrainte de remettre à la commissaire des documents visés par une revendication de privilège constituerait une violation du privilège même si la commissaire ne transmettait d’aucune façon les renseignements qu’elle y trouverait.
La Cour établissait une distinction entre le rôle de la commissaire et celui d’un juge indépendant et impartial (qui peut examiner des documents visés par une revendication de privilège) car, contrairement à un tribunal, la commissaire peut avoir des intérêts opposés à ceux de l’organisation si elle intente une poursuite judiciaire contre cette dernière. La Cour s’inquiétait également du pouvoir statutaire que détient la commissaire de communiquer les renseignements qu’elle reçoit à des autorités capables d’engager des poursuites ou de les communiquer dans l’intérêt du public.
Selon la Cour suprême, une organisation pourrait adéquatement établir l’existence du secret professionnel de l’avocat de prime abord en fournissant une preuve pertinente par affidavit. L’existence d’une telle preuve pour soutenir la revendication d’un privilège donne lieu à une présomption réfutable en faveur de l’existence du privilège. Cette présomption peut être éprouvée par contre‑interrogatoire ou d’autres moyens.
Nous examinons actuellement les revendications du secret professionnel de l’avocat à l’aide des directives de la Cour suprême. (Veuillez consulter la page 44 pour de plus amples détails.)
La Cour suprême a convenu qu’il faut soumettre à un examen indépendant les revendications douteuses du secret professionnel de l’avocat. Elle a établi que la commissaire à la protection de la vie privée disposait d’au moins deux autres moyens efficaces et rapides pour s’assurer du respect de la LPRPDE dans les cas où les revendications semblent douteuses.
Premièrement, la commissaire peut, à tout moment de son enquête, confier à la Cour fédérale une question liée au secret professionnel de l’avocat en vertu du paragraphe 18.3(1) de la Loi sur les Cours fédérales.
Deuxièmement, la commissaire peut faire état d’une impasse sur la question du privilège dans ses conclusions et présenter à la Cour fédérale une demande pour obtenir une dispense en vertu de l’article 15 de la Loi.
Demandes déposées par le plaignant en vertu de l’article 14 de la LPRPDE
X c. J.J. Barnicke Ltd.
No de dossier de la Cour fédérale : T-1349-06
Nota : Cette affaire a également été décrite dans notre rapport annuel de 2007.
Une personne a déposé une plainte auprès du Commissariat dans laquelle elle alléguait qu’il y avait eu collecte inappropriée de renseignements personnels et absence de politiques adéquates pour les protéger. Le vice-président de la compagnie avait expédié un courriel à tous les employés demandant si quelqu’un connaissait l’entreprise pour laquelle travaillait le plaignant.
Selon la commissaire adjointe à la protection de la vie privée, comme il n’y avait aucune preuve qu’un employé de J.J. Barnicke avait répondu au courriel, il n’existait aucune collecte de renseignements personnels comme telle et, par conséquent, aucune infraction à la Loi. Bien que l’enquête ait révélé que J.J. Barnicke n’avait pas en place de politiques ou procédures adéquates en matière de protection de la vie privée, l’entreprise a mis en œuvre toutes les recommandations de la commissaire adjointe dans le cadre de son enquête, et l’affaire a été résolue à la satisfaction de cette dernière.
Le plaignant a présenté une demande à la Cour fédérale dans laquelle il réclamait des dommages‑intérêts au montant de 75 000 $ et déclarait qu’on aurait violé les droits qui lui sont conférés par la loi. Nous avons participé à l’action en justice à titre de partie additionnelle.
Durant l’affaire, il s’est posé une question de procédure ayant trait à la pertinence de l’information qu’on pourrait définir comme une preuve de « mauvaise moralité » concernant le requérant et sur laquelle J.J. Barnicke s’appuyait dans sa défense. Dans sa réponse à la demande du plaignant voulant que soient supprimées les parties du matériel de l’intimé qui, estimait‑on, amenaient des preuves non pertinentes de « mauvaise moralité », la Cour s’est ralliée à la position de la commissaire à la protection de la vie privée.
La Cour a tranché de la manière suivante : « Dans le cas des plaignants qui sont déjà d’avis qu’on a porté atteinte à leur vie privée, la perspective d’une action publique en justice dans le but de protéger leurs droits devient encore plus déconcertante lorsqu’il leur faut défendre leur moralité ou qu’ils voient des faits privés non pertinents rendus publics afin d’obtenir un redressement par suite d’une atteinte à leur vie privée par l’intimé. La preuve de mauvaise moralité en elle‑même n’est d’aucune pertinence dans une affaire de protection de la vie privée dûment présentée à cette cour. Il faudrait dissuader les parties à une audience publique de déposer de tels documents. » [traduction] (2009 CF 170, paragraphe 31)
La Cour a rejeté la demande sur le fond, telle qu’elle a été entendue le 25 août 2008, car elle est parvenue aux mêmes conclusions que celles de la commissaire adjointe.
En ce qui concerne la plainte relative à la collecte de renseignements personnels, la Cour était d’avis qu’il n’y avait aucune preuve selon laquelle J.J. Barnicke avait recueilli des renseignements personnels du plaignant. La Cour s’est appuyée sur la jurisprudence pour conclure que la LPRPDE n’interdisait pas les tentatives de recueillir des renseignements personnels.
Pour ce qui est de la réclamation du plaignant en dommages‑intérêts découlant du non‑respect initial de la compagnie à l’égard du principe de responsabilisation, la Cour a trouvé convaincant le fait que J.J. Barnicke s’était mis en situation de conformité avec la LPRPDE durant l’enquête de la commissaire. Rien ne justifiait l’attribution de dommages‑intérêts.
C’est la compagnie qui devait assumer les dépens de l’affaire. La Cour a reconnu que les parties à un litige ne devraient pas être dissuadées d’exercer leurs droits par crainte qu’on ne leur attribue les dépens, particulièrement si l’on tient compte du fait qu’on en est aux premiers litiges liés à la LPRPDE. Toutefois, la Cour estimait approprié de mettre les dépens à la charge du plaignant dans les cas où une partie au litige utilise la LPRPDE comme forum substitut pour des affaires litigieuses sans rapport avec la Loi et non pour exercer son droit à la vie privée.
Le plaignant a déposé un avis d’appel le 19 mars 2009 concernant la décision de la Cour sur la question des « dépens » et de la preuve de « mauvaise moralité ».
X c. Banque de Nouvelle-Écosse et al
No de dossier de la Cour fédérale : T-582-08
Une personne a porté plainte auprès du Commissariat à la protection de la vie privée contre la Banque de la Nouvelle‑Écosse. La personne alléguait que la banque avait d’une manière inappropriée communiqué ses renseignements financiers à un tiers, qui aurait eu la permission, selon le plaignant, de substituer sa propre adresse à celle indiquée au dossier, ce qui est contraire à la LPRPDE.
Nous avons fait enquête et déterminé que la plainte était fondée et résolue. L’enquête a confirmé que la banque avait en place des politiques pertinentes au moment de l’affaire, et que ces politiques, si elles avaient été appliquées, auraient probablement permis d’éviter l’infraction à la Loi. L’incident lié à la LPRPDE découlait d’une erreur humaine isolée. La banque a mis en œuvre toutes les recommandations de la commissaire et a accepté d’offrir ses excuses au plaignant et de lui fournir des copies des relevés de compte expédiés par erreur au mauvais endroit.
Le 11 avril 2008, le plaignant déposait une demande d’audience devant la Cour fédérale qui citait la banque et le tiers comme intimés. L’auteur de la demande veut obtenir des dommages‑intérêts au montant de 400 000 $, une mesure de redressement déclaratoire et diverses ordonnances contre la Banque. L’auteur de la demande souhaite un redressement similaire contre le tiers.
Le 9 juin 2008, la commissaire à la protection de la vie privée a obtenu l’autorisation de comparaître comme partie.
Demandes déposées par la commissaire en vertu de l’article 15 de la LPRPDE
Commissaire à la protection de la vie privée c. Canad Corporation of Manitoba Ltd.
No de dossier de la Cour fédérale : T-586-08
Cette affaire est décrite à la page 34. Avec le consentement de la plaignante, nous avons déposé une demande d’audience devant la Cour fédérale pour faire appliquer les recommandations que nous avions formulées dans le cadre d’une enquête.
Au début de 2009, une médiation a été ordonnée par la cour dans cette affaire, mais la cause est demeurée tout de même devant la Cour fédérale. Canad Inns s’est vu accorder une période de temps pour établir des moyens possibles de limiter la quantité de renseignements personnels qu’elle recueille. L’entreprise devait présenter un résumé des mesures proposées par voie d’affidavit. Le Commissariat examinera alors ces propositions et demandera une conférence de gestion des cas afin de déterminer les prochaines étapes.
Commissaire à la protection de la vie privée c. Air Canada
No de dossier de la Cour fédérale : T-143-09
Nota : Cette affaire ne sera pas entendue par la Cour avant le début de 2009.
Par suite d’un incident survenu lors d’un vol court‑courrier, Air Canada a recueilli des renseignements personnels au sujet de la personne impliquée, y compris des déclarations des membres de l’équipage, des déclarations de témoins et des comptes rendus en vol. Cette personne demandait à avoir accès à ses renseignements personnels. Air Canada a refusé cette demande invoquant le secret professionnel de l’avocat.
La personne a porté plainte auprès du Commissariat. Nous n’avons pu résoudre l’affaire en cours d’enquête, car Air Canada refusait de fournir au Commissariat suffisamment de détails concernant sa revendication du secret professionnel de l’avocat, à savoir une déclaration sous serment pour étayer cette revendication. Air Canada était d’avis que le Commissariat n’avait pas la compétence voulue pour faire enquête sur les revendications de secret professionnel de l’avocat conformément à la décision de la Cour d’appel fédérale et de la Cour suprême du Canada dans l’affaire Canada (commissaire à la protection de la vie privée) c. Blood Tribe Department of Health.
Le 30 janvier 2009, nous avons déposé une demande d’audience pour obtenir une déclaration confirmant que la commissaire à la protection de la vie privée avait la compétence en vertu de la loi pour faire enquête relativement à l’application de l’exception au droit d’accès en raison du secret professionnel de l’avocat reconnue aux termes de l’alinéa 9(3)a) de la Loi et de diverses ordonnances.
Lois provinciales et territoriales essentiellement similaires à la loi fédérale
Selon le paragraphe 25(1) de la LPRPDE, le Commissariat est tenu de déposer annuellement devant le Parlement un rapport sur « la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires » à la Loi.
Dans les rapports annuels antérieurs, nous avons fait rapport sur la législation au Québec, en Ontario (pour les renseignements personnels sur la santé), en Alberta et en Colombie-Britannique, qui a été déclarée essentiellement similaire.
Aucune province ni aucun territoire n’a adopté en 2008 de loi pour laquelle on a demandé le statut de loi essentiellement similaire à la LPRPDE.
Élaboration de politiques
Entrée en vigueur en 2001, la LPRPDE renferme une disposition prévoyant son examen par le Parlement au terme d’une période de cinq ans. Ainsi, depuis 2006, nous travaillons en collaboration avec Industrie Canada, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes ainsi que les parties intéressées afin d’évaluer les répercussions de la Loi sur la protection de la vie privée dans le secteur privé et de proposer des améliorations.
Ce travail de haute importance s’est poursuivi au cours de 2008. Nous avons notamment eu l’occasion d’examiner le résultat des consultations d’Industrie Canada auprès des parties intéressées et de formuler notre réponse.
Le Comité et le gouvernement ont tous deux convenu avec nous que, dans l’ensemble, la LPRPDE fonctionne bien et qu’une réforme en profondeur n’est pas nécessaire pour l’instant. La LPRPDE n’est en vigueur dans son intégralité que depuis 2004, et il faut du temps avant de pouvoir évaluer toutes les répercussions d’une loi aussi complète.
Cela dit, nous sommes d’avis que certaines modifications s’avèreraient utiles. Ce qui suit constitue un résumé de nos positions de principe concernant les aspects clés du processus d’examen de la LPRPDE.
- Avis obligatoire en cas d’atteinte à la sécurité des données
Le Commissariat croit fermement que les organisations du secteur privé devraient avoir l’obligation légale d’aviser les personnes dont les renseignements personnels ont été mis à risque dans le cadre d’une atteinte à la sécurité des données.
Selon nous, cette mesure obligerait les entreprises à prendre davantage au sérieux leur obligation de protéger les renseignements personnels des clients, pour ainsi réduire les risques de fuite de données. On s’assurerait par le fait même que les personnes touchées possèdent les renseignements opportuns pour se protéger des fraudes et des vols d’identité.
De plus, un système officiel d’avis d‘atteinte à la sécurité des données permettrait de repérer les tendances et les vulnérabilités, de sorte que les organisations puissent mieux apprendre des expériences des autres.
Nous avons notamment fait valoir que les entreprises doivent informer rapidement les personnes touchées par une fuite de données qui pose « un risque élevé de préjudice important pour les personnes ou les organisations », le préjudice étant considéré comme allant au‑delà des simples dommages financiers.
Nous avons également mentionné que les entreprises doivent aussi aviser le Commissariat des cas mettant en cause toute atteinte matérielle à la sécurité des renseignements personnels. De tels avis devraient renfermer les détails de l’incident, ainsi que les mesures prises pour informer les personnes touchées ou, le cas échéant, les motifs invoqués pour ne pas l’avoir fait.
Entre-temps, le Commissariat a publié en 2008 des lignes directrices et un guide détaillé sur la gestion des fuites de données à l’intention des organisations.
- Pouvoir discrétionnaire concernant le traitement des plaintes
Le Commissariat appuie une modification à la LPRPDE qui vise à accroître le pouvoir discrétionnaire du Commissariat de manière à pouvoir abandonner certaines plaintes en début de processus, soit parce qu’elles sont entachées de mauvaise foi, soit parce qu’il existe un cadre plus adéquat pour la traiter ou encore parce qu’il s’avèrerait inutile de poursuivre l’enquête.
Comme beaucoup d’autres autorités de protection des données de partout dans le monde, nous avons fait valoir que nos ressources d’enquête seraient mieux employées si nous mettions l’accent sur des questions de protection de la vie privée d’intérêt plus général.
Il semble évident que les organisations comme le Commissariat peuvent jouer un rôle accru en examinant comment l’évolution effrénée des technologies de surveillance, des technologies de l’information et des nanotechnologies affecte la vie privée des personnes, souvent à leur insu.
- Banques de l’annexe III
Nous avons également suggéré au gouvernement qu’il envisage de modifier la LPRPDE de manière à ce qu’elle s’applique clairement aux banques étrangères autorisées de l’annexe III.
Affaires parlementaires
Compte tenu de l’élection générale et de la prorogation, le Parlement et ses comités ont eu un calendrier de séances restreint durant l’année 2008. Lorsque le Parlement siégeait, la plupart de son travail lié au mandat du Commissariat portait principalement sur les modifications à la Loi sur les renseignements personnels.
Il n’en demeure pas moins qu’en avril 2008, la commissaire a rappelé, devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes, la demande du Commissariat de modifier la LPRPDE, notamment en mettant en œuvre un système d’avis obligatoire des atteintes à la sécurité des données.
Parallèlement, le Commissariat se prononçait sur les autres initiatives législatives qu’il estimait pouvoir avoir un impact sur la vie privée des Canadiennes et Canadiens.
En janvier 2008, par exemple, le Commissariat a écrit aux ministres d’Industrie Canada et du Patrimoine canadien pour leur exprimer ses inquiétudes à l’égard des éventuelles modifications à la Loi sur le droit d’auteur. Dans cette lettre, le Commissariat soutenait qu’une des modifications, à savoir celle qui autoriserait l’utilisation de certains mécanismes techniques pour empêcher les violations du droit d’auteur, pourrait entraîner la collecte, l’utilisation et la communication de renseignements personnels concernant les Canadiennes et les Canadiens à leur insu, compromettant ainsi leur droit à la vie privée.
Vérification et revue
Aux termes de la LPRPDE, la commissaire a le pouvoir de procéder à la vérification des pratiques d’une organisation en matière de gestion des renseignements personnels si elle a des motifs raisonnables de croire que l’organisation a contrevenu à la Loi.
La commissaire à la protection de la vie privée a le pouvoir de recevoir des preuves des témoins, de pénétrer dans un local à toute heure raisonnable, et d’examiner des registres trouvés sur les lieux ou d’obtenir des copies de tels registres. Elle peut obliger des personnes au sein des entreprises à fournir des preuves. Elle présente ensuite à l’organisation les conclusions de la vérification et les recommandations, et elle peut les communiquer au public.
En 2008, la Direction de la vérification et de la revue a entrepris une vérification dans le secteur financier, qui en était encore aux premières étapes au moment de la rédaction du présent rapport annuel. Nous fournirons une mise à jour en 2009.
Outil d’autoévaluation pour les entreprises
En août 2008, le Commissariat lançait un outil d’autoévaluation qui vise à aider les moyennes et grandes entreprises à évaluer et améliorer leurs pratiques de gestion des renseignements personnels selon la LPRPDE et selon les principes relatifs à l’équité dans le traitement de l’information.
Dans un monde où règnent l’informatique ubiquiste et le partage de renseignements, il est de plus en plus difficile de faire en sorte que les renseignements personnels sont utilisés et protégés de manière appropriée. Une solide gestion des renseignements personnels au sein des organismes est un moyen efficace de réduire les risques et de faire en sorte que l’on tienne compte des principes relatifs à l’équité dans le traitement de l’information dans des décisions d’affaires et les opérations routinières.
Dans le cadre d’une autoévaluation en matière de protection des renseignements personnels, une entreprise procède à une évaluation de ses systèmes et pratiques afin d’établir des repères et de réaliser des améliorations au fil du temps. Entre autres, on évaluera l’organisation en fonction d’un ensemble d’attentes. En mesurant le degré de conformité envers ces attentes, on pourra identifier des lacunes ou des risques qui pourraient servir de guide pour le redressement et le suivi.
Le Commissariat considère que l’autoévaluation des entreprises est un moyen efficace et efficient de faire valoir les principes relatifs à la protection de la vie privée.
L’outil d’autoévaluation est le fruit d’un travail mené conjointement avec plusieurs responsables de la protection de la vie privée dans les entreprises, avec des leaders dans le domaine de la formation des cadres et avec des associations professionnelles. Il comporte un guide de la conformité visant à informer les organisations de leurs obligations en vertu de la LPRPDE, et un outil diagnostique pour évaluer la conformité à cette loi.
Cet important outil est disponible sur notre site Web.
Tronquer les numéros de carte de crédit
Le Commissariat s’intéresse de très près à la question de la troncature des cartes de crédit, ce processus consistant à cacher les numéros des cartes de crédit sur les reçus, par exemple, en remplaçant certains numéros par des X, car les numéros complets des cartes de crédit peuvent servir à commettre des fraudes.
Dans le cadre de consultations menées en 2005 auprès d’intervenants de l’industrie des cartes de crédit, le Commissariat pour la première fois fait valoir qu’il faudrait tronquer ou masquer les numéros des cartes de crédit sur les reçus. Nous avons continué de surveiller la situation et, en 2008, nous avons pris des mesures pour découvrir pourquoi on trouvait encore autant de numéros de carte de crédit non tronqués sur les reçus des consommateurs.
Les entreprises de traitement des paiements par carte de crédit nous ont indiqué que les vieux appareils qui ne tronquent pas les numéros de carte de crédit sont remplacés de façon continue, et qu’il se trouve actuellement très peu de détaillants qui ne peuvent masquer les numéros des cartes de crédit sur les reçus des consommateurs.
Toutefois, certaines petites entreprises continuent d’utiliser de l’équipement désuet, soit parce qu’elles ne sont pas au fait des exigences, soit en raison des coûts. Ce faisant, elles laissent les numéros de compte exposés et font courir aux consommateurs le risque de subir un vol d’identité.
À la suite de nos pourparlers avec les entreprises de traitement des paiements par carte de crédit et les détaillants, nous avons rédigé un avis de sécurité dans lequel nous soulignons la nécessité de tronquer et de protéger les numéros des cartes de crédit.
Cet avis rappelle aux entreprises leur obligation de protéger les renseignements des consommateurs et d’adopter de bonnes pratiques de protection de la vie privée. Il signale également que les principales compagnies de cartes de crédit exigent des organisations qu’elles suppriment sur les reçus tous les chiffres du numéro d’une carte de crédit, sauf les quatre derniers.
L’avis informe les particuliers qu’ils ont également la responsabilité de protéger leurs propres renseignements. Par exemple, ils devraient ranger de façon sécuritaire les reçus qui comportent les renseignements complets de leur carte de crédit. Une fois qu’ils ne sont plus nécessaires, les reçus devraient être correctement détruits.
L’avis est affiché sur notre site Web.
Corporation des associations de détaillants d’automobiles
Le Commissariat a communiqué avec la Corporation des associations de détaillants d’automobiles après la parution d’une information de presse qui alléguait que les représentants de commerce en automobiles utilisaient de manière inappropriée les renseignements sur le permis de conduire des personnes qui faisaient un essai de conduite.
La Corporation des associations de détaillants d’automobiles a indiqué qu’aucun représentant, à sa connaissance, ne faisait de copie des permis de conduire au moment d’un essai de conduite pour obtenir ensuite une vérification de la solvabilité sans le consentement du client. La Corporation a précisé que les renseignements figurant au permis de conduire étaient recueillis pour des raisons d’assurance et pour s’assurer que les personnes concernées ont le droit de conduire, et que la copie du permis de conduire et soit remise à la personne soit détruite après l’essai de conduite.
Nos enquêtes n’ont identifié aucun concessionnaire canadien mêlé aux faits allégués. La Corporation des associations de détaillants automobiles a accepté de rappeler à ses membres les bonnes pratiques de collecte, d’utilisation et de conservation des renseignements figurant sur les permis de conduire, et de s’assurer que les concessionnaires se conforment à LPRPDE.
L’année qui vient
Avec l’affluence continue des nouvelles technologies, l’année à venir sera remplie de défis pour le Commissariat.
En 2009, nous mènerons à terme notre enquête sur Facebook. Les conclusions et recommandations seront importantes compte tenu de l’énorme popularité de Facebook et d’autres sites de réseautage social.
Nous nous attendons également à ce que Google Street View, qui présente des images panoramiques des grandes villes, lance son site canadien en 2009. Le Commissariat mène des discussions avec Google depuis 2007 concernant la mise en œuvre de ce projet. Nous avons exprimé nos inquiétudes à l’égard du droit à la vie privée des personnes apparaissant sur ces images prises dans la rue. Certaines de nos principales préoccupations ont trait à l’avis et au consentement, à l’efficacité de la technologie de brouillage qu’utilise Google pour cacher les visages et les plaques d’immatriculation, ainsi qu’à la durée pendant laquelle Google conserve au dossier les images originales non brouillées.
Nous surveillerons également Google Latitude, une technologie de réseautage social qui permet aux propriétaires de téléphone cellulaire de communiquer l’endroit où ils se trouvent au moyen de la technologie GPS. Nous nous inquiétons du fait que les gens pourraient ne pas être au fait des répercussions éventuelles de ce dispositif sur leur vie privée.
Le Commissariat s’est donné un ambitieux programme pour l’année à venir, et il s’engage à défendre avec passion et persévérance le droit à la vie privée des Canadiennes et des Canadiens au moment de s’attaquer à ces enjeux cruciaux.
Nos grandes priorités pour 2009‑2010 sont les suivantes.
Continuer d’améliorer la prestation des services grâce à la convergence des efforts et à l’innovation
- Éliminer l’arriéré des dossiers d’enquête sur les plaintes.
- Revoir les méthodes de travail pour accroître l’efficacité au moyen de l’adoption et de la mise en œuvre de nouvelles approches pour les enquêtes, les vérifications, les examens des évaluations des facteurs relatifs à la vie privée et les autres activités.
- Explorer les possibilités de collaboration avec les homologues provinciaux, territoriaux et internationaux.
Exercer un leadership pour promouvoir quatre domaines prioritaires en matière de protection de la vie privée
- Technologies de l’information
- Sécurité nationale
- Intégrité et protection de l’identité
- Renseignements génétiques
Promouvoir stratégiquement la protection de la vie privée à l’échelle mondiale pour les Canadiennes et les Canadiens
- Établir et maintenir des partenariats avec des autorités de protection des données, des associations internationales et des sociétés multinationales ainsi que d’autres organismes de réglementation comme la Federal Trade Commission des États-Unis.
- Partager les connaissances sur les normes en matière de protection de la vie privée et d’autres enjeux et pratiques connexes avec des administrations et des partenaires internationaux.
Aider les Canadiennes et les Canadiens, les organisations et les institutions à prendre des décisions éclairées
- Continuer de cerner les enjeux représentant un risque d’atteinte à la vie privée et d’étendre les activités de sensibilisation à des publics clés.
- Travailler avec des partenaires comme le Réseau Éducation-Médias et nos homologues provinciaux pour élaborer et mettre en œuvre des programmes de sensibilisation et des lignes directrices.
Renforcer et maintenir les capacités organisationnelles
- Cibler et mettre en oeuvre des approches et des solutions novatrices pour relever les défis en matière de capacité (à savoir, recrutement massif pour les fonctions principales, formation en protection de la vie privée pour les nouveaux enquêteurs et d’autres membres du personnel, embauche avec perfectionnement subséquent, échanges, meilleur encadrement).
- Développer et utiliser des technologies fiables et des outils intégrés pour améliorer le partage d’information et de connaissances de même que la collaboration entre les directions du Commissariat, ce qui permettra d’améliorer sa capacité.
ANNEXE 1 – Définitions; processus d’enquête
Définitions des types de plaintes déposées en vertu de la LPRPDE
Les plaintes adressées au Commissariat sont réparties selon les principes et les dispositions de la LPRPDE qui auraient été enfreints :
- Accès. Une personne s’est vue refuser l’accès aux renseignements personnels qu’une organisation détient à son sujet ou n’a pas reçu tous les renseignements, soit en raison de l’absence de certains documents ou renseignements ou parce que l’organisation a invoqué des exceptions afin de soustraire les renseignements.
- Collecte. Une organisation a recueilli des renseignements personnels non nécessaires ou les a recueillis par des moyens injustes ou illégaux.
- Consentement. Une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement explicite de la personne concernée ou elle a fourni des biens et des services à la condition que la personne consente à la collecte, à l’utilisation ou à la communication déraisonnable de renseignements personnels.
- Conservation. Les renseignements personnels sont conservés plus longtemps qu’il n’est nécessaire aux fins qu’une organisation a déclarées au moment de la collecte des renseignements ou, s’ils ont été utilisés pour prendre une décision au sujet d’une personne, l’organisation n’a pas conservé les renseignements assez longtemps pour permettre à la personne d’y avoir accès.
- Correction/Annotation. L’organisation n’a pas corrigé, à la demande d’une personne, les renseignements personnels qu’elle détient à son sujet ou, en cas de désaccord avec les corrections demandées, n’a pas annoté les renseignements afin d’indiquer la teneur du désaccord.
- Délais. Une organisation a omis de fournir à une personne l’accès aux renseignements personnels qui la concernent dans les délais prévus par la Loi.
- Exactitude. Une organisation a omis de s’assurer que les renseignements personnels qu’elle utilise sont exacts, complets et à jour.
- Frais. Une organisation a exigé plus que des frais minimaux pour fournir à des personnes l’accès à leurs renseignements personnels.
- Mesures de sécurité. Une organisation n’a pas protégé les renseignements personnels qu’elle détient par des mesures de sécurité appropriées.
- Possibilité de porter plainte. Une organisation a omis de mettre en place les procédures ou les politiques qui permettent à une personne de porter plainte en vertu de la Loi ou elle a enfreint ses propres procédures et politiques.
- Responsabilité. Une organisation a failli à l’exercice de ses responsabilités à l’égard des renseignements personnels qu’elle possède ou qu’elle garde ou elle a omis de désigner une personne responsable de surveiller l’application de la Loi.
- Utilisation et communication. Les renseignements personnels sont utilisés ou communiqués à des fins autres que celles pour lesquelles ils avaient été recueillis, sans le consentement de la personne concernée, et l’utilisation ou la communication de renseignements personnels sans le consentement de la personne concernée ne font pas partie des exceptions prévues dans la Loi.
Définitions des conclusions et d’autres dispositions
Le Commissariat a élaboré des définitions de conclusions et de décisions afin d’expliquer les résultats des enquêtes effectuées conformément à la LPRPDE :
- Non fondée. L’enquête n’a pas permis de déceler les éléments de preuves qui suffisent à conclure qu’une organisation a enfreint la LPRPDE.
- Fondée. L’organisation n’a pas respecté une disposition de la LPRPDE.
- Résolue. L’enquête a corroboré les allégations, mais avant la fin de l’enquête, l’organisation a pris des mesures correctives pour remédier à la situation, à la satisfaction du Commissariat, ou s’est engagée à prendre ces mesures.
- Fondée et résolue. La commissaire est d’avis, au terme de son enquête, que les allégations semblent fondées sur des preuves, mais fait une recommandation à l’organisation concernée avant de rendre ses conclusions, et l’organisation prend ou s’engage à prendre les mesures correctives recommandées.
- Réglée en cours d’enquête. Le Commissariat aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. Aucune conclusion n’est rendue.
- Abandonnée. Il s’agit d’une enquête qui est terminée avant que toutes les allégations ne soient pleinement examinées. Une affaire peut être abandonnée pour toutes sortes de raisons, par exemple, le plaignant peut ne plus vouloir donner suite à l’affaire ou il est impossible de lui demander de fournir des renseignements supplémentaires, lesquels sont essentiels pour en arriver à une conclusion.
- Hors juridiction. L’enquête a démontré que la LPRPDE ne s’applique pas à l’organisation ou à l’activité faisant l’objet de la plainte.
- Réglée rapidement. Situation dans laquelle l’affaire est réglée avant même qu’une enquête officielle ne soit entreprise. À titre d’exemple, si une personne dépose une plainte concernant un sujet qui a déjà fait l’objet d’une enquête par le Commissariat et qui a été jugé conforme à la LPRPDE, nous donnons les explications nécessaires à la personne plaignante. Cette conclusion s’applique également lorsqu’une organisation, mise au courant des allégations, règle immédiatement la question à la satisfaction du plaignant et du Commissariat.
Processus d’enquête en vertu de la LPRPDE
ANNEXE 2 – Statistiques en matière d’enquête
Plaintes reçues par type de plainte
Plaintes reçues entre le 1er janvier et le 31 décembre 2008
| Type de plainte | Nombre | Pourcentage |
|---|---|---|
| Utilisation et communication | 162 | 38 |
| Collecte | 93 | 22 |
| Accès | 73 | 17 |
| Mesures de sécurité | 30 | 7 |
| Consentement | 24 | 6 |
| Délais | 11 | 3 |
| Responsabilité | 8 | 2 |
| Exactitude | 8 | 2 |
| Correction/Annotation | 5 | 1 |
| Transparence | 3 | <1 |
| Possibilité de porter plainte | 2 | <1 |
| Autre | 2 | <1 |
| Frais | 1 | <1 |
| Total | 422 |
Le plus grand nombre de plaintes que nous avons reçues portaient sur la manière dont les organisations ont utilisé et communiqué des renseignements. Le type de plainte au sujet de l’utilisation et de la communication le plus courant allègue que des renseignements personnels seraient utilisés à des fins autres que celles pour lesquelles ils ont été recueillis et seraient communiqués à des tiers sans le consentement de la personne concernée.
Les plaintes au sujet de la collecte portent habituellement sur la collecte de renseignements sans le consentement approprié ou sur la collecte de plus de renseignements qu’il n’est nécessaire pour remplir le but visé de la collecte.
La plupart des plaintes au sujet de l’accès allèguent que des organisations n’ont pas répondu à des demandes d’accès aux renseignements personnels ou n’ont pas fourni tous les renseignements auxquelles les personnes considèrent avoir droit.
Plaintes résolues par type de conclusion
Plaintes résolues entre le 1er janvier et le 31 décembre 2008
| Conclusions | Nombre | Pourcentage |
|---|---|---|
| Réglée en cours d’enquête | 108 | 26 |
| Abandonnée | 108 | 26 |
| Non fondée | 74 | 18 |
| Fondée et résolue | 30 | 7 |
| Résolue | 27 | 7 |
| Fondée | 25 | 6 |
| Hors juridiction | 20 | 5 |
| Réglée rapidement | 19 | 5 |
| Autre | 1 | <1 |
| TOTAL | 412 |
Les plaintes réglées forment encore une part significative de nos plaintes résolues (plus du quart). Cela laisse entendre que nous réussissions souvent à trouver des solutions qui ont satisfait les plaignants, les parties intimées et le Commissariat.
Le pourcentage de plaintes abandonnées est légèrement en hausse, atteignant 26 % comparativement à 21 % l’an dernier. Plusieurs raisons peuvent expliquer une telle situation : pour des motifs personnels; parce qu’une organisation a réglé une question avant le début de l’enquête; ou parce que le Commissariat ne peut pas aller de l’avant étant donné que le plaignant ne lui a pas fourni les détails additionnels nécessaires pour réaliser une enquête.
Délais de traitement des enquêtes – par type de conclusion
Période allant du 1er janvier au 31 décembre 2008
| Décision | Délai moyen de traitement, en mois |
|---|---|
| Réglée rapidement | 9,42 |
| Hors juridiction | 14,20 |
| Abandonnée | 17,28 |
| Réglée | 20,28 |
| Non fondée | 23,92 |
| Résolue | 25,15 |
| Fondée et résolue | 26,47 |
| Fondée | 29,76 |
| Autre | 36,00* |
| Moyenne globale | 20,73 |
* Le délai de traitement pour ce type de plainte ne vise qu’un seul cas.
Malheureusement, notre délai moyen de traitement est plus long qu’il ne l’était l’an dernier, en raison de l’ampleur de notre arriéré.
Un facteur clé de l’arriéré était le manque d’enquêteurs. De nombreux enquêteurs chevronnés affectés à la LPRPDE nous ont quitté au cours des trois dernières années. À certains moments au cours de l’année 2008, nous ne pouvions compter que sur quatre enquêteurs d’expérience affectés à la LPRPDE, qui avaient tous de nombreux dossiers entre les mains.
Le recrutement et le maintien en poste de spécialistes de l’accès et de la protection des renseignements personnels sont des entreprises difficiles, puisque de nombreuses organisations puisent au même bassin restreint de candidats. Pour pallier la perte importante d’enquêteurs affectés à la LPRPDE, une initiative de recrutement intensif a été lancée en 2008 est s’est soldée par l’embauche de 10 nouveaux enquêteurs au début de 2009.
La durée de nos délais de traitement s’explique également par l’importance que nous avons accordée à nos plus vieux dossiers, dans le cadre de notre opération éclair de réduction de l’arriéré. Sur le plan des statistiques, cette opération vient allonger notre temps moyen par dossier de plainte.
La priorité que nous accordons à l’arriéré de plaintes et le fait d’avoir un plus grand nombre d’enquêteurs nous permettront de réduire les délais de traitement à l’avenir.
Délais de traitement des enquêtes – par type de plainte
Période allant du 1er janvier au 31 décembre 2008
| Type de plainte | Délai moyen de traitement, en mois |
|---|---|
| Correction/Annotation | 16,3* |
| Délais | 18,2 |
| Exactitude | 18,5 |
| Consentement | 18,6 |
| Conservation | 18,6* |
| Mesures de sécurité | 19,2 |
| Collecte | 19,6 |
| Utilisation et communication | 21,2 |
| Accès | 22,0 |
| Responsabilité | 24,7 |
| Transparence | 25,8* |
| Frais | 27,7* |
| Autre | 41,0* |
| Moyenne globale | 20,7 |
* Les délais de traitement pour ces plaintes visent six cas ou moins chacun.
Les plaintes visant l’utilisation et la communication, la collecte, et les mesures de sécurité prennent généralement plus de temps à résoudre puisqu’elles impliquent habituellement une demande de mesures correctives.
Dans la catégorie Transparence, on retrouve une enquête complexe menée de concert avec une autre juridiction qui a exigé plus de temps. Les délais nécessaires pour régler les plaintes comprises dans les catégories Frais et Autre étaient attribuables en partie au manque de ressources, mais ils s’expliquent également par le fait que des négociations ont été nécessaires pour amener les organisations à améliorer leurs pratiques en matière de protection des renseignements personnels.
Délais de traitement des enquêtes – par secteur industriel
Période allant du 1er janvier au 31 décembre 2008
| Secteur industriel | Délai moyen de traitement, en mois |
|---|---|
| Location | 12,33 |
| Services | 13,53 |
| Transport | 14,77 |
| Institutions financières | 19,61 |
| Télécommunications | 19,68 |
| Santé | 20,00 |
| Services professionnels | 20,88 |
| Assurance | 22,85 |
| Hébergement | 23,46 |
| Autre | 23,60 |
| Ventes | 27,54 |
| Moyenne globale | 20,73 |
Conclusions par type de plainte
Plaintes résolues entre le 1er janvier et le 31 décembre 2008
| Abandonnée | Réglée rapidement |
Hors juridiction |
Non fondée |
Autre | Résolue | Réglée | Fondée | Fondée et résolue |
TOTAL | Pourcentage | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Utilisation et communication | 43 | 5 | 10 | 27 | 0 | 4 | 34 | 10 | 10 | 143 | 35 |
| Collecte | 38 | 5 | 5 | 12 | 0 | 2 | 21 | 5 | 6 | 94 | 23 |
| Accès | 11 | 3 | 0 | 13 | 0 | 12 | 18 | 2 | 2 | 61 | 15 |
| Mesures de sécurité | 5 | 2 | 1 | 5 | 0 | 1 | 10 | 5 | 3 | 32 | 8 |
| Consentement | 6 | 0 | 3 | 3 | 0 | 2 | 7 | 0 | 4 | 25 | 6 |
| Responsabilité | 1 | 0 | 0 | 6 | 0 | 0 | 7 | 1 | 0 | 15 | 4 |
| Délais | 1 | 2 | 1 | 1 | 0 | 3 | 4 | 1 | 2 | 15 | 4 |
| Exactitude | 1 | 0 | 0 | 4 | 0 | 1 | 2 | 0 | 0 | 8 | 2 |
| Transparence | 0 | 0 | 0 | 1 | 0 | 0 | 1 | 0 | 3 | 5 | 1 |
| Conservation | 2 | 0 | 0 | 0 | 0 | 1 | 2 | 0 | 0 | 5 | 1 |
| Correction/ Annotation |
0 | 2 | 0 | 1 | 0 | 0 | 1 | 0 | 0 | 4 | 1 |
| Frais | 0 | 0 | 0 | 0 | 0 | 1 | 1 | 1 | 0 | 3 | <1 |
| Autre | 0 | 0 | 0 | 1 | 1 | 0 | 0 | 0 | 0 | 2 | <1 |
| TOTAL | 108 | 19 | 20 | 74 | 1 | 27 | 108 | 25 | 30 | 412 |
Conclusions par secteur industriel
Plaintes résolues entre le 1er janvier et le 31 décembre 2008
| Abandonnée | Réglée rapidement |
Hors juridiction |
Non fondée |
Autre | Résolue | Réglée | Fondée | Fondée et résolue |
TOTAL | |
|---|---|---|---|---|---|---|---|---|---|---|
| Institutions financières | 22 | 8 | 2 | 22 | 0 | 6 | 26 | 5 | 12 | 103 |
| Télécommunications | 15 | 2 | 1 | 16 | 1 | 1 | 23 | 6 | 1 | 66 |
| Ventes | 9 | 2 | 1 | 9 | 0 | 4 | 16 | 2 | 9 | 52 |
| Transport | 28 | 2 | 0 | 5 | 0 | 1 | 7 | 4 | 1 | 48 |
| Autre | 8 | 0 | 5 | 4 | 0 | 5 | 13 | 3 | 2 | 40 |
| Assurance | 6 | 0 | 0 | 6 | 0 | 7 | 10 | 1 | 3 | 33 |
| Hébergement | 9 | 0 | 4 | 2 | 0 | 1 | 8 | 2 | 0 | 26 |
| Services professionnels | 3 | 1 | 4 | 5 | 0 | 1 | 1 | 0 | 1 | 16 |
| Services | 8 | 4 | 1 | 1 | 0 | 0 | 0 | 0 | 1 | 15 |
| Santé | 0 | 0 | 2 | 2 | 0 | 1 | 4 | 1 | 0 | 10 |
| Location | 0 | 0 | 0 | 2 | 0 | 0 | 0 | 1 | 0 | 3 |
| TOTAL | 108 | 19 | 20 | 74 | 1 | 27 | 108 | 25 | 30 | 412 |
Supports de substitution
- PDF (1,3 Mo) Accessibilité non vérifiée
- Date de modification :