La vie privée en temps de pandémie

Rapport annuel au Parlement 2019-2020 concernant la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques

Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3

© Sa Majesté la Reine du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2020
ISSN : 1913-3375

---

Message du commissaire

Le Commissariat insiste depuis longtemps, dans ses rapports annuels au Parlement, sur la nécessité de moderniser les lois canadiennes sur la protection des renseignements personnels pour mieux protéger les Canadiens à l’ère du numérique.

Pas plus tard que l’an dernier, je signalais comment les enquêtes majeures visant Statistique Canada, Facebook et Equifax avaient mis en évidence de graves lacunes dans le cadre législatif actuel.

Cette année, la pandémie de COVID-19 fait ressortir ces lacunes plus que jamais.

La pandémie a soulevé de nombreux enjeux sur le plan de la protection des renseignements personnels. Partout dans le monde, les applications de traçage et leurs répercussions sur la vie privée ont suscité de vifs débats. Plusieurs d’entre nous ont dû se soumettre à des mesures de surveillance sanitaire dans les aéroports ou avant d’entrer au travail, dans les restaurants et dans les commerces.

De façon plus générale, la pandémie a accéléré la révolution numérique – offrant plusieurs avantages, mais présentant aussi des risques pour la vie privée.

Puisque la distanciation physique doit être maintenue, la technologie occupe une plus grande place encore dans nos activités quotidiennes.

Au lieu de nous voir en personne, nous avons de plus en plus communiqué à distance, que ce soit pour travailler, socialiser, assister à des cours ou consulter un médecin. Pour ce faire, les Canadiens ont opté pour des services de vidéoconférence ou des plateformes en ligne.

Les technologies ont été très utiles afin de freiner la propagation de la COVID-19, en nous permettant de poursuivre en toute sécurité des activités essentielles. Elles peuvent servir l’intérêt public.

Toutefois, elles présentent aussi de nouveaux risques d’atteinte à la vie privée. Par exemple, si la plateforme virtuelle utilisée en télémédecine fait intervenir une entreprise commerciale, il y a un risque de violation du secret professionnel entre le médecin et le patient. De même, des plateformes d’apprentissage en ligne peuvent recueillir des renseignements sensibles sur les difficultés d’apprentissage des élèves ou leur comportement.

La pandémie a précipité le passage au numérique. Or, dans le cadre législatif actuel, les principes fondamentaux de protection de la vie privée qui nous permettraient d’utiliser des applications sans porter atteinte à nos droits demeurent, dans certains cas, de bonnes pratiques plutôt que des obligations juridiques.

Nous constatons, par exemple, que la législation ne prend pas adéquatement en considération la protection de la vie privée dans le contexte des partenariats public-privé. De plus, elle n’oblige pas les développeurs d’applications à tenir compte de la protection de la vie privée dès la conception ni des principes que sont la nécessité et la proportionnalité.

Lorsqu’il s’agit de protéger nos droits dans un environnement numérique, la législation n’est tout simplement pas à la hauteur. Le risque pour la protection de la vie privée et d’autres droits est amplifié du fait que la pandémie provoque une transformation rapide de la société et de l’économie, dans un contexte où nos lois n’offrent pas une protection efficace aux Canadiens.

Dans notre dernier rapport annuel, nous avons fait part de notre vision sur la façon de protéger le mieux possible la vie privée des Canadiens et exhorté les parlementaires à adopter des lois fondées sur les droits.

Nous avons aussi souligné que la protection de la vie privée constitue un droit fondamental (la liberté de vivre et de s’épanouir sans surveillance). Elle est aussi une condition préalable à l’exercice d’autres droits de la personne, dont le droit à l’égalité, à une époque où les machines et les algorithmes prennent des décisions à notre sujet, ainsi que les droits démocratiques, puisque l’on sait que les technologies peuvent entraver les processus démocratiques.

Il est essentiel de réglementer la protection de la vie privée, non seulement pour soutenir le commerce électronique et les services numériques, mais aussi pour des raisons de justice.

Quand la pandémie de COVID-19 a atteint le Canada, certains estimaient qu’il faudrait mettre de côté la protection de la vie privée parce qu’il était plus important de protéger la vie des Canadiens.

Compte tenu de la gravité et de l’urgence de la situation, cette réaction n’avait rien d’étonnant. Cependant, elle reposait sur une fausse prémisse, à savoir qu’il fallait faire un choix entre la protection de la santé publique et celle de la vie privée.

En mai 2020, lorsque je me suis présenté devant le Comité permanent de la Chambre des communes sur l’industrie, les sciences et la technologie, j’ai indiqué que, lorsqu’elles sont bien conçues, les applications de traçage de contacts peuvent atteindre simultanément les objectifs de santé publique et de protection des droits.

La technologie en soi n’est ni bonne ni mauvaise. Tout dépend de la façon dont elle est conçue, utilisée et réglementée.

La technologie permet de protéger à la fois la santé publique et la vie privée et devrait être utilisée à cette fin. En effet, la protection de la vie privée et l’innovation peuvent coexister.

Nous avons observé que des choix de conception appropriés ont été faits pour certaines mesures de santé publique – notamment en ce qui concerne l’application Alerte COVID du gouvernement fédéral.

Il n’en reste pas moins que notre cadre législatif actuel en matière de protection de la vie privée est dépassé et ne traite pas suffisamment de l’environnement numérique pour garantir une réglementation appropriée des nouvelles technologies.

Une reprise fondée sur l’innovation ne sera durable que si l’on protège adéquatement les intérêts et les droits de tous les citoyens. Nos lois peuvent et doivent prendre en compte ces intérêts et ces droits.

Nous avons besoin de lois qui permettent aux Canadiens de profiter des avantages de la technologie, dans l’intérêt public, tout en préservant leur droit à la vie privée. Le moment est venu de montrer aux Canadiens qu’ils peuvent avoir les deux à la fois.

Réponse du Commissariat à la pandémie de COVID-19

Tout au long de la pandémie, le Commissariat a reconnu que la crise sanitaire actuelle exige une application souple et contextuelle des lois sur la protection de la vie privée. Toutefois, comme la vie privée est un droit fondamental, il est très important, dans notre pays démocratique fondé sur la primauté du droit, que les principes clés continuent de s’appliquer, même si toutes ses exigences les plus pointues ne s’appliquent pas avec la même rigueur qu’en temps normal.

Toujours dans le but d’assurer à la fois une plus grande souplesse dans l’application de la loi et le respect de la vie privée comme droit fondamental, le Commissariat a publié en avril un cadre pour l’évaluation des initiatives en réponse à la pandémie ayant une incidence importante sur la vie privée.

Nous avons également publié des orientations afin d’aider les organisations assujetties aux lois fédérales sur la protection des renseignements personnels à comprendre les obligations qui leur incombent durant la pandémie en vertu de ces lois.

En mai, nous avons publié avec nos homologues provinciaux et territoriaux une déclaration commune pour souligner les principaux principes de protection de la vie privée à respecter dans le développement d’applications de traçage de contacts ou d’autres applications numériques similaires.

Les gardiens de la vie privée de tout le pays estimaient qu’il était important de publier une déclaration commune, car ces applications présentent des risques importants pour la vie privée.

Toutefois, une telle déclaration rappelle malheureusement que certaines lois canadiennes sur la protection des renseignements personnels – assurément les lois fédérales – ne fournissent pas un niveau de protection adéquat dans un environnement numérique.

Le respect du droit à la vie privée ne se limite pas à une pratique exemplaire dont l’adoption serait laissée au bon vouloir des représentants des gouvernements ou des géants de la technologie. Il s’agit d’un véritable droit, dont l’exécution peut être exigée des compagnies et des gouvernements.

Dans une résolution conjointe présentée l’automne dernier, les commissaires provinciaux et territoriaux et le Commissariat ont aussi demandé qu’une législation efficace sur la protection des renseignements personnels soit établie dans une société axée sur les données.

La réponse du Commissariat à la pandémie est traitée plus en détail dans la prochaine section du présent rapport, intitulée La vie privée en temps de pandémie. On y explique également comment l’énorme défi que pose la pandémie pour la santé publique met en évidence la nécessité d’une réforme législative fondée sur les droits.

Conclusion

Si l’on intègre avec soin les considérations relatives à la vie privée à même la conception des initiatives liées à la COVID-19, on permettra aux gens d’avoir davantage confiance envers le gouvernement ainsi que dans les mesures de santé publique et les outils numériques, lesquels sont devenus si importants dans la vie de tous les jours.

Les choix que fait notre gouvernement pour protéger la santé publique et les valeurs fondamentales comme le droit à la vie privée auront des répercussions à long terme pour tous les Canadiens.

De même, la voie que choisira le gouvernement lorsqu’il s’agira de la réforme législative aura une incidence importante pour les générations futures.

Nous vous présentons dans ce rapport d’autres travaux effectués par le Commissariat au cours de l’exercice écoulé. Il y sera question de différentes enquêtes, du succès que nous avons connu pour réduire le nombre de dossiers en attente et des avis donnés au gouvernement et aux entreprises pour que la vie privée et la santé publique puissent être protégées simultanément. Nous avons poursuivi ces activités pendant que nous étions confrontés à des enjeux opérationnels sans précédent.

En rétrospective, je m’estime privilégié d’avoir été épaulé cette dernière année par des personnes dévouées et compétentes. Quand la pandémie a atteint le pays, l’équipe du Commissariat a offert son soutien à des organisations des secteurs public et privé. Elle a répondu aux questions du public et des médias sur la vie privée et la pandémie. Elle m’a aussi aidé à répondre aux demandes des parlementaires relativement à la crise sanitaire, tout en s’acquittant de nombreuses autres tâches – recevoir les plaintes, examiner les rapports d’atteintes à la vie privée, enquêter sur de possibles infractions à la loi et assurer le bon fonctionnement de notre système informatique afin d’être en mesure d’offrir nos services aux Canadiens.

Les employés du Commissariat ont accompli toutes ces tâches alors qu’ils passaient eux-mêmes en mode télétravail et réorganisaient leur vie pour respecter les consignes de santé publique. Les Canadiens ont le grand privilège de compter sur des personnes aussi passionnées et compétentes qui s’efforcent de protéger leur vie privée en tout temps.

La protection de la vie privée en chiffres

   

Plaintes en vertu de la LPRP acceptées	761
Plaintes en vertu de la LPRP fermées par règlement rapide	338
Plaintes en vertu de la LPRP fermées à l’issue d’une enquête officielle	997
Plaintes fondées déposées en vertu de la LPRP	82 %
Rapports d’atteintes à la sécurité des données reçus en vertu de la LPRP	341
Évaluations des facteurs relatifs à la vie privée (EFVP) reçues	78
Activités de liaison des services-conseils avec le secteur public	66
Avis donnés à des organisations du secteur public à la suite de l’examen d’une EFVP ou d’une consultation à cet égard	121
Communications de renseignements dans l’intérêt public par les institutions fédérales	611
Plaintes en vertu de la LPRPDE acceptées	289
Plaintes en vertu de la LPRPDE fermées à l’issue d’un règlement rapide	221
Plaintes en vertu de la LPRPDE fermées à l’issue d’une enquête ordinaire	97
Plaintes fondées déposées en vertu de la LPRPDE	78 %
Rapports d’atteintes à la sécurité des données reçus en vertu de la LPRPDE	678
Activités de liaison des services-conseils avec le secteur privé	19
Lois, projets de loi et études parlementaires examinés sous l’angle de leurs répercussions sur la vie privée	29
Comparutions devant des comités parlementaires sur des questions touchant les secteurs privé et public	8
Demandes d’information	11 450
Allocutions et présentations	74
Consultations du site Web	2 813 127
Consultations du blogue	95 190
Gazouillis envoyés	1 054
Abonnés sur Twitter	17 092
Publications diffusées	43 746
Annonces et communiqués diffusés	50

La vie privée en temps de pandémie

La réponse à l’urgence sanitaire fait ressortir l’importance de protéger les droits et de renforcer la confiance.

La pandémie de COVID-19 a provoqué une tragédie et des bouleversements partout dans le monde. Les efforts déployés pour contenir le virus et faire face à ses répercussions sociales et économiques se sont traduits par des changements brusques et colossaux.

La technologie joue un rôle central dans ces efforts. Des gens dans le monde entier l’utilisent pour tenter de freiner la propagation de la COVID-19 et pour adapter leurs activités de tous les jours en fonction des règles de distanciation physique. Dans la lutte contre ce virus mortel, les autorités sanitaires et gouvernementales se sont notamment tournées vers des outils numériques, comme les applications de traçage des contacts.

Parallèlement, la pandémie a considérablement accéléré l’adoption déjà rapide de technologies dans notre vie quotidienne. Une plus grande partie de nos interactions se font en ligne – qu’il s’agisse de socialiser avec nos amis ou les membres de notre famille, de faire des affaires ou d’aller à l’école. Par nécessité, le télétravail, l’apprentissage en ligne et la télémédecine sont soudainement devenus beaucoup plus courants.

La vidéoconférence et d’autres services en ligne sont utiles, car ils nous permettent de maintenir un semblant de vie normale pendant la pandémie. Toutefois, ils créent aussi des risques élevés sur le plan de la vie privée.

Cette situation est d’autant plus préoccupante que nos lois actuelles sur la protection de la vie privée n’assurent pas une protection efficace adaptée à l’environnement numérique.

Dans notre rapport annuel précédent, nous avons demandé au Parlement d’adopter des lois sur la protection des renseignements personnels fondées sur les droits, qui protégeraient mieux les Canadiens contre les dérives des technologies axées sur les données.

Nous soulignions encore une fois que les lois fédérales sur la protection des renseignements personnels, conçues à une époque fort différente et maintenant désuètes, ne permettent plus d’assurer le respect du droit à la vie privée des Canadiens.

Comme la pandémie accélère la numérisation dans à peu près tous les aspects de notre vie, l’avenir auquel nous exhortons depuis longtemps le gouvernement à se préparer s’est concrétisé d’une façon soudaine et radicale. Cette transformation rapide de la société se produit en l’absence d’un cadre législatif approprié pour orienter les décisions et protéger les droits fondamentaux.

Nous sommes tous impatients de reprendre des activités en personne lorsque la menace de la pandémie se sera atténuée, mais la soi-disant « nouvelle normalité » comportera probablement plus d’interactions numériques – et d’intrusions non désirées et souvent indétectables dans notre vie privée.

Nous sommes collectivement confrontés à des circonstances incertaines et extraordinaires en raison de la pandémie. Ces circonstances révèlent toute l’importance de disposer de lois sur la vie privée fondées sur les droits en vue d’orienter la prise de décisions. Situer le droit à la vie privée dans le contexte qui lui est propre, soit celui des droits de la personne, garde toute son importance et est plus nécessaire que jamais.

Le présent chapitre porte sur la façon dont la pandémie rend encore plus nécessaire l’adoption de lois qui protègent les droits et reflètent les valeurs canadiennes fondamentales. Nous nous penchons aussi sur l’approche adoptée par le Commissariat à l’égard des enjeux relatifs à la vie privée suscités par la pandémie. Nous abordons notamment les travaux que nous avons accomplis avec des institutions gouvernementales et des organisations commerciales pour assurer l’intégration d’importants principes de protection de la vie privée dans la conception d’initiatives en lien avec la COVID-19.

Enfin, nous faisons le point sur les développements en matière de réforme législative depuis que nous avons publié notre plan d’action dans notre rapport annuel 2018-2019.

Réponse aux répercussions de la COVID-19

Tout au long de la pandémie, le Commissariat a reconnu que la crise sanitaire actuelle exige une application souple et contextuelle des lois sur la protection de la vie privée. Toutefois, comme la vie privée est un droit fondamental, il est très important, dans notre pays démocratique fondé sur la primauté du droit, que les principes clés continuent de s’appliquer, même si toutes ses exigences les plus pointues ne s’appliquent pas avec la même rigueur qu’en temps normal.

Toujours dans le but d’assurer à la fois une plus grande souplesse dans l’application de la loi et le respect de la vie privée comme droit fondamental, le Commissariat a publié en avril un cadre pour l’évaluation des initiatives en réponse à la pandémie ayant une incidence importante sur la vie privée.

Par la suite, nous avons publié en mai une déclaration commune avec les commissaires provinciaux et territoriaux à la protection de la vie privée sur les principes de protection de la vie privée qui doivent être respectés lors de la conception et de l’utilisation de toute application de traçage de contacts ou application similaire.

Ces deux documents avaient pour but de fournir des orientations claires sur la manière d’intégrer la protection de la vie privée dans la conception des programmes gouvernementaux visant à lutter contre la pandémie, compte tenu du fait que nos lois n’offrent pas un niveau de protection efficace adapté à l’environnement numérique.

Certains des principes énoncés dans nos documents d’orientation n’ont pas force de loi actuellement au Canada, même s’ils sont considérés comme des principes fondamentaux de la vie privée au niveau international.

Le cadre d’évaluation définit les principes de protection de la vie privée les plus pertinents dans le contexte de la pandémie, sans tirer un trait sur les autres. Il énonce, entre autres, les grands principes suivants :

• conformité à la loi : les mesures envisagées doivent avoir une assise juridique claire;
• les mesures doivent être nécessaires et proportionnelles, donc être fondées sur des données probantes et être nécessaires à une fin particulière déterminée;
• finalité : n’utiliser les renseignements personnels que pour des fins précises visant la protection de la santé publique et pour aucune autre fin;
• utiliser des données désidentifiées ou agrégées dans la mesure du possible;
• les mesures exceptionnelles devraient être d’une durée limitée et les données recueillies durant cette période devraient être détruites à la fin de la crise;
• transparence et responsabilité : le gouvernement devrait communiquer clairement le fondement et les modalités des mesures exceptionnelles et en assumer la responsabilité.

Tout comme le cadre d’évaluation, la déclaration commune demande aux gouvernements qui considèrent adopter des applications de traçage des contacts de respecter plusieurs principes clés. Par exemple, les signataires ont affirmé que l’installation des applications doit être volontaire et leur usage, nécessaire et proportionnel, ce qui exige notamment que ces applis soient vraisemblablement efficaces.

Travail consultatif sur les initiatives en lien avec la COVID-19

Pendant la pandémie, plusieurs organisations gouvernementales et autres ont consulté le Commissariat concernant diverses initiatives en lien avec la pandémie.

Ces initiatives portaient notamment sur une application de traçage des contacts conçue par une organisation non gouvernementale, l’application Alerte COVID du gouvernement fédéral, ainsi que sur la proposition d’un détaillant désireux de prendre la température des clients à la porte principale de ses commerces.

Dans les semaines qui ont précédé le lancement de l’application de notification d’exposition Alerte COVID, le Commissariat fédéral et le Commissariat à l’information et à la protection de la vie privée de l’Ontario (CIPVP) ont tenu des discussions approfondies et productives avec les gouvernements fédéral et ontarien.

Les deux commissariats ont formulé des recommandations à leur gouvernement respectif, lesquelles étaient fondées sur les principes clés de protection de la vie privée énoncés dans la déclaration commune fédérale-provinciale-territoriale sur les applications de traçage. Puisque l’application en question était présentée comme une initiative nationale, le Commissariat et le CIPVP ont également consulté des commissaires à la protection de la vie privée d’autres provinces et territoires.

Le Commissariat et le CIPVP ont appuyé l’utilisation de l’application Alerte COVID en se fondant en partie sur le fait que cette utilisation serait volontaire. Toutefois, bien que l’application soit volontaire en ce qui concerne les gouvernements fédéral et ontarien, il existe toujours le risque qu’une tierce partie puisse chercher à contraindre les utilisateurs à fournir des renseignements sur l’utilisation de l’appli, dont les notifications d’exposition.

Les commissariats ont aussi appuyé l’utilisation de l’application Alerte COVID dans la mesure où cette dernière serait efficace. Les gouvernements ont suffisamment démontré que l’application, bien qu’elle soit récente et qu’elle n’ait pas été testée, sera vraisemblablement efficace pour freiner la propagation de la COVID-19, en étant jumelée à un ensemble plus vaste de mesures qui inclut le traçage de contacts manuel. Toutefois, parce que son efficacité est incertaine, les commissaires ont recommandé que la mise en œuvre de l’application fasse l’objet d’une surveillance étroite, et que l’appli soit mise hors service si de nouvelles informations démontrent qu’elle n’est pas ou n’est plus efficace pour atteindre son objectif.

Une surveillance exercée par une entité indépendante sera essentielle pour susciter la confiance du public. Le gouvernement fédéral a accepté de faire appel au Commissariat pour vérifier l’application une fois qu’elle sera en ligne et fonctionnelle. Cette vérification comprendra une analyse continue de l’appli selon les principes de nécessité et de proportionnalité, y compris de son efficacité, et permettra d’évaluer si les principes de la déclaration conjointe fédérale-provinciale-territoriale ont été respectés dans la conception et la mise en œuvre de l’appli.

En plus de nous pencher sur l’application Alerte COVID, nous avons été approchés par un certain nombre d’institutions du secteur public qui nous ont consultés sur des initiatives visant à répondre à la pandémie de COVID-19. Ces travaux étaient toujours en cours au moment de la rédaction du présent rapport.

Nous avons fourni des conseils dans le contexte de nouvelles activités, notamment des programmes de prestations sociales, l’ordonnance d’isolement obligatoire du gouvernement fédéral lié à la COVID-19 pour les personnes entrant au Canada, et la vérification de la température de tous les passagers aériens voyageant au pays ou à destination du Canada.

L’un des programmes de prestations sociales que nous avons examinés est le Paiement unique de 600 $ aux personnes en situation de handicap afin de les aider à couvrir les dépenses extraordinaires engagées pendant la pandémie de COVID-19. Puisque ce programme est administré conjointement par l’Agence du revenu du Canada, Anciens Combattants Canada et Emploi et Développement social Canada, nous avons proposé que les lettres d’entente entre ces ministères comprennent des dispositions claires sur le principe de finalité et la conservation des données.

Lors de l'examen des mesures pour faire respecter l'ordonnance d'isolement obligatoire, selon laquelle les personnes entrant au Canada doivent s'isoler pendant 14 jours, nous avons recommandé que les institutions ne conservent les renseignements personnels qu'aussi longtemps que nécessaire. Nous avons également recommandé que les institutions limitent l'utilisation des renseignements personnels aux fins pour lesquelles ils ont été recueillis, à savoir les suivis pour la santé publique et la vérification de la conformité.

À la rédaction du présent rapport, nous n'avions pas encore terminé notre examen du programme de vérification de la température dans les aéroports canadiens. Cependant, nous avons formulé des recommandations à l'Administration canadienne de la sûreté du transport aérien (ACSTA) sur la transparence et sur la collecte, l'utilisation, la divulgation et la conservation des renseignements personnels.

Nous avons également conseillé à Transports Canada et à l'ACSTA de se tenir informés de toute orientation de la santé publique qui pourrait être publiée sur la vérification de la température, et de tenir compte de cette orientation pour évaluer l'efficacité de l'initiative.

Du côté du secteur privé, un détaillant national a communiqué avec le Commissariat pour obtenir des conseils alors qu’il envisageait de vérifier la température des clients à l’entrée de ses commerces pour atténuer le risque de propagation de la COVID-19. L’organisation prévoyait notamment qu’un des résultats de ce programme de vérification de la température serait d’exiger que les individus portent un masque dans ses commerces.

Le commerçant avait tenu compte d’un certain nombre de mesures importantes de protection des renseignements personnels, comme d’obtenir le consentement explicite des clients avant de vérifier leur température, et de s’abstenir d’enregistrer ou de conserver tout renseignement personnel obtenu à l’aide de caméras thermiques, ce que nous avons estimé encourageant.

Nous avons recommandé à l’organisation de tenir compte des nouvelles exigences relatives au port du masque ou d’un couvre-visage et de leurs répercussions sur son programme, et de déterminer si elle pourrait atteindre ses objectifs en prenant des mesures moins intrusives. Nous avons aussi formulé un certain nombre de recommandations à l’intention du détaillant, dans l’éventualité où il déciderait de mettre en œuvre le programme de vérification de la température, dont les suivantes : n’utiliser les caméras thermiques que pour des images captées en direct afin de ne pas conserver de renseignements personnels, obtenir le consentement valable des clients, et réévaluer régulièrement le programme afin d’en assurer l’harmonisation avec toute nouvelle orientation des autorités compétentes en matière de santé publique.

COVID-19 et objectifs de la réforme législative

La pandémie a accéléré la numérisation de notre vie : pour nous protéger, nous exerçons désormais une plus grande partie de nos activités en ligne.

Si la technologie offre d'énormes avantages, elle présente également des risques qui ne sont pas correctement atténués dans le cadre législatif actuel.

Nous avons accueilli favorablement les efforts déployés par certaines organisations des secteurs privé et public pour concevoir leurs initiatives de manière à protéger la vie privée.

L'application Alerte COVID du gouvernement fédéral en est un bel exemple. Lorsque le gouvernement nous a consultés pour la première fois, la conception de l'application était bonne, mais elle ne respectait pas tous les principes clés de protection de la vie privée énoncés dans notre cadre. Après des discussions fructueuses, l'application a finalement respecté ces principes. Cet exemple montre que lorsque des institutions gouvernementales ou des entreprises souhaitent adopter le concept de « vie privée dès la conception », elles peuvent le faire.

Toutefois, les exemples positifs que nous avons observés n'enlèvent rien à l'urgence d'une réforme législative. Si certains tentent de prendre des mesures adéquates pour protéger la vie privée, d'autres n'y parviennent pas.

Même dans le cas de l'application Alerte COVID, largement positif, les discussions avec le gouvernement fédéral ont mis en évidence des préoccupations plus vastes liées à la réforme législative.

Ces applications sont extrêmement délicates sur le plan de la vie privée et font l'objet de préoccupations à l’échelle mondiale pour l'avenir des valeurs démocratiques. Néanmoins, le gouvernement a affirmé que la Loi sur la protection des renseignements personnels (LPRP) ne s'applique pas à l'initiative puisque selon lui, Alerte COVID ne recueille pas de renseignements personnels.

Et bien que l’appli soit volontaire en ce qui concerne le gouvernement, il demeure possible qu’une tierce partie puisse chercher à contraindre les utilisateurs à fournir des renseignements sur l’utilisation de l’appli, dont les alertes d’exposition. Les gouvernements se sont engagés à informer le public que personne ne devrait être obligé d’utiliser l’application ou de divulguer des renseignements sur son utilisation.

Il s’agit d’une mesure qui diminuera les risques qui pèsent sur le caractère volontaire de l’application sans toutefois les éliminer. D’autres pays ont légiféré pour s’assurer que des applications similaires sont totalement volontaires. Une fois de plus, cela met en évidence une question qui devrait être examinée dans le cadre de la modernisation des lois.

D'autres travaux consultatifs réalisés pendant la pandémie ont fait ressortir la nécessité d'examiner les enjeux relatifs aux partenariats public-privé.

Nous avons remarqué que plusieurs initiatives liées à la COVID-19 comportait un élément de collecte de renseignements personnels par des entités commerciales, que ce soit dans le cadre de partenariats public-privé ou d'autres formes de recours au secteur privé.

Nous avons vu un cas où des accords relatifs à un produit ont permis à une entreprise d'utiliser des renseignements personnels au-delà des objectifs précisés pour leur collecte. Ces accords, dont les termes étaient difficiles à comprendre pour les personnes concernées, ont servi de base au consentement. À la suite de discussions avec le ministère en question, l'avis de confidentialité au moyen duquel le consentement de l'utilisateur était obtenu a été amélioré.

Dès le début de la réponse du gouvernement à la pandémie, le Secrétariat du Conseil du Trésor du Canada (SCT) a introduit des mesures provisoires afin d’assouplir le processus d’examen des facteurs relatifs à la vie privée (EFVP) des initiatives prises par les institutions fédérales en réponse à la pandémie de COVID-19.

Lors de l’examen de ces mesures, nous avons constaté qu’un certain nombre d’initiatives liées à la COVID-19 comportaient des partenariats avec le secteur privé. Dans les cas où l’autorisation légale d’une initiative était fondée sur le consentement obtenu par une organisation du secteur privé, les institutions gouvernementales n'étaient pas tenues par la politique de s'assurer que ce consentement était valable.

À cet égard, le SCT a affirmé qu’il ne pouvait pas ajouter une telle exigence, car il devait se limiter au cadre juridique actuel. Selon lui, des modifications à la loi seraient donc nécessaires pour obliger les ministères à s’assurer de la validité du consentement obtenu par leurs partenaires privés. Par conséquent, il reste possible qu'une institution du secteur public mette en place une solution technologique à la pandémie qui permettrait à son partenaire du secteur privé d'utiliser les renseignements personnels à des fins commerciales sans rapport avec la santé publique.

Ce manque de clarté concernant les données recueillies à des fins publiques par une entité privée pourrait éventuellement amener une entreprise à lancer une application et à utiliser les renseignements à des fins commerciales. L’entreprise n’aurait qu’à obtenir le consentement des intéressés, même si c’est fait au moyen d’énoncés rédigés en des termes incompréhensibles.

Par ailleurs, depuis le début de la pandémie, nous avons observé une plus grande utilisation de plateformes de télémédecine et d’apprentissage en ligne. Ces plateformes sont extrêmement utiles, car elles permettent aux activités pédagogiques et aux consultations médicales de se poursuivre, mais elles posent aussi de nouveaux risques.

L’accès au cabinet du médecin a été sérieusement limité à court terme. Si la plateforme virtuelle utilisée en télémédecine fait intervenir un fournisseur du secteur privé, qui pourrait avoir accès aux renseignements d’une consultation médicale, il y a un risque de violation du secret professionnel entre le médecin et le patient.

De même, puisque de nombreux étudiants et élèves ont dû utiliser des plateformes d’apprentissage en ligne et de vidéoconférence pendant la pandémie, des organisations commerciales pourraient avoir accès à des renseignements concernant leurs difficultés d’apprentissage ou à d’autres données sur leur comportement.

Durant la pandémie, nous avons constaté une utilisation accrue des outils de vidéoconférence, notamment aux fins susmentionnées dans le domaine de la santé et de l’apprentissage. Compte tenu des populations vulnérables visées et des renseignements sensibles en cause, le Commissariat a uni sa voix à celles d’homologues internationaux en publiant une lettre ouverte destinée aux entreprises de vidéoconférence pour leur rappeler leur obligation de se conformer aux lois et de traiter les renseignements personnels de façon responsable.

Nous avons besoin de lois qui fixent des limites claires quant aux utilisations autorisées des données, plutôt que de se fier au bon vouloir des entreprises pour agir de manière responsable.

Le rôle croissant des partenariats public-privé crée une complexité et un risque supplémentaires. C’est pourquoi, à tout le moins, des principes communs doivent s’inscrire dans les lois applicables au secteur public et au secteur privé.

Nous avons besoin de toute urgence de lois sur la protection des renseignements personnels fondées sur les droits qui permettent aux technologies de procurer des avantages dans l’intérêt public et qui protègent le droit à la vie privée.

Comme l’a écrit récemment un ancien conseiller du président Obama, personne ne penserait que la liberté de réunion est menacée, malgré les limites temporaires imposées en raison de la crise sanitaire actuelle, parce que la Constitution protège cette liberté (au Canada, liberté d’association).

Dans le monde du numérique, on n’accorde pas aux droits la même certitude. La protection de la vie privée est à risque, et des lois modernes sont nécessaires pour la protéger de manière appropriée en tant que droit fondamental.

Même avant la pandémie, certaines tendances comme le recours accru à la technologie et aux partenariats public-privé avaient atteint un point de bascule. Les droits démocratiques et le droit à la vie privée étaient mis à rude épreuve, et une réforme se faisait attendre depuis longtemps.

Dans notre rapport annuel précédent, nous avions analysé la façon dont l’affaire Facebook et Cambridge Analytica et le refus de Facebook de remédier aux lacunes en matière de protection de la vie privée avaient braqué les projecteurs sur la nécessité d’améliorer les mécanismes de protection. La pandémie et les enjeux de vie privée qu’elle soulève mettent encore plus en évidence cette situation.

Comme nous l'avons déjà mentionné, le Commissariat a examiné les mesures de politiques provisoires introduites par le SCT pour donner aux institutions du secteur public fédéral une plus grande souplesse dans leur réponse à la pandémie de COVID-19.

Nous avons exprimé notre inquiétude à l’égard de ces mesures qui ont assoupli les règles habituelles d’EFVP sans offrir de solutions de rechange adéquates. Par conséquent, à notre avis, elles n'offraient pas une approche équilibrée pour évaluer l’incidence sur la vie privée des initiatives urgentes liées à la COVID-19.

Pour remédier à ce déséquilibre, nous avons recommandé au SCT d'inclure, dans la Directive intérimaire sur l'évaluation des facteurs relatifs à la vie privée, un énoncé de politique qui rappellerait aux institutions que, malgré la suspension des règles habituelles, le gouvernement a le devoir de protéger le droit à la vie privée en tant que droit de la personne fondamental et quasi-constitutionnel.

En retour, le SCT a déclaré qu'un tel énoncé serait incompatible avec son cadre législatif et stratégique, puisqu’il irait au-delà des changements ciblés qui ont été faits pour offrir une certaine souplesse dans la réponse à la pandémie. Même si cette question a fait l’objet de nombreux échanges, le SCT a maintenu qu'il ne pouvait confirmer cet engagement dans le cadre législatif existant.

Une telle réticence de la part du gouvernement à affirmer que le droit à la vie privée est un droit fondamental, en l'absence d'une loi adoptée par le Parlement, est difficile à comprendre et constitue une preuve supplémentaire de la nécessité impérieuse de réformer nos lois.

Plan d’action pour la réforme législative

Les modifications législatives recommandées dans notre rapport annuel 2018-2019 demeurent extrêmement pertinentes pour relever les nouveaux défis que pose la pandémie. Nous avions formulé ces recommandations dans le contexte d’une crise de confiance, qui a pris de l’ampleur au fil des ans.

Des atteintes à la sécurité des données ont touché des dizaines de millions de Canadiens. D’après nos sondages, environ 90 % des Canadiens sont préoccupés par leur incapacité de protéger leur vie privée. Seulement 38 % des répondants estiment que les entreprises respectent leur droit à la vie privée, tandis que 55 % ont l’impression que le gouvernement respecte ce droit.

Il ne peut y avoir de confiance si les droits ne sont pas respectés. Des lois adéquates sur la protection des renseignements personnels sont essentielles pour favoriser la confiance à l’égard du gouvernement et des organisations du secteur privé. C’était vrai avant l’éclosion de la COVID-19 et cela l’est encore plus dans le contexte de la pandémie. Les Canadiens veulent profiter des avantages qu’offrent les technologies numériques, tout en ayant l’assurance de pouvoir le faire dans le respect de leurs droits.

Dans notre plan d’action pour la réforme législative, nous affirmions que le point de départ devrait consister à faire en sorte que de nouvelles lois sur la protection des renseignements personnels soient fondées sur les droits. L’un des objectifs fondamentaux de la loi devrait consister à protéger le droit à la vie privée en soi, et aussi en tant que condition préalable à la réalisation et à la protection d’autres droits.

Nous avions suggéré alors d’ajouter dans la LPRPDE et la LPRP un préambule et un énoncé d’objet qui situent le droit à la vie privée dans le cadre qui lui est propre, soit celui des droits de la personne.

Ces libellés permettraient de combler le fossé entre la protection des données et le respect de la vie privée. En outre, ils définiraient les valeurs, les principes et les objectifs voulus pour orienter l’interprétation et l’application des principes de protection des données dans les deux lois fédérales.

Nous préconisions aussi de modifier la loi sur la protection des renseignements personnels dans le secteur privé de manière à ce qu’elle ne soit plus rédigée comme un code de conduite de l’industrie. Ce changement mettrait fin à l’autoréglementation.

Afin que les Canadiens puissent profiter en toute sécurité des avantages offerts par les technologies numériques, nous avions proposé l’ajout de mécanismes de contrôle qui favoriseraient la conformité à la loi et se traduiraient par des recours rapides et efficaces pour les individus victimes d’une atteinte à leur vie privée.

Entre autres, ces mécanismes conféreraient au commissaire à la protection de la vie privée le pouvoir de rendre des ordonnances exécutoires et d’imposer des sanctions administratives en cas de non-conformité à la loi. En outre, le Commissariat serait habilité à effectuer des inspections proactives pour assurer une responsabilité démontrable. D’autres autorités de la protection des données partout dans le monde exercent avec succès ce type de pouvoirs d’application.

Ces éléments que nous préconisons dans notre approche fondée sur les droits sont déjà en place chez la plupart des partenaires commerciaux du Canada, comme l’illustre la figure 1.

Figure 1 – Protection de la vie privée : Le Canada et ses partenaires commerciaux

Version textuelle de la figure 1

Protection de la vie privée : Le Canada et ses partenaires commerciaux

Juridiction	Plus récente mise à jour des loi	Reconnaissance  de la vie privée comme droit de la personne	Pouvoir d’établir des règles	Responsabilité démontrable	Pouvoir de rendre des ordonnances	Sanctions administratives pécuniaires	Droit privé d’action
Canada (LPRPDE)	2015	non	non	non	non	non	non*
Argentine	2018	oui	oui	oui	oui	oui	oui
Brésil	2018	oui	oui	oui	oui	oui	oui
Union européenne	2018	oui	oui	oui	oui	oui	oui
Royaume-Uni	2018	oui	oui	oui	oui	oui	oui
Australie	2012	oui	oui	oui	oui	oui	oui
Mexique	2016	oui	oui	oui	oui	oui	non
Corée du Sud	2018	oui	oui	oui	oui	oui	non
Nouvelle-Zélande	2020	oui	oui	oui	oui	non	non
Singapour	2012	non	oui	oui	oui	oui	oui
Japon	2015	non	oui	oui	oui	oui	non
Californie (California Consumer Protection Act)	2019	non	oui	oui	non	oui	oui
* La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) prévoit actuellement le droit pour les personnes d'amener une organisation devant la Cour fédérale pour obtenir des réparations, telles qu'une ordonnance obligeant l'organisation à corriger ses pratiques et/ou à accorder des dommages-intérêts, mais seulement après une enquête et un rapport de conclusions du Commissariat à la protection de la vie privée du Canada, ou un avis de fin d’examen.

Reconnaissance de la vie privée comme droit de la personne : La loi reconnaît la vie privée comme un droit de la personne ou adhésion à une entente internationale (p. ex. la Convention 108).

Pouvoir d’établir des règles : Pouvoir conféré à une autorité de protection des données ou à une autre autorité publique d’adopter un code de conduite ayant force exécutoire, des normes, des orientations ou des règlements.

Responsabilité démontrable : Soit l’obligation de produire, à la demande d’une autorité de protection des données, des registres démontrant les pratiques de gestion des données avant la tenue d’une enquête. Soit l’autorité a le pouvoir d’effectuer des inspections proactives, des examens et des vérifications pour évaluer la conformité, sans motifs particuliers de soupçonner ou de croire qu’il y a eu une infraction à la loi.

Pouvoir de rendre des ordonnances : Pouvoir conféré à une autorité de protection des données de donner suite à des conclusions en rendant une ordonnance qui impose une mesure en particulier.

Droit privé d’action : Disposition prévue par la loi permettant aux individus de demander directement des réparations ou un dédommagement auprès d'un tribunal en cas de violation de la loi.

---

 

Jadis chef de file dans le domaine du droit à la vie privée, le Canada tire désormais de l’arrière par rapport à d’autres juridictions.

Les mesures correctives que propose le Commissariat sont réalistes et d’actualité, et permettraient d’améliorer l’interopérabilité des lois canadiennes avec celles d’autres juridictions, ce qui favoriserait la prévisibilité et pourrait réduire pour les entreprises canadiennes les coûts reliés à la conformité. Nos propositions reconnaissent également les intérêts légitimes des organisations et du gouvernement.

Le meilleur moyen pour que le Canada redevienne chef de file de l’innovation numérique serait de créer un cadre juridique qui protège les droits et les valeurs des Canadiens, et ainsi soutienne la confiance du public dans les entreprises et le gouvernement.

Vers la réforme : le point sur la situation

Au cours de la dernière année, nous avons entendu parler de réforme législative davantage qu’à toute autre période de l’histoire récente.

En mai 2019, la crise de confiance a poussé le gouvernement fédéral à proposer la Charte du numérique, qui prévoit des mesures pour moderniser la LPRPDE. Depuis, le gouvernement a réitéré son intention de réformer la LPRPDE et la LPRP.

Toutefois, plus d’un an plus tard, nous ne savons toujours pas dans le détail comment notre cadre législatif serait modernisé pour relever les défis de l’ère numérique – et ainsi répondre aux attentes des Canadiens.

Peu après le dépôt de notre précédent rapport annuel au Parlement en décembre 2019, le premier ministre a adressé une lettre de mandat à chacun de ses nouveaux ministres. Plusieurs de ces lettres donnaient des directives se rapportant à la réforme des lois sur la protection des renseignements personnels.

Les lettres de mandat enjoignaient à divers membres du Cabinet de collectivement faire progresser bon nombre d’éléments de la législation et des politiques visant à renforcer la protection de la vie privée des Canadiens. Plusieurs de ces éléments renvoyaient à la Charte canadienne du numérique.

Les propositions de réforme de la LPRPDE comprises dans la Charte du numérique contiennent certains éléments positifs. Par exemple, il y est question d’un nouvel ensemble de droits en ligne visant à protéger davantage la vie privée des Canadiens, dont la portabilité des données, un droit explicite à la suppression des données (effacement à la source), et une transparence accrue en ce qui concerne le recours à la prise de décisions automatisée.

Dans le plan d’action de l’an dernier, nous avons fait état de certaines de nos préoccupations concernant des éléments de la Charte du numérique, notamment à l’égard de la proposition de conférer au Commissariat des pouvoirs d’application de la loi « limités » et de celle liée aux exceptions au consentement.

Un pouvoir « limité » de rendre des ordonnances – plutôt qu’un pouvoir complet en la matière, qui est commun dans la plupart des juridictions – est non seulement inefficient, mais aussi inefficace. Dans le contexte d’une économie numérique qui se développe rapidement, où des risques surgissent et évoluent au quotidien, cette situation entraînerait des retards et encouragerait une conformité restreinte. En revanche, de l’octroi de véritables pouvoirs de rendre des ordonnances aurait comme résultat que les organisations verraient leur intérêt à se conformer à la loi. Quant à eux, les Canadiens pourraient profiter de recours rapides et efficaces en cas de non-conformité.

Nous avons aussi demandé des modifications qui permettraient au Commissariat d’imposer des sanctions administratives pécuniaires, plutôt que de s’en remettre à un cadre se limitant à des amendes imposées par les tribunaux.

Presque partout ailleurs dans le monde, notamment dans l’Union européenne et aux États-Unis, les lois prévoient l’imposition de lourdes sanctions administratives pécuniaires par l’organisme de réglementation. Rien ne justifie que les choses soient différentes au Canada. L’Ontario dispose de ce pouvoir dans sa Loi sur la protection des renseignements personnels sur la santé. Le projet de loi n^o 64 du Québec propose des dispositions qui vont dans la même veine et qui par ailleurs rejoignent plusieurs dispositions du RGPD européen. Ce projet de loi est la proposition législative la plus progressiste au Canada à l’heure actuelle.

Par ailleurs, nous demeurons préoccupés du fait que la Charte du numérique propose comme exception au consentement le concept d’« activités normales de l’entreprise ». Ce concept est beaucoup trop large et risque de devenir une exception d’application générale, voire une faille énorme. Les entreprises ne devraient pas avoir le droit de passer outre à l’obtention du consentement pour la simple raison qu’il s’agit d’une pratique qu’elles jugent « normale » ou « standard ».

Nos propositions de réforme législative comprennent des exceptions au consentement qui favoriseraient les utilisations novatrices de technologies où le consentement ne peut être obtenu. Le préambule et l’énoncé d’objet que nous proposons pour la LPRPDE serviraient à reconnaître les intérêts légitimes des entreprises, mais dans un cadre fondé sur les droits.

Au cours des semaines qui ont suivi la dernière élection fédérale, le commissaire a écrit à plusieurs ministres du Cabinet responsables de ces questions. Il a donné son avis quant aux meilleurs moyens de protéger les droits des Canadiens et de favoriser la croissance et l’innovation. Le commissaire a par la suite eu l’occasion de discuter plus avant de cette question avec eux. Nous sommes prêts à continuer cette collaboration et nous sommes impatients de participer à l’examen d’éventuelles propositions législatives.

En ce qui concerne le secteur public, le gouvernement a l’intention de faire progresser la mise en œuvre de la Feuille de route de la Stratégie de données pour la fonction publique fédérale. Il s’est engagé dans ce document à accroître considérablement son utilisation de données et la prise de décisions automatisée tout en renforçant la protection des données personnelles.

Parallèlement, le ministère de la Justice a consulté des intervenants au sujet de la modernisation de la LPRP au moyen d’une série de documents de discussion. Nous avons participé à cette consultation en décembre 2019.

La Feuille de route de la Stratégie de données nationale du gouvernement du Canada est grandement axée sur la « valorisation » des données. On y affirme que les données ont le pouvoir de permettre au gouvernement de prendre de meilleures décisions, de concevoir de meilleurs programmes et d’offrir des services plus efficaces au public.

Pour optimiser la valorisation des données et réaliser des économies, on met l’accent sur les échanges accrus entre les ministères fédéraux ainsi qu’entre les secteurs public et privé.

Les secteurs public et privé collaborent de plus en plus à l’élaboration de normes, au stockage des données gouvernementales et à la mise en œuvre de programmes gouvernementaux numériques destinés au public, entre autres activités. Compte tenu de cette plus grande importance des partenariats public-privé, il est primordial que des principes similaires se trouvent dans les deux lois. Le secteur public ne devrait pas être tenu à une norme différente de celle du secteur privé. En fait, le secteur public devrait être un chef de file en matière de protection de la vie privée.

Dans notre mémoire en réponse à la consultation du ministère de la Justice, nous avons convenu que la technologie permet de fournir de meilleurs services aux Canadiens et qu’elle permet d’atteindre d’importants objectifs d’intérêt public. Nous avons donné des conseils sur la façon dont le législateur pourrait moderniser la LPRP afin d’assurer le respect du droit à la vie privée et des valeurs canadiennes, conformément à notre plan d’action.

Les principaux enjeux que nous avons cernés en faveur d’une réforme législative deviennent de plus en plus pertinents dans le contexte de la crise de COVID-19 et de l’évolution générale vers un gouvernement numérique. Cela ne fait que renforcer la nécessité de moderniser les lois fédérales sur la protection de la vie privée.

Travaux en cours au chapitre des politiques

Depuis la publication de son plan d’action, le Commissariat a continué son travail d’analyse sous l’angle des deux lois fédérales sur la protection des renseignements personnels, en vue de donner d’autres conseils sur la réforme législative.

L’intelligence artificielle présente des défis majeurs pour tous les principes de protection de la vie privée énoncés dans la LPRPDE. L’innovation responsable dans le domaine des systèmes d’intelligence artificielle doit se faire dans un environnement réglementaire qui respecte les droits fondamentaux et qui crée les conditions propres à inspirer la confiance envers l’économie numérique.

Au début de 2020, nous avons lancé une consultation sur la façon de pallier les risques liés à l’utilisation de l’intelligence artificielle.

Dans le cadre de notre consultation, nous avons produit un document de discussion qui présentait des propositions afin de réformer la LPRPDE pour parvenir à une innovation responsable en matière d’intelligence artificielle. Nous avons consulté des experts dans le domaine en vue de déterminer si nos propositions seraient compatibles avec la conception et le déploiement responsables des systèmes d’intelligence artificielle.

Comme on le souligne dans ce document de discussion, nous accordons une attention particulière aux systèmes d’intelligence artificielle compte tenu de leur rapide adoption pour le traitement et l’analyse de grandes quantités de renseignements personnels. Leur utilisation à des fins de prévision et de prise de décisions qui touchent les personnes peut entraîner des risques pour la vie privée et en matière de discrimination.

À l’instar des autres technologies, l’intelligence artificielle présente des avantages pour l’intérêt public et des risques d’atteinte aux droits de la personne.

Par exemple, elle offre de grandes possibilités d’amélioration au chapitre de la prestation des services publics et privés. Elle a contribué à stimuler de nouvelles avancées dans les secteurs médical et énergétique. Toutefois, les répercussions sur la vie privée et sur les droits de la personne seront considérables si la législation n’impose pas de règles claires pour protéger ces droits contre les effets négatifs de l’intelligence artificielle et des processus d’apprentissage automatique.

Les points de vue qui ont été exprimés par les participants à cette consultation nous permettront de pousser plus loin notre réflexion et de rendre plus pertinentes nos propositions de changements dans le cadre de la réforme législative.

Enquêtes récentes et réforme législative

Comme en 2018-2019, plusieurs enquêtes analysées dans le présent rapport annuel font ressortir des lacunes dans le cadre législatif actuel.

Par exemple, dans la section intitulée La Loi sur la protection des renseignements personnels : rétrospective de l’exercice, nous résumons notre enquête sur une fuite d’information au sujet d’une nomination à la Cour suprême. Le plaignant nous a demandé de faire enquête sur le rôle de diverses institutions, dont seulement certaines sont assujetties à la LPRP. Notre enquête a été restreinte par le champ d’action limité de la loi.

Dans cette section, nous décrivons également le travail de suivi qui a été fait relativement à une enquête sur l'utilisation par Statistique Canada de renseignements détaillés sur les finances de millions de Canadiens. L'enquête avait permis de conclure que les initiatives en question ne respectaient pas les principes de la nécessité et de la proportionnalité, principes fondamentaux de la protection de la vie privée qui ne sont pas enchâssés dans nos lois fédérales.

Dans la section intitulée La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice, nous examinons les questions liées à la protection de la vie privée dans le contexte de la sous-traitance. Cet examen a pris forme notamment dans le cadre de nos enquêtes sur le transfert de renseignements de clients, par TD Canada Trust et Loblaw, à des fournisseurs de services à l’extérieur du Canada aux fins de traitement.

Également dans la section intitulée La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice, nous résumons notre enquête sur RateMDs.com, site Web où les patients peuvent évaluer les professionnels de la santé et commenter leur travail. Cette enquête montre que le cadre législatif actuel est inadéquat pour défendre les droits liés à la réputation des Canadiens dans l’économie numérique.

Déclarations à l’appui de la réforme législative

En 2019-2020, le Commissariat a reçu un soutien fort apprécié au Canada et à l’étranger en faveur d’une réforme législative pour protéger les droits de la personne.

Au cours de leur assemblée annuelle tenue l’automne dernier à Tirana, en Albanie, les commissaires à la protection des données et de la vie privée de partout dans le monde ont adopté une résolution sur la protection de la vie privée en tant que droit de la personne et condition préalable à l’exercice d’autres droits fondamentaux.

Cette résolution de l’organisme, récemment renommé Global Privacy Assembly (assemblée internationale pour la protection de la vie privée), a constitué une étape importante dans l’engagement à l’égard de la protection de la vie privée en tant que droit de la personne dans le monde entier.

En 1948, les États membres de l’Organisation des Nations Unies ont déclaré que le respect de la vie privée est un droit inaliénable et universel de la personne et, en 1966, le Pacte international relatif aux droits civils et politiques a réaffirmé le rôle central que joue la protection de la vie privée dans la démocratie. Depuis, plus de 80 pays dans le monde ont enchâssé le droit des personnes à la vie privée dans leurs lois et règlements.

La résolution fait état d’un soutien croissant et d’appels de plus en plus nombreux de la société civile, du milieu universitaire, des médias, des professionnels du droit et d’autres intervenants qui souhaitent voir le droit à la vie privée reconnu et protégé à l’échelle mondiale.

Les signataires de la résolution demandent aux gouvernements de réaffirmer leur engagement ferme à l’égard de la protection de la vie privée en tant que droit de la personne et valeur intrinsèque, et de mettre en place des protections juridiques. Par ailleurs, ils demandent aux législateurs d’examiner et de mettre à jour les lois sur la protection de la vie privée et des données, et encouragent les organismes de réglementation à appliquer toutes les lois pertinentes aux activités de l’écosystème politique.

Enfin, ils demandent aux entreprises de faire preuve d’une responsabilité démontrable dans toutes leurs activités commerciales, aux organisations de la société civile (y compris les médias et les citoyens) d’exercer leur droit à la vie privée, et à toutes les organisations d’évaluer les risques pour la protection de la vie privée, l’équité et la liberté, avant d’avoir recours à l’intelligence artificielle pour réaliser leurs activités.

Plus près de nous, au cours de l’assemblée annuelle 2019, nos homologues des provinces et des territoires se sont joints à nous pour appuyer une résolution sur la nécessité d’une législation efficace sur la protection des renseignements personnels dans une société guidée par les données.

Nous avions alors souligné que de nombreuses lois sur l’accès à l’information et la protection des renseignements personnels en vigueur au Canada n’ont fait l’objet d’aucune mise à jour approfondie depuis des dizaines d’années. C’est pourquoi la vie privée des Canadiens est moins bien protégée que celle des citoyens de nombreux autres pays.

Nouveautés en matière de législation au Canada et à l’étranger

On observe des progrès sur le front de la réforme législative dans certains pays.

L’Europe est à faire le point concernant le Règlement général sur la protection des données (RGPD) deux ans après sa mise en œuvre. Ce règlement a mis la barre considérablement plus haut en matière de protection de la vie privée. Il nous a montré comment un règlement fondé sur les droits de la personne peut fonctionner dans la pratique. Nous constatons que les entreprises européennes continuent d’exercer leurs activités avec succès sous le régime du RGPD. Les lois fondées sur les droits ne nuisent pas à l’innovation. Au contraire, elles contribuent à renforcer la confiance des consommateurs qui, elle, est nécessaire pour soutenir et stimuler une économique numérique performante.

Aux États-Unis, divers États adoptent des lois sur la protection des données, notamment dans les grands pôles de la révolution numérique comme la Californie et l’État de Washington.

Au Canada, l’Assemblée nationale du Québec étudie actuellement un projet de loi qui, selon l’ancienne ministre provinciale de la Justice, sera « calqué de très près sur les meilleures pratiques européennes » et permettra de donner « plus de mordant » aux lois québécoises afin de mieux protéger les données des citoyens.

Dans le projet de loi n^o 64, le gouvernement du Québec propose de conférer aux citoyens des droits exécutoires clairement définis, par exemple le droit à l’effacement. Il souhaite aussi accroître substantiellement les pouvoirs d’application de la Commission d’accès à l’information, pour les porter davantage au niveau de ceux des autorités de la protection des données d’autres juridictions, notamment dans l’Union européenne.

Conclusion

Le Canada et d’autres pays partout dans le monde vivent une période sans précédent.

Une protection efficace de la vie privée pendant la pandémie contribuera à renforcer la confiance envers les institutions de santé publique et l’ensemble du gouvernement, ainsi qu’envers les outils numériques qui deviennent essentiels pour vivre en toute sécurité.

Comme nous l’avons affirmé dans notre déclaration commune avec nos homologues des provinces et des territoires, « les choix effectués par nos gouvernements aujourd’hui quant à la manière d’atteindre les objectifs de santé publique tout en préservant nos valeurs canadiennes fondamentales, dont fait partie le droit au respect de la vie privée, façonneront l’avenir de notre pays ».

Une reprise économique et sociale sera durable uniquement si l’on protège bien les intérêts et les droits de tous les citoyens.

La Loi sur la protection des renseignements personnels : rétrospective de l’exercice

Parmi les dossiers que nous avons abordés en 2019-2020, certains auraient été inconcevables quand la LPRP est entrée en vigueur il y a plus de 35 ans. Nous avons conseillé la GRC sur le recours à des drones et à l’ADN. Nous avons fait enquête sur des plaintes concernant la collecte massive de données par Statistique Canada auprès d’entreprises du secteur privé. Nous avons discuté avec divers ministères des questions de vie privée que soulève le recrutement de personnel par vidéo.

En outre, nous avons continué à aider les institutions fédérales à adopter des mesures de protection de la vie privée dans l’élaboration de nouvelles initiatives. Nous avons procédé à une refonte de notre guide sur le processus d’évaluation des facteurs relatifs à la vie privée (EFVP) afin de le rendre plus pratique, et participé à des activités de sensibilisation pour aider les institutions à mieux comprendre leurs obligations.

En ce qui a trait aux enquêtes, nous avons grandement réduit l’arriéré de dossiers. Nous y sommes parvenus en partie en améliorant nos processus et en adoptant une nouvelle approche lorsque les institutions ne répondent pas rapidement ou adéquatement à une demande d’accès à des renseignements personnels.

La section qui suit présente des initiatives clés menées par le Commissariat sous le régime de la LPRP.

Enquêtes en vertu de la Loi sur la protection des renseignements personnels

Bilan des activités et tendances

En 2019-2020, nous avons accepté 761 plaintes déposées en vertu de la LPRP. Bien qu’il s’agisse en apparence d’une importante diminution par rapport à l’exercice précédent, cette baisse est principalement attribuable à des améliorations apportées à notre méthode de comptage pour accroître l’exactitude et l’uniformité.

Nous avons ajusté notre manière de consigner et de rendre compte des plaintes et des conclusions de nos enquêtes. Depuis le 1^er avril 2019, une plainte déposée par un individu portant sur une contravention éventuelle à plusieurs articles de la LPRP, ou portant sur plusieurs demandes d’accès présentées à une même institution, est traitée comme une seule plainte.

À notre avis, cette méthode exprime mieux le nombre de personnes qui ont soulevé des préoccupations concernant la protection de leur vie privée, et reflète notre travail de manière plus uniforme pour les deux lois.

Nous avons observé une diminution du nombre de plaintes à la toute fin de l’exercice, alors que la pandémie mondiale de COVID-19 atteignait le Canada. Cette baisse nous a semblé prévisible et logique compte tenu de l’ampleur de la crise de santé publique.

En 2019-2020, la majorité des plaintes que nous avons acceptées portaient sur l’accès aux renseignements personnels (28 %) ou mettaient en cause des institutions n’ayant pas donné suite à des demandes d’accès dans les délais prévus par la LPRP (45 %).

Signalons, par ailleurs, la réduction substantielle du délai de réponse du Commissariat dans les dossiers ne faisant pas partie de l’arriéré. Cette baisse est attribuable en partie au succès et à l’efficacité de nos fonctions de réception et de règlement rapide, que nous avons récemment restructurées, lesquelles ont permis d’améliorer notre processus de règlement rapide. Ces améliorations ont été réalisées en adoptant une nouvelle approche à l’égard des présomptions de refus et en réglant un plus grand nombre de plaintes au moyen d’enquêtes sommaires lorsque la situation s’y prêtait.

Nous avons aussi lancé un nouveau formulaire de plainte en ligne, qui a permis de simplifier et d’automatiser notre processus de réception et de tri des plaintes, ce qui a eu pour effet d’améliorer l’efficience et la convivialité.

Par ailleurs, nous avons continué de mettre en œuvre la nouvelle approche à l’égard des présomptions de refus dans les cas de plaintes pour non-respect des délais, lesquelles sont résumées dans notre rapport annuel précédent. Nous observons une nette augmentation du nombre de plaintes fondées (et non résolues) en 2019-2020, en partie attribuable à cette approche : nous avons conclu que 177 plaintes étaient fondées, comparativement à 49 au cours de l’exercice précédent. Sur les plaintes fondées, 146 se rapportaient aux délais en 2019-2020, par rapport à 18 en 2018-2019.

Réduction de l’arriéré

Au cours de l’exercice écoulé, nous sommes parvenus à réduire considérablement notre arriéré de plaintes. Ainsi, le nombre de plaintes sous le régime de la LPRP remontant à plus de 12 mois a diminué de 56 %. Si l’on considère l’ensemble des plaintes déposées sous le régime de la LPRP et de la LPRPDE, la réduction globale a été de 50 %.

Une nouvelle stratégie opérationnelle et une augmentation des ressources sont derrière cette réussite. La stratégie consiste à renforcer l’efficacité des procédures et à rehausser les attentes à l’égard des institutions concernant leur degré de participation, leur réceptivité et la rapidité de leurs réponses à nos enquêtes. De pair avec l’augmentation des ressources du Commissariat prévue dans le budget fédéral 2019, elle nous a aidés à atteindre nos objectifs de réduction de l’arriéré.

Plus précisément, cela nous a permis de renforcer notre capacité en embauchant de nouveaux employés. Ainsi, les enquêteurs ont pu revoir leurs priorités et se concentrer sur les dossiers qui dataient et ceux qui risquaient de s’accumuler. Nous avons aussi retenu les services de consultants et avons pu leur confier, en raison de leur expertise, une partie de la charge de travail liée à la réduction de l’arriéré.

Par ailleurs, nous nous attendons à réduire l’arriéré de 90 % d’ici la fin de 2020-2021. Pour ce faire, nous continuons d’adopter et de peaufiner des stratégies d’application de la loi qui exigent une participation rapide et efficace des intervenants. Il s’ensuit une meilleure protection du droit à la vie privée des Canadiens, et on atténue le risque d’accumulation d’un arriéré similaire à l’avenir.

Nous avons créé une unité fonctionnelle qui se consacre expressément au règlement rapide de plaintes en appliquant diverses stratégies opérationnelles et administratives. Par exemple, nous avons amélioré le processus de règlement rapide, notamment en rationalisant nos activités et en recueillant l’information en temps réel par téléphone plutôt qu’au moyen de communications écrites, ce qui a réduit les délais.

En outre, cette unité fonctionnelle produit des rapports d’enquête sommaires à l’issue d’enquêtes dans des dossiers relativement simples qui se soldent par des rapports de conclusions accélérés, comme dans la nouvelle approche à l’égard des présomptions de refus décrite ci-dessus. En tenant compte des résolutions rapides et des enquêtes sommaires, l’unité fonctionnelle a fermé 60 % des plaintes acceptées en vertu de la LPRP, notamment les plaintes dans les dossiers d’enquête relatives aux délais.

Des 1 335 plaintes déposées sous le régime de la LPRP que nous avons fermées en 2019-2020, 338 ont fait l’objet d’un règlement rapide.

Les 997 plaintes restantes ont été fermées à l’issue d’enquêtes ordinaires ou sommaires. De ce nombre, 751 plaintes, soit 82 %, étaient fondées. Signalons que 654 de ces plaintes fondées se rapportaient aux délais et que certaines d’entre elles ont été fermées selon notre nouvelle approche à l’égard des présomptions de refus.

Le nombre élevé de plaintes relatives aux délais indique manifestement que les institutions fédérales continuent d’avoir beaucoup de difficulté à répondre aux demandes d’accès à des renseignements personnels.

Nouveau formulaire de plainte en ligne

En septembre 2019, le Commissariat a adopté un nouveau formulaire en ligne pour les plaintes déposées sous le régime de la LPRP et de la LPRPDE. Ce formulaire optimisé et automatisé a permis de réaliser des gains d’efficacité, car le système remplit à l’avance le formulaire de plainte, ce qui accélère le processus de tri.

Le formulaire donne aux plaignants de l’information pertinente tout au long du processus. Par exemple, il indique le champ de compétence du Commissariat en vertu des lois fédérales. De cette façon, les intéressés peuvent déterminer rapidement s’ils devraient déposer leur plainte auprès du Commissariat ou d’une autorité provinciale.

Au final, nous avons observé une diminution du nombre de plaintes déposées au Commissariat et une forte réduction du nombre de plaintes ne relevant pas de notre compétence. Par le fait même, le délai de traitement à l’étape de la réception des plaintes a également diminué et le processus d’examen des dossiers par les enquêteurs chargés du règlement rapide de plaintes a fait des gains d’efficacité.

De plus, en ayant accès à l’information à mesure qu’ils remplissent le formulaire, les plaignants savent quelles sont les principales pièces justificatives requises, ce qui réduit le suivi à faire auprès d’eux pour obtenir les documents nécessaires.

En définitive, l’adoption du nouveau formulaire s’est traduite par des plaintes moins nombreuses mais plus pertinentes, un meilleur accès aux documents supplémentaires nécessaires et un traitement accéléré des plaintes par le Commissariat.

Surveillance de la conformité après les enquêtes

L’unité de surveillance de la conformité du Commissariat effectue désormais le suivi d’enquêtes en vertu de la LPRP en plus de celles en vertu de la LPRPDE. Nous pouvons donc maintenant suivre plus efficacement la mise en œuvre de nos recommandations dans l’ensemble du secteur public.

Depuis l’an dernier, l’unité vérifie si les recommandations que nous avons formulées à l’issue d’enquêtes majeures sous le régime de la LPRP sont bien mises en œuvre. Nous pouvons ainsi déterminer si les institutions fédérales respectent les engagements qu’elles ont pris envers le Commissariat et les Canadiens.

En 2019-2020, huit plaintes ont été transmises à l’unité de surveillance de la conformité, dont nos enquêtes antérieures sur l’Office des transports du Canada et l’Agence des services frontaliers du Canada (ASFC), et le suivi de notre enquête de 2019 sur Statistique Canada abordée dans notre rapport annuel précédent.

Statistique Canada

Cette enquête portait sur l’utilisation par Statistique Canada de renseignements détaillés sur les finances de millions de Canadiens, que l’organisation avait obtenus ou prévoyait obtenir auprès d’entreprises du secteur privé dans le cadre de deux projets, soit le Projet de renseignements sur le crédit et le Projet relatif aux transactions financières.

Au bout du compte, Statistique Canada a accepté de suivre nos recommandations de ne pas mettre en œuvre les projets tels qu’ils avaient été conçus à l’origine. Le Commissariat affecte maintenant une personne à temps plein pour aider l’organisation à remanier les projets de manière à ce qu’ils respectent nos recommandations.

Statistique Canada collabore également avec le Commissariat pour élaborer et mettre en œuvre des politiques et des procédures visant à prendre en considération, dans une optique plus globale, la nécessité et la proportionnalité dans ses méthodes statistiques.

En outre, à l’invitation du statisticien en chef du Canada, le commissaire Daniel Therrien a participé en mars 2020 à un panel international en marge d’un événement de la Commission de statistique des Nations Unies. Il y a présenté les résultats de notre enquête et fait valoir leur pertinence pour tous les organismes de statistique dans le monde qui ont les mêmes défis et les mêmes possibilités relativement aux données, et qui ont aussi la responsabilité de respecter le droit à la vie privée des citoyens.

Nous tenons à souligner que notre enquête n’a révélé aucune infraction à la loi. Cela s’explique en partie par le caractère désuet et inadéquat des lois canadiennes, qui ne permettent pas de s’attaquer aux enjeux du 21^e siècle.

Par contre, nous avons conclu que les deux projets tels qu’ils étaient conçus à l’origine ne respectaient pas les principes de nécessité et de proportionnalité. Le principe de nécessité est présentement une exigence de politiques gouvernementales au niveau fédéral et un principe de droit dans de nombreuses juridictions partout dans le monde, mais il ne figure pas dans la LPRP.

Notre enquête sur Statistique Canada, qui portait sur l’utilisation de données administratives recueillies ou compilées par des entreprises du secteur privé, a également fait ressortir l’importance d’adopter des principes communs dans les lois visant le secteur privé et le secteur public. Il s’agit d’une exigence minimale afin de protéger la vie privée les Canadiens.

Le rôle croissant des partenariats public-privé devient de plus en plus apparent, et ces partenariats créent une complexité et un risque supplémentaires. L’enquête du Commissariat est un bel exemple d’une situation où la poursuite d’objectifs d’intérêt public louables peut donner des résultats qui portent grandement atteinte à la vie privée, si la protection de la vie privée n’est pas prise en compte. Maintenant plus que jamais, les Canadiens doivent avoir l’assurance que leur vie privée est protégée.

Enquêtes principales

Nécessité de la réforme législative mise en évidence dans une enquête sur une fuite d’information concernant une nomination à la Cour suprême

En mars 2019, selon des reportages dans les médias, des documents obtenus d’une source anonyme faisaient état d’un désaccord entre le premier ministre et la procureure générale concernant la recommandation d’un candidat, par la procureure générale, pour une nomination à la Cour suprême. Le candidat a par la suite fait une déclaration publique précisant qu’il avait retiré sa candidature en raison de l’état de santé de son épouse.

À la suite de ces reportages, un député a déposé une plainte au Commissariat alléguant une contravention à la LPRP. Le plaignant nous a demandé de faire enquête sur le rôle du Bureau du Conseil privé (BCP), du ministère de la Justice, du Commissariat à la magistrature fédérale (CMF) et du Cabinet du premier ministre du Canada dans cette affaire.

Notre compétence en vertu de la LPRP ne s’étend pas aux pratiques de traitement des renseignements du CMF ou du Cabinet du premier ministre. C’est pourquoi notre enquête s’est limitée au BCP et au ministère de la Justice.

Selon le CMF, à l’issue d’un processus de nomination à la Cour suprême dirigé par un comité consultatif indépendant, le Cabinet du premier ministre a reçu une liste de présélection aux fins d’examen. Le Cabinet du premier ministre a transmis cette liste à la procureure générale qui, après avoir consulté divers intervenants, a informé le premier ministre du candidat qu’elle recommandait. Par la suite, le premier ministre a révélé l’identité de la personne choisie, qui a ultérieurement été nommée.

Au cours de notre enquête, nos enquêteurs se sont entretenus avec des représentants du BCP, qui ont confirmé que cet organisme ne joue aucun rôle dans la détermination ou l’évaluation des candidats à la magistrature. Nous avons recueilli des éléments de preuve et des témoignages du ministère de la Justice. Or, nous n’avons trouvé aucune preuve que le BCP ou le ministère de la Justice avait eu accès à l’information relative à la recommandation formulée par la procureure générale de l’époque concernant la nomination à la Cour suprême. Par conséquent, aucune preuve ne montrait que la communication des renseignements provenait du BCP ou du ministère de la Justice.

Nous avons donc conclu que les plaintes contre le BCP et le ministère de la Justice n’étaient pas fondées.

Nous n’avons trouvé aucune preuve qu’une institution fédérale relevant de notre compétence avait contrevenu à la LPRP. Cela dit, une personne a manifestement subi une atteinte à sa vie privée ainsi que des répercussions négatives en raison de la communication de ses renseignements personnels en lien avec le processus de candidature et de nomination à la Cour suprême du Canada. Cette situation a entraîné des préjudices et une atteinte non seulement à la réputation du candidat, mais aussi à l’intégrité et à la confidentialité du processus de nomination des juges.

À notre avis, le fait que notre enquête a été restreinte par le champ d’application limité de la LPRP est une autre preuve de la nécessité d’une réforme législative. Au cours des dernières années, le commissaire a demandé à de nombreuses reprises que la LPRP s’applique à toutes les institutions fédérales, y compris aux cabinets des ministres et à celui du premier ministre. Nous estimons que cet élargissement du champ d’application de la LPRP nous permettrait de faire pleinement enquête sur des plaintes comme celle-ci.

La vie privée dans le contexte de litiges

Les renseignements personnels d’un individu qui sont visés dans le cadre de procédures judiciaires sont souvent particulièrement sensibles. Les trois enquêtes résumées ci-après font ressortir la dynamique qui oppose le principe de la publicité des débats judiciaires et les mesures de protection prévues dans la LPRP.

Communication de renseignements médicaux d’une manière conforme à la LPRP dans le cadre d’un procès militaire

Un ancien militaire a déposé une plainte contre le ministère de la Défense nationale (MDN) relativement à la communication de ses renseignements personnels au cours d’un procès militaire.

Le plaignant a allégué qu’il avait été contraint de communiquer des renseignements médicaux dans le cadre de sa défense lors d’un procès sommaire pour une accusation portée contre lui. Selon ses allégations, puisque sa demande d’être jugé en cour martiale avait été rejetée, il avait été contraint à tort de communiquer des renseignements médicaux lors du procès sommaire.

Le MDN a fait valoir que les procédures suivies lors de procès sommaires sont soumises au principe de la publicité des débats judiciaires selon lequel, en général, ces procédures et les documents au dossier de la cour doivent être accessibles au public de manière transparente, sauf si la cour en ordonne autrement.

Après examen de la preuve présentée, nous avons conclu que la communication au public des renseignements personnels du plaignant lors du procès sommaire était conforme aux dispositions de la LPRP qui régissent la communication.

Le système de justice militaire et le système de justice civile reposent sur plusieurs principes communs. L’un de ces principes est que les procès sommaires doivent être publics par défaut.

Les renseignements personnels du plaignant communiqués au public dans cette affaire provenaient d’un témoignage reçu selon les procédures suivies lors du procès sommaire. Ces renseignements devaient permettre à l’officier présidant le procès d’émettre une conclusion quant à savoir si une violation du code de discipline militaire avait eu lieu, conformément à la Loi sur la défense nationale.

La LPRP autorise la communication de renseignements personnels sans le consentement de l’intéressé seulement aux fins auxquelles ils ont été obtenus ou pour les usages compatibles avec ces fins, et lorsque cette communication est autorisée par la loi.

Pour ces raisons, nous avons conclu que la plainte n’était pas fondée.

Nous encourageons néanmoins les institutions fédérales à envisager des mesures pour s’assurer que les participants à une audience publique sont informés à l’avance que les renseignements qu’ils communiquent seront considérés comme accessibles au public, et qu’ils sont au courant de tout processus à suivre pour empêcher la communication de leurs renseignements.

Communication autorisée en vertu de la LPRP de renseignements personnels dans le cadre d’un litige

Un militaire a déposé des plaintes contre le ministère de la Justice et le MDN relativement à la communication de ses renseignements médicaux par le MDN au ministère de la Justice pour la défense dans un litige qu’il avait intenté.

Dans le cadre de ce litige, il avait présenté devant la Cour supérieure de l’Ontario une déclaration contre le MDN pour diffamation et négligence de la police militaire. Cette déclaration désignait le procureur général du Canada comme mis en cause.

Lorsqu’il a préparé la défense contre les allégations du plaignant, l’avocat du ministère de la Justice a demandé que le MDN recueille et produise tous les documents d’intérêt aux fins de la poursuite du plaignant. Cette ordonnance précisait, entre autres, que les dossiers de santé physique et mentale du plaignant devaient être fournis. Le MDN a communiqué au ministère de la Justice les renseignements demandés.

Selon le ministère de la Justice, la LPRP ne vise pas à restreindre la capacité d’une institution fédérale à communiquer des renseignements personnels à ses avocats en vue de déterminer si elle doit ou non les fournir en raison de leur pertinence dans une instance civile.

D’après le plaignant, bien que l’on s’attende à ce que le MDN communique certains renseignements pour la défense dans sa cause, une demande aussi vaste de dossiers médicaux, de santé mentale et d’autres documents relatifs à la santé était excessive et trop envahissante, et contrevenait à la LPRP. Il a aussi soulevé des préoccupations concernant le secret médical.

Nous avons déterminé qu’en raison de la désignation du procureur général du Canada comme mis en cause, la communication des renseignements personnels du plaignant était aux fins de poursuites judiciaires intéressant le gouvernement du Canada et semblait concerner directement la réclamation du plaignant. Nous avons donc conclu au terme de notre enquête que la collecte et la communication des renseignements personnels ne contrevenait pas à la LPRP et que les plaintes n’étaient pas fondées.

Dépôt d’une plainte à la suite de la communication de renseignements médicaux à une tierce partie par l’ASFC

L’Agence des services frontaliers du Canada (ASFC) a transmis les renseignements médicaux du plaignant à une tierce partie, qui était sa caution. Le plaignant a allégué que l’ASFC avait ainsi enfreint les dispositions concernant la communication de renseignements personnels en vertu de la LPRP.

Le plaignant s’est adressé à l’ASFC dans le cadre de ses demandes de statut de réfugié ou de résident permanent. Pendant le processus, il a entrepris de nombreuses démarches devant la Cour fédérale. Selon les dossiers de la Cour, le plaignant a indiqué que son état de santé a changé quand il était détenu par l’ASFC. Ces dossiers font partie de l’ensemble des dossiers publics et sont accessibles au grand public, conformément au principe de la publicité des débats judiciaires.

À un certain moment pendant le traitement de ses demandes, le plaignant a demandé à l’ASFC que les conditions de sa caution soient modifiées. L’ASFC a alors envoyé une lettre à la Commission de l’immigration et du statut de réfugié du Canada pour l’informer de ce changement, avec copie conforme au plaignant et à sa caution. Cette lettre renfermait des détails sur l’allégation du plaignant selon laquelle sa détention par l’ASFC avait eu des conséquences sur son état de santé. Toutefois, il n’était pas pertinent d’inclure les renseignements médicaux du plaignant dans l’avis de modification envoyée au tiers qui lui servait de caution.

L’article 8 de la LPRP interdit aux institutions fédérales de communiquer les renseignements personnels dont elles ont la gestion sans le consentement de l’intéressé, sauf dans des circonstances précises. Toutefois, le paragraphe 69(2) de la LPRP indique que l’article 8 ne s’applique pas aux renseignements personnels auxquels le public a accès. Le Commissariat a conclu que la plainte n’était pas fondée du fait que le public avait accès aux renseignements médicaux du plaignant dans les dossiers de la Cour fédérale.

La signification de l’expression « auxquels le public a accès » est explorée dans la décision Lukàcs c. Canada (Transport, Infrastructure et Collectivités), 2015 CAF 140, dans laquelle la Cour d’appel fédérale a précisé que celle-ci signifie « accessibles aux citoyens au sens large ».

Signalons toutefois que si le public n’avait pas déjà eu accès aux renseignements personnels du plaignant dans les dossiers de cette cour, la décision de l’ASFC d’en envoyer une copie à une tierce partie aurait contrevenu aux dispositions relatives à la communication de renseignements personnels contenues dans la LPRP. C’est uniquement par l’effet du paragraphe 69(2) de la LPRP que la plainte n’est pas fondée.

Surveillance en milieu de travail

Nous recevons régulièrement des plaintes portant sur des problèmes de surveillance en milieu de travail. Des employés soulèvent notamment des préoccupations concernant la surveillance vidéo, qui peut constituer une collecte particulièrement envahissante de renseignements personnels.

Enregistrement vidéo en milieu de travail dans des établissements correctionnels

Nous avons reçu trois plaintes alléguant que le Service correctionnel du Canada (SCC) utilisait des séquences vidéo pour surveiller le rendement des employés, contrevenant ainsi à la LPRP.

Les plaignants alléguaient que le SCC avait utilisé à tort leurs renseignements personnels lorsqu’un gestionnaire avait examiné des séquences vidéo de leurs patrouilles. Selon eux, le gestionnaire utilisait les vidéos pour surveiller le rendement des employés.

D’après le SCC, la surveillance vidéo vise à maintenir la sécurité des établissements et à enquêter sur des incidents, comme les cas de violence, les allégations dont le personnel fait l’objet et les surdoses.

Dans le cas en question, une enquête sur le décès d’un détenu en établissement avait révélé des lacunes dans les patrouilles et, à la suite de cette enquête, le SCC avait élaboré un plan d’action pour corriger les lacunes relevées. Entre autres mesures, ce plan d’action prévoyait l’examen des vidéos de patrouilles aléatoires sur une période limitée afin de détecter les lacunes systémiques.

Le gestionnaire correctionnel chargé d’examiner les vidéos avait également formulé des commentaires informels aux employés dont les patrouilles avaient été examinées. À la lumière de ce qui précède, nous avons accepté l’argument du SCC selon lequel l’examen des vidéos et la rétroaction informelle ne visaient pas à surveiller le rendement des employés, mais plutôt à assurer la sécurité des détenus en ce qui a trait à la qualité des patrouilles. Nous avons donc conclu que cette utilisation était conforme à l’alinéa 7a) de la LPRP et que les plaintes n’étaient pas fondées.

Utilisation par EDSC d’images de caméras de surveillance pour établir des faits concernant les heures de travail d’une employée

Comme nous l’avons souligné dans le passé, compte tenu de la nature envahissante de ce type de surveillance, les organisations devraient envisager les moyens qui porteraient le moins atteinte à la vie privée avant d’y avoir recours, pour parvenir aux mêmes fins.

Une employée d’EDSC a déposé une plainte dans laquelle elle alléguait que le ministère avait contrevenu à la LPRP en utilisant des images de caméras de sécurité d’un immeuble en vue d’établir les faits pour déterminer quand l’employée, qui ne travaillait pas au même endroit que son gestionnaire, quittait le bureau.

Il s’agit d’un cas important, car il rappelle aux institutions fédérales leur obligation de limiter l’utilisation des renseignements personnels qu’elles recueillent aux fins auxquelles ils ont été recueillis à l’origine, ou pour des usages compatibles avec ces fins.

L’utilisation d’enregistrements vidéo pour vérifier l’heure de départ de la plaignante dans le but d’établir des faits dépasse le cadre des fins de sécurité précisées dans le Fichier de renseignements personnels d’EDSC.

En outre, EDSC n’a pu faire la preuve qu’il avait informé les individus des fins auxquelles la surveillance vidéo pourrait être utilisée, comme l’exige la LPRP.

Nous avons recommandé à EDSC d’établir une politique interne claire pour s’assurer que la surveillance vidéo n’est pas utilisée de façon inappropriée. Nous lui avons aussi recommandé d’informer les individus qui pourraient être captés par les caméras de surveillance des fins éventuelles de la surveillance vidéo. Le Ministère a accepté nos recommandations.

Nous avons donc conclu que la plainte était fondée et conditionnellement résolue.

Enquêtes liées aux déplacements

L’ASFC devrait conserver les codes d’accès des appareils numériques des voyageurs uniquement en cas de nécessité

Le Commissariat a reçu une plainte alléguant que l’ASFC avait recueilli de façon inappropriée le code d’accès du téléphone cellulaire d’un particulier au moment de son retour au Canada.

Le plaignant a affirmé que cette collecte n’était pas autorisée, car l’agente des services frontaliers qui avait inspecté son téléphone cellulaire était incapable d’indiquer une loi, une politique ou une procédure quelconque qui l’exigeait. En outre, le plaignant a fait valoir que cette collecte n’était pas nécessaire, puisqu’il avait proposé de déverrouiller lui-même le téléphone, mais que l’agente avait refusé.

Dans une enquête distincte menée par le Commissariat et résumée dans notre précédent rapport annuel au Parlement, nous avons conclu que l’ASFC a le pouvoir, en vertu de la Loi sur les douanes, d’examiner du matériel stocké directement sur des appareils numériques à certaines conditions. Dans le cadre de cette enquête, nous avons néanmoins formulé plusieurs recommandations compte tenu du fait que la fouille d’un appareil électronique à la frontière est une pratique extrêmement envahissante. Les codes d’accès des appareils numériques, qui font l’objet d’un examen dans la présente enquête, constituent un renseignement tout aussi sensible.

Le Commissariat considère que les codes d’accès sont des renseignements personnels sensibles, surtout quand ils sont appariés avec d’autres identifiants ou s’ils sont associés à l’appareil qu’ils permettent de déverrouiller. Un appareil protégé par un code d’accès peut contenir des renseignements qu’une personne peut considérer comme étant très sensibles. De plus, un code d’accès est d’autant plus sensible s’il est utilisé pour plusieurs comptes ou activités.

L’ASFC a indiqué qu’elle recueille les codes d’accès, au lieu de permettre à une personne de déverrouiller elle-même son appareil numérique, afin d’empêcher que les voyageurs effacent ou modifient des données intentionnellement ou par accident avant de remettre l’appareil déverrouillé à l’agent des services frontaliers aux fins d’inspection. L’ASFC veut aussi assurer la continuité de la preuve si l’interaction est mise en cause dans une procédure judiciaire. Dans ce contexte, le Commissariat a convenu que l’ASFC a effectivement le pouvoir d’obliger les personnes à fournir un code d’accès pour déverrouiller un appareil numérique en vertu de la Loi sur les douanes.

Cependant, lors du traitement de ce type de renseignements personnels sensibles, les institutions fédérales devraient s’assurer de connaître et de respecter leurs propres politiques. Elles ne devraient conserver ces renseignements que s’il est nécessaire de le faire.

Dans le cas en question, l’ASFC a reconnu qu’en omettant de prendre des notes manuscrites de l’interaction, l’agente n’avait pas respecté la politique. De plus, l’agente ne se souvenait pas si elle avait informé le plaignant, comme l’exige la politique, que son code d’accès serait conservé et qu’il pourrait le modifier.

Pour remédier à ces erreurs, l’ASFC s’est engagée à offrir davantage de formation aux agents concernant la collecte de renseignements personnels auprès des voyageurs. Elle s’est également engagée à réécrire la politique afin de donner des directives plus claires aux agents.

Enfin, en conservant les codes d’accès même lorsque la fouille de l’appareil ne donnait lieu à aucune autre mesure, l’ASFC conservait des renseignements personnels sans raison valable, et les conservait au même endroit que d’autres identifiants personnels. Nous nous sommes demandé s’il était nécessaire de conserver les codes d’accès après l’examen si l’Agence n’avait pas saisi l’appareil.

L’ASFC a depuis révisé sa politique qui porte sur l’examen des appareils numériques à la frontière. Les agents des services frontaliers doivent désormais adopter une approche qui tient compte davantage de la protection de la vie privée, notamment en écrivant les codes d’accès sur une feuille de papier et en remettant cette feuille au voyageur, sauf si celui-ci est détenu plus longtemps ou si son appareil est saisi.

Voyageurs en possession de cannabis : l’ACSTA avise la police de manière contraire à la LPRP

Un plaignant a accusé l’Administration canadienne de la sûreté du transport aérien (ACSTA) d’avoir outrepassé son autorité en avisant la police locale après l’avoir trouvé en possession de cannabis.

En 2017, un agent de contrôle de l’ACSTA a arrêté le plaignant alors que celui-ci voyageait de Toronto à Ottawa et qu’il était en possession de cannabis thérapeutique. Le plaignant a affirmé que l’agent de l’ACSTA avait sorti ses flacons de cannabis obtenu sur ordonnance et utilisé un bout de papier pour noter l’information inscrite sur ces flacons ainsi que sur sa carte d’embarquement et sur sa pièce d’identité avec photo. L’agent a ensuite communiqué avec le service de police régional de Peel, qui a envoyé un policier sur les lieux pour vérifier les documents médicaux du plaignant.

Au cours de notre enquête, nous avons examiné les circonstances particulières entourant les allégations du plaignant, ainsi que les pratiques générales de l’ACSTA à l’égard des voyageurs en possession de cannabis depuis la légalisation de cette substance en 2018. L’ACSTA a confirmé qu’elle continuait de recueillir des renseignements pour évaluer la possession du cannabis découvert par hasard. Par exemple, elle détermine s’il s’agit d’une possession à des fins thérapeutiques ou récréatives afin d’aviser la police si la quantité semble excéder la limite autorisée par la loi, soit respectivement 150 g et 30 g.

Nous avons constaté que le cannabis ne figure pas sur la Liste d’articles interdits de Transports Canada en tant qu’article qui pourrait menacer la sûreté aérienne. Nous avons aussi constaté que l’ACSTA n’a pas le pouvoir de recueillir des renseignements personnels à des fins générales d’application de la loi (par exemple pour déterminer si un passager a en sa possession une quantité de cannabis autorisée par la loi). Les pratiques de l’ACSTA en matière de collecte et de communication de renseignements personnels au sujet des passagers trouvés en possession de cannabis contreviennent donc à la LPRP. En conséquence, nous avons conclu que la plainte était fondée.

Nous avons recommandé à l’ACSTA de mettre fin à la collecte et à la communication des renseignements personnels des voyageurs trouvés en possession de cannabis et de mettre à jour ses politiques en conséquence. Nous lui avons aussi recommandé d’examiner ses dossiers pour s’assurer de détruire tous les documents qu’elle détenait contenant des renseignements personnels relatifs à la possession de cannabis.

L’ACSTA a accepté nos recommandations. Elle nous a avisés qu’elle mettrait en œuvre les modifications à ses politiques au plus tard le 30 novembre 2020. Les nouvelles politiques donneront instruction à ses agents de contrôle de ne pas aviser la police en cas de découverte de cannabis, à moins que la quantité dépasse manifestement les limites autorisées par la loi. Nous avons exprimé nos attentes à l’ACSTA quant à ce qui « dépasse manifestement les limites autorisées par la loi », à savoir : i) qu’il n’est pas nécessaire d’établir d’autres faits (par exemple examiner des documents médicaux) et ii) que l’examen soit limité aux quantités de cannabis manifestement supérieures à 150 g (en vertu de la réglementation actuelle).

Par ailleurs, l’ACSTA a déjà supprimé dans son système de gestion des documents les renseignements personnels se rapportant à la possession de cannabis. Cette mesure nous semble une mise en œuvre acceptable de nos recommandations. Nous concluons donc que la plainte est conditionnellement résolue.

Atteintes à la vie privée

Les organisations du secteur public sont tenues d’aviser les intéressés, le Commissariat et le SCT de toute atteinte où des renseignements personnels sensibles sont compromis, lorsque les personnes concernées pourraient raisonnablement s’attendre à un préjudice ou à un dommage. Cette exigence est entrée en vigueur pour le secteur public en 2014 lorsqu’une directive du président du Conseil du Trésor a rendu ces avis obligatoires.

En 2019-2020, nous avons reçu 341 déclarations d’atteinte, comparativement à 155 déclarations au cours de l’exercice précédent. Cette augmentation n’indique pas forcément que la détection et la gestion des atteintes à la vie privée se sont améliorées dans l’ensemble des institutions fédérales, pour les raisons qui suivent.

Le nombre d’institutions ayant déclaré des atteintes au Commissariat a augmenté de 29 à 34 cette année. Or, les 34 institutions en question représentent moins de 14 % des quelque 250 organisations assujetties à la LPRP. Par ailleurs, Emploi et Développement social Canada est, à elle seule, à l’origine de 211 déclarations d’atteinte, ce qui représente 62 % de l’ensemble des déclarations reçues.

Il est particulièrement préoccupant de constater que plusieurs grandes institutions ont brillé par leur absence. Ces institutions, qui détiennent des volumes importants de renseignements personnels, parfois de nature très sensible, ont signalé très peu d’atteintes en 2019-2020 et, dans certains cas, aucune. L'ASFC, le MDN, le ministère des Affaires mondiales et le ministère des Anciens Combattants sont au nombre des institutions visées.

Nous continuons de croire que le nombre d’atteintes à la vie privée signalées au Commissariat ne représente que la pointe de l'iceberg. Des mesures doivent être prises pour remédier à la sous-déclaration systémique.

Lenteur des progrès dans la mise en œuvre du plan d’action du Secrétariat du Conseil du Trésor portant sur les atteintes

Dans notre rapport annuel 2017-2018, nous avons décrit l’examen que nous avons fait pour mieux comprendre la sous-déclaration des atteintes à la protection des données dans le secteur public, qui était une source de préoccupations à l’époque. Cet examen nous a permis de conclure que nombre de fonctionnaires fédéraux, et en particulier les employés de première ligne, saisissent mal leurs obligations en vertu de la LPRP, et même ce qui constitue un renseignement personnel.

Nous avons exhorté le SCT à renforcer ses orientations et ses outils en matière de politiques dans ce domaine, à sensibiliser davantage les employés et à améliorer la formation au sein du gouvernement fédéral afin de favoriser un meilleur respect de la Loi, prévenir les atteintes et assurer un signalement approprié de celles-ci.

Nous avons aussi fait état du plan d’action du SCT, qui prévoit des mesures particulières pour renforcer la gestion de ces atteintes à l’échelle du gouvernement.

Malheureusement, la mise en œuvre du plan d’action du SCT a progressé lentement au cours des deux années qui ont suivi. On prévoit que certaines mesures promises pour renforcer les politiques, les orientations et les outils ne devraient être menées à terme qu’en 2021-2022. Dans d’autres cas, on ne nous a même pas indiqué de date d’achèvement prévue.

Les mesures du SCT visant à améliorer la formation sur la protection de la vie privée à l’échelle du gouvernement accusent aussi un retard.

Le SCT a fait des présentations pour améliorer la sensibilisation au sujet des atteintes à la vie privée aux fonctionnaires chargés de l’accès à l’information et de la protection de la vie privée, de la gestion de l’information, de la technologie de l’information et de la sécurité. Toutefois, il faudrait en faire davantage et s’adresser à d’autres groupes. Il est essentiel que tous les employés fédéraux suivent une formation et disposent de politiques et d’orientations claires.

Nous encourageons de nouveau le SCT à redoubler d’efforts sans tarder dans ces domaines.

Types d’atteintes déclarées en 2019-2020

Nous avons constaté des différences importantes entre les atteintes déclarées au Commissariat par les organisations du secteur privé et celles du secteur public.

La grande majorité des atteintes à la vie privée déclarées au Commissariat par des institutions fédérales (85 % de l’ensemble des rapports) se rapportent à la perte de données ou à leur communication accidentelle. En comparaison, environ 32 % des rapports que nous avons reçus en vertu de la LPRPDE étaient liés à une communication accidentelle ou à une perte.

Nous avons également reçu 18 déclarations (5 % de l’ensemble) attribuables au vol de renseignements. Les 32 déclarations d’atteinte restantes (9 %) étaient liées à un accès non autorisé, ce qui inclut 24 cas d’accès non autorisés par un employé.

Nous constatons avec une certaine inquiétude que très peu de déclarations de la part des institutions fédérales mentionnent une cyberattaque.

Il est difficile de concilier les chiffres du secteur public (5 événements liés à la cybersécurité signalés, ce qui représente moins de 2 % de toutes les atteintes signalées en 2019-2020) avec ce que nous observons dans le secteur privé. Sous le régime de la LPRPDE, 42 % des incidents signalés sont attribuables à diverses cybermenaces, comme des logiciels malveillants, des logiciels de rançon, du piratage psychologique et des attaques visant des mots de passe.

On ne sait pas très bien pourquoi il y a un écart aussi important entre les chiffres.

Étant donné que les cyberincidents comportent des risques particulièrement élevés pour la vie privée, nous communiquerons avec les ministères fédéraux pour leur rappeler la nécessité de signaler au Commissariat les atteintes à la vie privée impliquant des cyberattaques.

Comme nous le verrons plus loin dans le présent rapport à la section Coopération avec des autorités canadiennes et étrangères, nous espérons que nos travaux avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) jetteront plus de lumière sur l’incidence des cyberattaques sur les renseignements personnels dans le secteur public.

Résumé de cas d’atteinte à la vie privée

Perte de documents par un enquêteur correctionnel lors d’une visite dans un établissement correctionnel

Le Bureau de l’enquêteur correctionnel (BEC) a signalé qu’un de ses enquêteurs avait égaré, dans un établissement de Service correctionnel Canada (SCC), un cartable renfermant une copie papier du dossier de détenus ainsi que des renseignements concernant un employé. Malgré plusieurs recherches, le BEC n’a pas retrouvé le cartable.

Cette atteinte visant des renseignements personnels très sensibles a été déclarée sept mois après les faits. Les renseignements mis en péril comprenaient potentiellement des numéros de détenus dans le système de dactyloscopie, des dates de naissance, des antécédents criminels, des renseignements médicaux et des renseignements de sécurité.

Au cours de notre examen, le BEC n’a pu faire la preuve qu’il avait adopté les politiques et les procédures de protection de la vie privée exigées par la Directive sur les pratiques relatives à la protection de la vie privée du Conseil du Trésor.

Nous avons recommandé au BEC d’établir un plan d’action et des procédures pour empêcher les atteintes à la vie privée. Nous lui avons aussi recommandé d’examiner en profondeur l’atteinte en cause pour déterminer qui étaient les personnes dont les renseignements personnels avaient été touchés, et les aviser de la situation.

Le BEC a accepté nos recommandations et a soumis à notre examen l’ébauche d’une politique sur les atteintes à la vie privée. Il a par la suite révisé ce document à la lumière de nos observations.

Pour se conformer au principe de responsabilité, les institutions fédérales doivent mettre en œuvre un plan d’action et des procédures visant la protection des renseignements personnels. Les circonstances de cette affaire, dans laquelle une atteinte a permis de soulever et de corriger des lacunes chez l’institution visée, montre bien que la déclaration des atteintes au Commissariat peut donner lieu à des échanges fructueux qui permettent d’améliorer les pratiques de protection de la vie privée et ainsi engendrer des avantages à long terme pour l’institution en cause.

Transmission par Affaires mondiales Canada du manifeste d’un navire à tous les passagers canadiens

Un navire de croisière ayant à son bord des citoyens canadiens s’est vu refuser l’entrée dans plusieurs ports en raison de cas de COVID-19 parmi les passagers. Compte tenu de l’incertitude entourant les processus de débarquement et de rapatriement au Canada, Affaires mondiales Canada (AMC) a communiqué avec les citoyens canadiens à bord du navire pour les renseigner et leur apporter un soutien.

Par suite d’une erreur administrative, un manifeste renfermant le nom, le genre, les coordonnées, la date de naissance, la nationalité et le numéro de passeport de chaque citoyen canadien a été transmis par mégarde aux 247 passagers canadiens à bord.

AMC a déclaré cette atteinte au Commissariat une semaine plus tard. Nous avons aussi reçu des plaintes de personnes touchées. Cependant, dès le début de notre enquête, le Ministère a pris des mesures proactives pour atténuer l’incidence éventuelle de l’atteinte pour les intéressés, notamment en leur offrant un service de surveillance de crédit et en leur faisant délivrer un nouveau passeport.

AMC s’est engagé à mettre en œuvre de nouvelles procédures pour la communication de masse afin d’empêcher qu’une atteinte similaire ne se reproduise. Puisque le Ministère avait fourni assez de renseignements aux personnes touchées et qu’il avait pris des mesures correctives en temps opportun, nous avons pu fermer rapidement notre enquête sur les plaintes reçues.

Conseils et activités de sensibilisation à l’intention des institutions fédérales

Notre Direction des services-conseils au gouvernement donne des avis et formule des recommandations aux institutions fédérales dans le cadre de consultations sur des initiatives et des programmes précis. Elle le fait aussi plus officiellement dans le cadre de l’examen des EFVP et des ententes d’échange de renseignements présentées par les ministères et organismes.

Cette direction mène aussi diverses initiatives de sensibilisation générales ou ciblées auprès du secteur public fédéral pour encourager la conformité à la LPRP ainsi qu’aux politiques et directives pertinentes du Secrétariat du Conseil du Trésor du Canada (SCT).

Cette année, une des principales initiatives a consisté à mettre à jour le document intitulé Nos attentes : Guide du Commissariat au sujet du processus d’évaluation des facteurs relatifs à la vie privée. Ce guide donne des orientations aux institutions fédérales sur la manière de se conformer à la LPRP et de gérer efficacement les risques d’atteinte à la vie privée dans le cadre du processus d’EFVP. Il présente les principaux concepts et les pratiques exemplaires, et explique comment une institution peut évaluer ses programmes et ses activités, en soulignant les exigences prévues par la LPRP et les principes de protection de la vie privée à prendre en compte. En outre, ce guide clarifie le rôle du Commissariat dans le processus d’EFVP et expose ses attentes à l’égard des institutions fédérales concernant les EFVP qu’elles lui soumettent.

La Direction des services-conseils au gouvernement a aussi tenu deux séances de sensibilisation auxquelles ont participé 80 représentants des secteurs de programmes et des équipes chargées de l’accès à l’information et de la protection des renseignements personnels (AIPRP) de 20 institutions fédérales.

Nous avons animé des discussions avec les participants sur les enjeux de protection de la vie privée auxquels font face leurs institutions au moment d’adapter leurs activités à l’environnement numérique ou de se conformer aux directives du gouvernement ouvert.

Les participants ont soulevé plusieurs enjeux, dont les suivants :

• un manque de ressources et de conseils pratiques pour respecter les obligations de protection de la vie privée, compte tenu de la pression qui est exercée pour innover et passer rapidement au numérique;
• les difficultés à surmonter pour trouver un équilibre, d’une part, entre la transparence et la modernisation et, d’autre part, entre la protection de la vie privée et la sécurité nationale;
• une tension perçue entre le gouvernement ouvert et les mesures de protection de la vie privée.

Les participants ont réfléchi à des pistes de solution pour surmonter les obstacles. Ils ont d’ailleurs pu discuter ouvertement et mettre en commun leurs procédures et leurs pratiques exemplaires. Plusieurs idées ont été présentées, dont les suivantes :

• déterminer l’importance de la protection de la vie privée dès le début et tout au long de la gestion des projets;
• veiller à ce que tous les employés soient conscients de l’importance de la protection de la vie privée dans la mesure où elle s’applique aux programmes auxquels ils travaillent;
• veiller à ce que les organisations, y compris le Commissariat, échangent de l’information sur leurs pratiques exemplaires et leurs idées.

Au cours de l’exercice écoulé, la Direction des services-conseils au gouvernement a aussi formulé des avis sur diverses initiatives gouvernementales se rapportant à la technologie, à la collecte et à la communication de données ainsi qu’au gouvernement numérique.

Utilisation par la GRC de systèmes d’aéronef télépiloté

La Gendarmerie royale du Canada (GRC) utilise depuis 2010 des systèmes d’aéronef télépiloté, communément appelés drones. Le Commissariat a été en contact avec la GRC à ce sujet à plusieurs reprises avant de recevoir une EFVP en 2019.

La technologie des systèmes d’aéronef télépiloté peut être intrusive. D’après l’EFVP, la GRC exploite plus de 200 drones de différents types, dotés d’appareils photos, de capteurs d’imagerie thermique ou de caméras, notamment des caméras infrarouges.

La GRC utilise les drones pour examiner des scènes de crime, reconstituer des collisions, effectuer des opérations de recherche et de sauvetage, mener des enquêtes aux frontières internationales, surveiller les équipes d’intervention d’urgence et effectuer des tests et des recherches pour trouver des moyens de prévenir les torts potentiels causés par les drones.

D’après l’EFVP, la GRC déploie des drones à des fins de surveillance uniquement après avoir obtenu l’autorisation d’un tribunal, sauf dans les cas urgents où les circonstances font en sorte qu’il est impossible d’obtenir un mandat de perquisition.

Nous avons formulé plusieurs recommandations en réponse à l’EFVP portant sur le programme de drones de la GRC, dont les suivantes :

• évaluer la nécessité et la proportionnalité, et réduire le plus possible le caractère intrusif avant de déployer un drone dans une situation donnée;
• indiquer clairement qui déterminera si un drone a recueilli des renseignements personnels et comment cette décision sera prise;
• évaluer l’efficacité du programme dans son ensemble.

Au moment de la rédaction du présent rapport, nous attendions la réponse de la GRC à nos recommandations.

Les drones sont un exemple de technologie qui soulève des questions et des préoccupations importantes en ce qui concerne la protection de la vie privée. La GRC a utilisé ces appareils pendant neuf ans avant d’effectuer une EFVP. En raison du caractère intrusif de ce programme, la GRC aurait dû évaluer minutieusement les risques d’atteinte à la vie privée avant de le mettre en œuvre.

Le Commissariat souligne que les institutions fédérales doivent évaluer dès le début les risques d’atteinte à la vie privée que peuvent comporter des initiatives et programmes. Les EFVP les plus efficaces sont effectuées avant la mise en œuvre complète d’un programme, puisqu’elles permettent de réduire les risques avant même que les renseignements personnels ne soient mis en péril.

Banque nationale de données génétiques

La Banque nationale de données génétiques (BNDG), qui est gérée par la GRC, a été créée en 2000 pour recueillir, stocker et comparer des profils génétiques. Ces profils sont établis à partir d’échantillons recueillis sur des scènes de crime ou prélevés sur des personnes reconnues coupables de certains crimes graves qui ont l’obligation, en vertu d’une ordonnance du tribunal, de fournir un échantillon.

La Loi sur l’identification par les empreintes génétiques a été modifiée en 2014 pour élargir le rôle de la BNDG et autoriser l’utilisation de profils génétiques pour des enquêtes sur des personnes disparues ou des restes humains non identifiés. Cinq fichiers supplémentaires ont alors été créés : profils génétiques fournis volontairement par les parents de personnes disparues; profils obtenus à partir de matériel recueilli sur les effets personnels de personnes disparues; profils établis à partir de restes humains; profils établis à partir d’éléments de preuve prélevés sur les victimes de crimes; profils établis à partir d’échantillons prélevés sur des donneurs volontaires.

En 2014, nous avons reçu et examiné une EFVP présentée par la GRC sur la création du Centre national pour les personnes disparues et les restes non identifiés. Ce centre offre des services spécialisés pour toutes les enquêtes sur les personnes disparues et les restes non identifiés au Canada. Il communique des données et des analyses à l’échelle nationale.

En 2019, la GRC a présenté un addenda à son EFVP de 2014, dans lequel elle traite des risques d’atteinte à la vie privée associés à l’entrée en vigueur des modifications à la Loi sur l’identification par les empreintes génétiques en 2018, entre autres la création des nouveaux fichiers.

Elle aborde aussi dans cet addenda l’élaboration du modèle opérationnel national pour l’ADN des personnes disparues. Ce modèle détermine le mode de gestion des fichiers d’ADN, entre autres les processus d’inclusion, d’autorisation et d’acceptation des échantillons biologiques et des profils génétiques dans la base de données, ainsi que la façon dont les enquêteurs sont informés des résultats et le mode de gestion des périodes de conservation et des processus de destruction.

Le Commissariat a consulté la GRC et lui a donné des conseils sur les exigences en matière de protection des renseignements personnels qui s’appliquent à la base de données. Nous avons aussi formulé une recommandation concernant les divers formulaires de consentement pour le prélèvement d’échantillons biologiques. Nous avons suggéré à la GRC d’indiquer plus clairement que dans certaines circonstances particulières, il n’est pas possible de rendre inaccessibles sur demande des profils génétiques. La GRC a accepté notre recommandation.

Nous avons aussi recommandé que les ententes conclues avec les autorités étrangères renferment des dispositions de protection de la vie privée afin de donner l’assurance que toute autorité recevant les profils génétiques protège ces profils et les autres renseignements personnels sensibles communiqués par le Canada. En réponse à cette recommandation, la GRC a fourni davantage d’information sur les renseignements qui peuvent être communiqués aux services de police étrangers.

En plus de collaborer en continu avec la GRC en ce qui concerne la BNDG, le Commissariat participe à titre de membre d’office au comité consultatif de cette base de données depuis sa création en 2000.

Initiative sur les entrées et les sorties

En 2011, le Canada et les États-Unis ont créé conjointement l’Initiative sur les entrées et les sorties pour faciliter la collecte de données sur les personnes qui entrent au Canada ou qui en sortent. Au fil des ans, le Commissariat a été en contact avec l’Agence des services frontaliers du Canada (ASFC) au sujet de cette initiative, par l’entremise de consultations et en examinant des EFVP à mesure que le projet franchissait les multiples étapes de sa mise en œuvre.

À la fin de 2018, l’adoption du projet de loi C-21, Loi modifiant la Loi sur les douanes, a élargi la portée de l’Initiative sur les entrées et les sorties en conférant à l’ASFC le pouvoir de recueillir des données biographiques sur toutes les personnes sortant du Canada par voie terrestre ou aérienne – entre autres leur nom, leur date de naissance, leur sexe, leur citoyenneté ou leur nationalité, l’information sur leurs documents de voyage et leurs données de voyage.

En 2019-2020, le Commissariat a recommandé à l’ASFC d’examiner les fins visées par la collecte de données sur les entrées et les sorties et d’établir des périodes de conservation propres à chaque fin. Nous lui avons aussi recommandé de faire preuve d’une plus grande transparence concernant ses activités se rapportant aux entrées et aux sorties.

Deux autres organisations fédérales, soit Immigration, Réfugiés et Citoyenneté Canada (IRCC) et Emploi et Développement social Canada (EDSC), participent aussi à l’Initiative sur les entrées et les sorties.

IRCC prend part à cette initiative de deux façons. Premièrement, ce ministère reçoit les données sur les entrées et les sorties pour confirmer la présence ou l’absence d’une personne ayant présenté une demande d’immigration ou faisant l’objet d’une enquête d’immigration. Deuxièmement, il fournit à l’ASFC des données sur la durée des séjours au Canada afin de vérifier s’ils dépassent la période autorisée.

Nous avons recommandé à IRCC de faire le suivi de ses résultats par rapport aux objectifs établis et de reconsidérer l’utilisation de ces renseignements lorsque leur efficacité pour atteindre les objectifs fixés n’a pas été démontrée. Nous avons aussi formulé des recommandations portant sur l’exactitude des renseignements personnels, la conservation des données et les normes de désidentification.

Par ailleurs, nous avons aussi mené deux consultations auprès d’EDSC sur l’utilisation prévue des données sur les entrées et les sorties pour administrer ses programmes sociaux. Depuis, nous avons reçu du ministère une EFVP portant sur l’utilisation de ces données pour les besoins du régime d’assurance-emploi, et nous en attendons une autre pour les besoins du Programme de la sécurité de la vieillesse. EDSC nous a donné de l’information sur l’état des initiatives, et nous avons discuté de considérations générales sur la protection de la vie privée, par exemple la transparence au sujet de l’utilisation des renseignements personnels à des fins administratives et les exigences législatives qui régissent cette pratique.

Au moment de la rédaction du présent rapport, le Commissariat examinait les ententes d’échange de renseignements conclues par l’ASFC avec IRCC, EDSC, l’ARC et la GRC. L’ASFC finalise actuellement une entente d’échange de renseignements avec le Service canadien du renseignement de sécurité (SCRS), et elle s’est engagée à nous en fournir une copie.

Orientations concernant la Loi sur la communication d’information ayant trait à la sécurité du Canada

La Loi sur la communication d’information ayant trait à la sécurité du Canada (LCISC) a été adoptée en 2019 dans le but de favoriser un échange efficace et en temps opportun d’information à l’échelle du gouvernement à des fins de sécurité nationale. Elle autorise les ministères et les organismes fédéraux à communiquer de l’information ayant trait à la sécurité nationale, notamment des renseignements personnels, à un groupe restreint d’institutions fédérales ayant un mandat de sécurité nationale.

La LCISC a remplacé la version antérieure de cette loi, dont le Commissariat a examiné la mise en œuvre en 2017. Cet examen a révélé des lacunes considérables en ce qui a trait aux procédures de mise en œuvre de la Loi, entre autres la tenue des registres et le contrôle interne.

La LCISC précise que la communication est autorisée uniquement si elle aide l’institution destinataire à s’acquitter des responsabilités qui lui incombent en matière de sécurité nationale. En outre, cette loi oblige l’institution qui communique l’information à conserver des documents au sujet de chaque communication. Sécurité publique Canada joue un rôle de premier plan dans l’élaboration de ressources, d’une formation et de directives concernant la LCISC pour aider les fonctionnaires à comprendre et à administrer la nouvelle loi.

Le Commissariat a formulé des observations à Sécurité publique Canada concernant son guide pour une communication responsable d’information sous le régime de la LCISC. Ces observations visaient à faire en sorte que les institutions reçoivent des conseils clairs au sujet du seuil requis pour la communication en vertu de la Loi, de l’exactitude et de la fiabilité de l’information, et des pratiques de conservation des documents.

Sécurité publique Canada a donné suite à nos recommandations en ajustant son guide en conséquence. De plus, ce ministère nous a donné un aperçu de la formation qu’il offre, en complément au guide, aux partenaires qui communiquent l’information.

En appuyant Sécurité publique Canada dans l’élaboration de ses documents d’orientation sur la LCISC, nous avons contribué à sensibiliser les institutions aux obligations qui leur incombent en vertu de la LCISC et de la LPRP. Nous prévoyons continuer à offrir des conseils à Sécurité publique Canada et à discuter avec ce ministère d’autres dossiers où nous pourrions l’éclairer quant aux obligations en matière de protection de la vie privée.

Il convient de noter que l’adoption de la Loi de 2017 sur la sécurité nationale a permis au Commissariat de collaborer avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR), particulièrement en ce qui concerne l’examen des communications afin de déterminer si ces dernières respectent le critère établi dans la Loi. Nous envisageons de manière positive cet examen, que nous mènerons avec l’OSSNR en 2020-2021. Nous abordons de manière plus large nos travaux avec l’OSSNR plus loin dans ce rapport, dans la section Coopération avec des autorités canadiennes et étrangères.

Cadre canadien d’intervention policière collaborative en matière de violence sexuelle

Un groupe de 14 services de police répartis à la grandeur de l’Ontario ont élaboré en 2017 le Cadre canadien d’intervention policière collaborative en matière de violence sexuelle. Le Commissariat à l’information et à la protection de la vie privée de l’Ontario y a aussi contribué. Ce cadre vise à offrir aux services de police de tout le pays des pratiques exemplaires pour traiter les cas de violence sexuelle, notamment pour l’examen des dossiers qui n’aboutissent pas à des accusations.

En 2019, l’Association canadienne des chefs de police (ACCP) a demandé au Commissariat son avis à l’égard de cette initiative ainsi que son soutien, car elle s’apprêtait à approuver officiellement le cadre à l’échelle nationale. Nous avons examiné le cadre et formulé deux recommandations, que l’ACCP a acceptées.

Comme le cadre a été élaboré en Ontario au départ, il renvoyait uniquement à la législation de cette province. C’est pourquoi notre première recommandation visait à préciser dans ce cadre que les services de police devraient l’adapter en fonction de leur propre législation, notamment en ce qui concerne la protection de la vie privée.

Notre deuxième recommandation portait sur les ententes de confidentialité que les membres des comités d’examen des cas de violence sexuelle doivent signer avant de commencer leur examen. Nous avons recommandé à l’ACCP d’ajouter une disposition obligeant les membres à aviser l’organisme compétent en cas d’atteinte à la sécurité des renseignements personnels.

À la suite de notre examen, le commissaire à la protection de la vie privée a envoyé une lettre d’appui précisant que le cadre permettait de mettre en œuvre des programmes d’examen de cas de violence sexuelle qui sont régis par de solides dispositions de protection de la vie privée. Il a ajouté que ce document de référence serait utile non seulement pour établir de nouveaux programmes, mais aussi pour peaufiner des programmes existants, par exemple ceux mis en œuvre par la GRC et les Forces armées canadiennes.

L’examen des cas de violence sexuelle par des membres externes implique qu’il faut communiquer des dossiers d’enquête et des renseignements personnels très sensibles. Toutefois, les institutions qui prévoient des mesures de protection dès la conception de leurs programmes réduisent le risque d’atteinte à la sécurité des données, ce qui permet de gagner la confiance des personnes concernées.

Le cadre montre bien qu’en adoptant des mesures de protection appropriées, on fait en sorte que la protection de la vie privée n’est pas un obstacle à la communication de renseignements personnels, laquelle est nécessaire pour atteindre les importants objectifs d’intérêt public des programmes d’examen.

VidCruiter

VidCruiter est une entreprise canadienne qui offre un service de recrutement par vidéo et d’autres solutions en matière d’embauche, notamment le filtrage et la sélection des candidats, la planification d’entrevues, la tenue d’entrevues vidéo et la vérification des références.

Au moment de la rédaction du présent rapport, le Commissariat avait consulté le ministère de la Justice, l’Agence spatiale canadienne, Santé Canada et EDSC concernant l’utilisation de cette plateforme de dotation. Nous nous attendons à ce que davantage d’institutions fédérales l’utilisent et savons que le Groupe de travail des sous-ministres sur l’innovation dans le secteur public s’y intéresse.

De plus, en raison de la pandémie, il est clair que les outils d’entrevue à distance susciteront un plus grand intérêt. Dans ce cas particulier, nous avons soulevé des préoccupations quant à la limitation de la collecte, l’utilisation, la communication et la conservation des renseignements personnels, ainsi que leur protection.

Le Commissariat a formulé plusieurs recommandations au sujet de l’utilisation de VidCruiter. Plus précisément, nous avons recommandé que les institutions fédérales désireuses d’avoir recours à ce service effectuent une EFVP.

Nous avons formulé ces recommandations en partant du principe que le service repose sur la sous-traitance à un tiers et qu’il exige des modifications importantes aux activités de dotation. Or, ces deux situations déclenchent une EFVP en vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée du Conseil du Trésor.

Par ailleurs, en recourant à ce service, on crée une nouvelle collecte de renseignements personnels sous format audio et vidéo, alors que le Fichier de renseignements personnels ordinaires portant sur la dotation ne recense actuellement pas le stockage de ces types de renseignements. Le Commissariat a discuté avec le SCT de la nécessité de mettre à jour ce fichier.

Au moment de la rédaction du présent rapport, le Commissariat attendait la réponse des institutions susmentionnées aux avis qu’il avait formulés. EDSC et Santé Canada ont indiqué qu’ils préparaient une EFVP sur l’activité en question. Pour leur part, le ministère de la Justice et l’Agence spatiale canadienne ont affirmé qu’ils mettaient sur pied un groupe de travail en vue de créer éventuellement une EFVP pluri-institutionnelle.

En parallèle, notre Direction des services-conseils aux entreprises a mené une consultation auprès de VidCruiter et lui a fait plusieurs recommandations visant à mieux protéger la vie privée. Nous faisons état de ce travail plus loin dans le présent rapport, à la section La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice.

Entente d’échange de renseignements concernant les parrains d’immigrants

Immigration, Réfugiés et Citoyenneté Canada (IRCC) et le ministère des Services à l’enfance et des Services sociaux et communautaires (MSESSC) de l’Ontario ont conclu une entente d’échange de renseignements pour trois activités.

Premièrement, IRCC peut vérifier auprès du MSESSC si une personne demandant à parrainer un immigrant au Canada est prestataire de l’aide sociale, ce qui la rendrait non admissible au parrainage. Deuxièmement, le MSESSC peut obtenir auprès d’IRCC de l’information concernant les parrains qui ont une dette envers la province au titre de leurs engagements en matière de parrainage. Troisièmement, le MSESSC peut obtenir auprès d’IRCC, au cas par cas, de l’information sur le statut d’une personne qui demande l’aide sociale et dont le statut auprès d’IRCC n’est pas clair.

Le système sur lequel repose cette communication d’information ne fonctionnait pas bien, car il faisait appel à une technologie désuète et était inefficace. Les parties ont élaboré un projet pilote pour vérifier la viabilité du couplage des identités entre leurs bases de données respectives.

Après avoir consulté le Commissariat, IRCC a présenté une ébauche de son entente d’échange de renseignements avec le MSESSC. À la lumière de notre examen de cette ébauche, nous lui avons recommandé ce qui suit : avoir recours à des courriels cryptés pour communiquer les renseignements au lieu d’utiliser la plateforme d’un tiers; préciser les responsabilités à l’égard des renseignements personnels à toutes les étapes du projet pilote; définir le processus pour régler les atteintes à la vie privée; établir un calendrier définissant clairement les périodes de conservation des renseignements personnels. Nous avons aussi recommandé à IRCC et au MSESSC d’évaluer le risque d’atteinte à la vie privée.

IRCC a accepté toutes nos recommandations et s’est engagé à effectuer une EFVP pour les travaux menés dans le cadre de cette initiative après le projet pilote. Le Commissariat est satisfait des mesures prises par ce ministère pour mettre en œuvre ses recommandations.

La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a été adoptée pour maintenir la confiance dans ce que l’on appelait alors le « commerce électronique ». Les consommateurs pouvaient bénéficier de la protection de cette loi contre la collecte, l’utilisation ou la communication de leurs renseignements personnels sans leur consentement.

Deux décennies plus tard, les Canadiens sont entièrement plongés dans l’économie numérique. Les bases de données étant de plus en plus volumineuses et l’analytique de plus en plus perfectionnée, les consommateurs sont exposés à des risques beaucoup plus graves qu’en 2000.

Le nombre et l’ampleur des atteintes à la sécurité des données mettant en cause des renseignements personnels augmentent d’année en année. Les enquêtes sur des atteintes très médiatisées occupent de plus en plus de place dans le large éventail d’activités que mène le Commissariat afin de favoriser et d’assurer la conformité à la LPRPDE.

Les enquêtes sur des atteintes représentent une part importante de notre travail. Or, nous menons aussi bon nombre d’autres activités visant à assurer la conformité à la LPRPDE et à mieux faire connaître aux entreprises leurs obligations quant à la protection des renseignements personnels.

Outre nos enquêtes sur un large éventail d’enjeux, nous favorisons la conformité en donnant des conseils et des orientations aux entreprises pour qu’elles puissent régler les problèmes de protection de la vie privée de manière proactive. Nous travaillons également avec d’autres organismes de réglementation fédéraux afin de promouvoir et de veiller au respect de la Loi canadienne antipourriel (LCAP). De surcroît, au moyen de notre Programme des contributions, nous appuyons la recherche émergente et le transfert des connaissances sur la protection de la vie privée des consommateurs.

La présente section résume les activités menées par le Commissariat en 2019-2020 sous le régime de la LPRPDE.

Atteintes aux mesures de sécurité

Le nouveau règlement qui rend obligatoire la déclaration des atteintes est entré en vigueur le 1^er novembre 2018. Nous avons donc souligné la première année complète de son application pendant l’exercice 2019-2020. Auparavant, la déclaration par les entreprises se faisait sur une base volontaire.

Les organisations assujetties à la LPRPDE sont tenues de déclarer au Commissariat toute atteinte aux mesures de sécurité qui met en cause des renseignements personnels dont elles ont la gestion, s’il est raisonnable de croire que cette atteinte entraîne un risque réel de préjudice grave envers un individu. Les organisations doivent également avertir les individus concernés des atteintes qui touchent leurs renseignements personnels.

Pour déterminer si une atteinte pose un risque réel de préjudice grave, les organisations doivent prendre en compte des facteurs comme le degré de sensibilité des renseignements personnels visés et la probabilité que ces renseignements aient été ou soient mal utilisés ou encore qu’ils soient sur le point de l’être.

Les organisations doivent conserver un registre de toutes les atteintes aux mesures de sécurité mettant en cause des renseignements personnels dont elles ont la gestion.

Depuis l’entrée en vigueur de la déclaration obligatoire, le nombre de déclarations reçues a grimpé en flèche. Ainsi, en 2019-2020, nous avons reçu 678 déclarations d’atteinte touchant quelque 30 millions de comptes appartenant à des Canadiens, soit plus du double par rapport à 2018-2019 et six fois le nombre de déclarations reçues au cours de l’année qui a précédé l’entrée en vigueur de la déclaration obligatoire.

En 2019-2020, 87 % des déclarations d’atteinte que nous avons évaluées semblaient atteindre le seuil de déclaration.

Nous avons observé une hausse du nombre de déclarations d’atteinte à grande échelle touchant un grand nombre de personnes. Plus particulièrement, nous avons reçu des déclarations de grandes organisations, dont Desjardins et Capital One.

Les déclarations d’atteinte dans trois secteurs de l’industrie – secteur financier (19 %), secteur des télécommunications (17 %) et secteur de la vente et du commerce de détail (14 %) – représentaient 50 % de l’ensemble des déclarations reçues au cours de l’exercice.

Environ la moitié des déclarations portaient sur un accès non autorisé par des individus malveillants ou sur des menaces internes, souvent par suite de furetage par des employés ou de piratage psychologique.

Les menaces internes peuvent être le fait d’individus malveillants, comme des employés utilisant à mauvais escient les renseignements des clients. Nous avons aussi observé des cas où il n’y avait aucune intention malveillante, par exemple lorsque des employés avaient envoyé par erreur des renseignements personnels par courriel ou par la poste à la mauvaise adresse, ou lorsqu’ils n’avaient pas suivi le processus d’authentification en place. Des employés qui avaient omis de vérifier correctement l’identité d’une personne ont été à l’origine d’atteintes graves par l’entremise d’accès non autorisé aux comptes de clients.

Nous constatons encore des atteintes mettant en cause, entre autres, la communication de renseignements à des membres de la famille, la perte ou le vol d’appareils, l’installation de maliciels, des attaques tirant parti des points faibles des réseaux, des bourrages de justificatifs, des attaques par force brute visant des mots de passe et des communications accidentelles (telles que l’insertion de listes d’adresses de courriel dans le champ « copie conforme (c. c.) » plutôt que « copie conforme invisible (c. c. i.) »).

Les campagnes de piratage psychologique ciblé reposant sur l’hameçonnage ou l’usurpation d’identité demeurent une importante cause des atteintes déclarées au Commissariat. Ces campagnes utilisent parfois des renseignements personnels obtenus au cours d’une fuite antérieure pour accéder aux comptes d’une victime afin d’en tirer un gain financier. Elles demeurent particulièrement problématiques.

Par exemple, nous avons reçu un nombre accru de déclarations d’entreprises de télécommunications concernant l’accès non autorisé à des comptes de clients par suite d’usurpation de cartes SIM. Ces incidents mettent en cause des personnes malveillantes qui ont recours au piratage psychologique pour prendre le contrôle du numéro de téléphone cellulaire d’un client et avoir accès à ses appels téléphoniques et à ses messages textes.

De nombreux comptes en ligne sont liés à des numéros de téléphone cellulaire, et des entreprises envoient des messages textes à ces numéros afin de valider l’identité du client. Ainsi, l’usurpation de cartes SIM permet souvent d’avoir accès aux comptes bancaires, aux comptes de médias sociaux, aux courriels ou à tout autre compte lié au numéro de téléphone cellulaire d’une personne.

En 2007, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a publié un rapport à la suite de son premier examen de la LPRPDE prévu par la loi. Ce rapport renfermait une section sur les « avis d’atteinte à la sécurité des renseignements personnels », où le Comité indiquait ce qui suit : « Ces questions suscitent de plus en plus de préoccupations à mesure que les grands quotidiens font état d’un nombre croissant de fuites importantes de renseignements personnels touchant de nombreux Canadiens. »

Plus de dix ans plus tard, la fréquence et l’ampleur des atteintes à la sécurité des données qui mettent en cause les renseignements personnels de Canadiens continuent d’augmenter.

Examen des registres des atteintes

En 2019-2020, le Commissariat a mené un exercice d’inspection des registres des atteintes au sein d’une industrie en particulier. Nous avons examiné les registres des atteintes tenus par sept entreprises canadiennes de télécommunications afin d’évaluer la conformité et d’avoir une meilleure idée des plans d’action, des approches et des outils utilisés par les organisations pour s’acquitter de leurs responsabilités en matière de déclaration des atteintes.

Nous avons choisi le secteur des télécommunications parce qu’il compte parmi ceux ayant déclaré le plus grand nombre d’atteintes au Commissariat en 2019. En outre, la plupart des Canadiens sont clients de l’une ou l’autre des sociétés de télécommunications au pays, car la majorité d’entre eux utilisent leurs produits et services.

Nous avons constaté que l’industrie semble généralement prendre au sérieux les obligations qui lui incombent. Cela dit, nous avons cerné les principaux domaines où il y a matière à amélioration.

Par exemple, 40 % des dossiers examinés ne renfermaient pas suffisamment d’information pour nous permettre de bien comprendre comment l’entreprise avait évalué le risque réel de préjudice grave créé par une atteinte. Cette information devrait figurer dans le registre des atteintes.

En outre, nous estimons que 20 % des dossiers portaient sur des atteintes non déclarées qui auraient probablement dû être signalées au Commissariat.

Nous avons également remarqué que seulement une des sept entreprises avait mis en place une stratégie et des procédures de conservation des dossiers aux registres des atteintes.

Au cours de notre examen, nous avons pris connaissance de pratiques qui aident les entreprises de télécommunications à évaluer le risque réel de préjudice grave. Par exemple, cinq des sept entreprises à l’étude utilisaient une liste de vérification, alors que d’autres avaient recours à un tableau ou à une liste de questions.

Bilan des activités et tendances

En 2019-2020, le Commissariat a fermé 318 plaintes déposées en vertu de la LPRPDE, dont la majorité portaient sur l’accès à l’information (34 %) et le consentement (20 %). Dans l’ensemble, nous avons fermé 30 % plus de plaintes concernant l’accès à l’information qu’au cours de l’exercice précédent, ce qui porte à croire que les individus connaissent mieux leurs droits et veulent mieux comprendre quels renseignements les organisations du secteur privé recueillent et conservent à leur sujet.

Le Commissariat a accepté 13 fois plus de plaintes visant le secteur de la santé qu’au cours de l’exercice précédent, principalement en raison d’une importante atteinte à la vie privée mettant en cause une entreprise de services de laboratoire médical.

Généralement, nous recevons peu de plaintes contre des organisations de ce secteur, car la plupart sont régies par les lois provinciales sur la protection des renseignements personnels. Cependant, l’atteinte en question touchait des individus dans plusieurs provinces. En définitive, les 23 plaintes reçues relevaient directement de l’Ontario et de la Colombie-Britannique. Nous avons donc abandonné les procédures dans ces dossiers et redirigé les plaintes vers les autorités compétentes de ces provinces, qui font enquête sur cette atteinte au moment de la rédaction du présent rapport.

La majorité des plaintes que nous recevons demeure à l’encontre du secteur financier. En effet, 21 % des plaintes acceptées vise ce secteur, soit un volume comparable à celui enregistré au cours de l’exercice précédent. Viennent ensuite les secteurs des télécommunications (13 %) et des services (11 %).

En 2019-2020, nous avons réduit considérablement l’arriéré de dossiers de plaintes remontant à plus de 12 mois. L’arriéré de plaintes sous le régime de la LPRPDE a diminué de près de 20 %, et l’arriéré pour l’ensemble des plaintes, de 50 %.

L’accumulation de l’arriéré de dossiers découlait, entre autres, d’une demande accrue de la part de Canadiens préoccupés par la détérioration de leur droit à la vie privée et par la complexité de l’environnement numérique.

Comme dans le cas des plaintes déposées en vertu de la LPRP, nous sommes parvenus à réduire l’arriéré de plaintes sous le régime de la LPRPDE grâce à une augmentation des ressources qui nous ont été assignées et à une stratégie qui améliore l’efficacité des enquêtes.

Sur ce dernier point, nous avons pris des mesures concertées pour recruter des agents contractuels et de nouveaux employés afin de rassembler l’expertise nécessaire et redistribuer les dossiers, ce qui a contribué à réduire l’arriéré.

En 2019-2020, nous avons fermé par règlement rapide 221 plaintes déposées sous le régime de la LPRPDE, soit 69 % des plaintes reçues en vertu de cette loi. Le règlement rapide et l’enquête sommaire sont efficaces pour résoudre les enjeux plus simples. En règle générale, les plaignants obtiennent un résultat en quelques mois, alors que le délai est beaucoup plus long pour un processus d’enquête officielle.

L’adoption d’un nouveau formulaire de plainte en ligne a permis d’obtenir des gains d’efficacité dans le processus de tri grâce à la saisie automatique d’information dans notre système de gestion des plaintes. Comme nous l’avons expliqué dans la section intitulée La Loi sur la protection des renseignements personnels : rétrospective de l’exercice, le nouveau formulaire en ligne donne aux plaignants de l’information pertinente à mesure qu’ils le remplissent.

Depuis la mise en ligne du nouveau formulaire, nous recevons beaucoup moins de plaintes ne relevant pas du mandat ou de la compétence du Commissariat. Ce formulaire a donc permis de réduire le temps nécessaire pour évaluer les plaintes, en plus de faciliter l’examen des dossiers.

Par ailleurs, nous avons davantage eu recours aux pouvoirs conférés par la Loi dans nos interactions avec les intimés, entre autres en assignant ces derniers à comparaître et à témoigner sous serment. Nous avons aussi effectué plusieurs visites sur les lieux, qui sont importantes pour réaliser et valider des analyses judiciaires de la technologie et interroger des employés.

Surveillance de la conformité

Nous avons récemment accru nos efforts pour assurer la conformité aux recommandations que nous avons formulées dans un rapport de conclusions. Notre unité de surveillance de la conformité surveille la mise en œuvre des recommandations à l’issue de certaines enquêtes pour favoriser la conformité et déterminer si les organisations respectent les engagements qu’elles ont pris envers le Commissariat et les Canadiens.

Le dossier d’enquête sur Equifax fait actuellement l’objet d’une telle surveillance. Dans notre rapport annuel précédent, nous avons résumé l’enquête menée par le Commissariat par suite d’une atteinte massive à la sécurité de données touchant environ 143 millions de personnes partout dans le monde, dont 19 000 Canadiens. Nous avions alors indiqué qu’Equifax Canada et sa société mère établie aux États-Unis avaient nettement manqué à leurs obligations envers les Canadiens en matière de protection de la vie privée.

Par suite de cette atteinte, Equifax Canada a conclu avec le Commissariat un accord de conformité exécutoire d’une durée de six ans, en vertu duquel l’entreprise s’est engagée à lui soumettre des rapports de vérification de la sécurité produits par une tierce partie, à améliorer ses programmes de responsabilité et de destruction des données, et à accroître sa transparence au sujet de ses pratiques de protection de la vie privée. En surveillant les progrès à cet égard, le Commissariat s’assure qu’Equifax met en œuvre de façon rigoureuse et en temps opportun des améliorations à ses mesures de protection de la vie privée.

Les parties ont révisé cet accord de conformité en janvier 2020 afin de modifier certaines exigences en matière de consentement au sujet de la circulation transfrontalière des données. Le Commissariat continuera de vérifier si Equifax respecte les modalités de cet accord au cours des prochaines années.

Enquêtes principales

Un site Web d’évaluation de médecins par des patients met en lumière des lacunes de la LPRPDE

Une dentiste a découvert sur le site Web RateMDs.com un profil à son sujet créé à son insu et sans son consentement. Lorsqu’elle a communiqué avec l’entreprise pour lui demander de retirer ce profil du site, RateMDs a refusé en faisant valoir l’intérêt des patients à évaluer les professionnels de la santé et à lire des avis publiés à leur sujet.

La dentiste a alors déposé une plainte auprès du Commissariat, qui a ouvert une enquête. L’enquête a porté sur le consentement, l’exactitude et la correction des renseignements, la transparence et les fins acceptables.

Consentement

La plaignante s’inquiétait principalement du fait que ses renseignements personnels avaient été recueillis, utilisés et communiqués sans son consentement.

Le profil de la plaignante affiché sur RateMDs comprenait deux types de renseignements, soit ses coordonnées d’affaires, par exemple son nom et les coordonnées de son cabinet, ainsi que les avis et les classements la concernant publiés par les utilisateurs de RateMDs.

En ce qui concerne les coordonnées d’affaires de la plaignante, nous avons conclu qu’il s’agissait de renseignements auxquels le public a accès au sens du règlement d’application de la LPRPDE. RateMDs pouvait donc les recueillir, les utiliser et les communiquer sans son consentement.

En revanche, les avis et les classements représentent à la fois les renseignements personnels de la plaignante et ceux des personnes qui les ont publiés.

Pour cette raison, en vertu de la LPRPDE, le consentement des deux parties semble exigé pour que RateMDs soit autorisée à publier les avis et les classements. Toutefois, cela est rarement possible lorsque les personnes ont des intérêts opposés. D’après la jurisprudence de la Cour fédérale, dans ces circonstances, la LPRPDE exige une pondération des intérêts.

La plaignante avait une attente raisonnable en matière de vie privée ainsi qu’un intérêt à protéger sa réputation et sa carrière.

Par ailleurs, les utilisateurs avaient consenti explicitement à la publication de leurs avis sur un site dont l’intention déclarée est de permettre aux utilisateurs de formuler des commentaires, afin que d’autres personnes puissent en profiter et faire des choix éclairés concernant le professionnel de la santé qu’ils consulteront. Selon nous, il y a un intérêt public à publier des avis qui sont utiles à l’ensemble de la population, et qui permettent aux gens de décider d’avoir recours ou non aux services de certains professionnels de la santé.

Compte tenu de la pondération des intérêts de la plaignante, d’une part, et de ceux des personnes ayant publié des avis et des classements et du public en général, d’autre part, nous avons conclu que cet aspect de la plainte n’est pas fondé.

Exactitude et correction

La LPRPDE exige que RateMDs s’assure de l’exactitude des renseignements sur les professionnels de la santé qui se trouvent sur son site Web.

Les exploitants de RateMDs devraient donc offrir à la plaignante et aux autres professionnels de la santé un processus de plainte équitable et accessible si les renseignements publiés à leur sujet sont considérés inexacts ou incomplets. Évidemment, il peut être très difficile de contester l’exactitude des commentaires du fait que les avis sont parfois publiés sous le couvert de l’anonymat.

En outre, selon la LPRPDE, « l’organisation ne peut communiquer de renseignement à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. » Par conséquent, la LPRPDE interdirait de manière générale de révéler aux professionnels de la santé l’identité des utilisateurs qui affichent des avis négatifs à leur sujet, même si cela était nécessaire pour des fins de justice naturelle et de protection de la réputation. Ainsi, appliquer la loi dans sa forme actuelle, y compris son interdiction de communiquer l’identité de tiers à un professionnel de la santé, pourrait produire un processus injuste et la publication de renseignements inexacts au sujet du professionnel.

Dans ce dossier, la plaignante n’a soulevé aucun enjeu concernant l’exactitude des renseignements. C’est pourquoi, tout en constatant que RateMDs avait mis en place un processus pour examiner les renseignements personnels et faire supprimer ceux qui sont inexacts, nous ne nous sommes pas exprimés sur la question de savoir si ce processus était suffisant.

Le Commissariat demeure préoccupé par la possibilité que des renseignements inexacts soient publiés sur le site Web de RateMDs. Il a fortement encouragé RateMDs à explorer d’autres mécanismes pour favoriser et assurer l’exactitude des renseignements.

Transparence

RateMDs n’a pas indiqué clairement aux professionnels de la santé qu’ils pouvaient lui demander de corriger ou de modifier des renseignements les concernant lorsqu’ils les jugent inexacts, incomplets ou désuets.

RateMDs a accepté de modifier ses conditions d’utilisation et sa foire aux questions pour remédier au manque de transparence en ce qui a trait à sa politique de retrait et de correction des avis. Les conditions d’utilisation et la FAQ modifiées indiquent clairement que l’entreprise supprimera ou modifiera les renseignements personnels s’il est démontré qu’ils sont inexacts ou désuets, et qu’un professionnel de la santé peut demander l’accès à son profil pour corriger ou mettre à jour des renseignements le concernant ou répondre à un avis.

Après avoir examiné les communications mises à jour de RateMDs sur la protection de la vie privée, le Commissariat est convaincu qu’elles sont suffisamment claires pour répondre aux exigences en matière de transparence.

Fins acceptables

Le Commissariat a déterminé qu’une personne raisonnable ne considérerait généralement pas que la collecte, l’utilisation et la communication de renseignements figurant dans des avis et des classements sur des professionnels de la santé représentent une fin inacceptable dans les circonstances. Nous soulignons ici qu’aucune objection n'a été soulevée quant à l'exactitude des renseignements. Les intérêts des patients qui publient des avis et des classements sur le site Web et l’intérêt public des patients éventuels semblent indiquer que les fins de RateMDs sont généralement acceptables.

Cela dit, le Commissariat était préoccupé par le service payant « Ratings Manager », qui permettait aux professionnels de la santé abonnés au service de masquer jusqu’à trois avis négatifs figurant dans leur profil d’utilisateur. Les avis négatifs réapparaissaient lorsque l’utilisateur se désabonnait du service.

Selon notre document d’orientation sur les pratiques inacceptables de traitement des données, il y a plusieurs « zones interdites » où une personne raisonnable jugerait généralement « inacceptables » les fins de la collecte, de l’utilisation ou de la communication de renseignements personnels. La publication de renseignements personnels dans le but de réclamer un paiement aux individus pour les faire retirer est considérée comme l’une de ces « zones interdites ».

Dans le cas en question, RateMDs a conçu une plateforme où les utilisateurs peuvent publier des avis et des classements, notamment des avis et des classements négatifs, concernant des professionnels de la santé. Puisque RateMDs a créé les conditions pour la publication d’avis négatifs, elle ne peut toucher des revenus en imposant des frais pour retirer ces avis. Il est clair que de contraindre des professionnels de la santé à payer pour faire retirer des avis et à continuer de payer des frais mensuels pour que le retrait demeure en vigueur constitue une pratique inappropriée de « paiement pour retrait ».

Entre août 2019 et août 2020, RateMDs a supprimé cette option dans les plans d’abonnement à son service.

Vers une approche fondée sur les droits pour protéger les Canadiens à l’ère numérique

Cette enquête montre encore une fois que le cadre législatif actuel est insuffisant pour défendre le droit à la vie privée des Canadiens dans l’économie numérique.

On y fait ressortir l’opposition entre plusieurs enjeux, comme la réputation en ligne, la liberté d’expression, l’anonymat en ligne, les intérêts commerciaux, les intérêts des patients et l’intérêt public. Comme ces enjeux se posent dans le cas de nombreux sites d’évaluation, et dans celui d’autres sites Web de nature plus générale, il faut manifestement mieux définir le droit des individus de faire corriger les renseignements personnels inexacts publiés à leur sujet de façon anonyme, et assurer l’équité de ce processus.

Un cadre fondé sur les droits, qui définit la vie privée dans son sens le plus large et le plus véritable, apporterait davantage de clarté pour protéger la vie privée dans ces contextes. Dans notre rapport annuel précédent, nous avions recommandé de moderniser nos lois pour prévoir des mesures de protection supplémentaires contre les préjudices découlant d’atteintes aux droits de la personne à l’ère numérique. Plus précisément, nous avions indiqué qu’une législation modernisée doit établir des droits propres à l’ère numérique, entre autres le droit à l’oubli, le droit à la portabilité des données et les droits en matière de transparence ou d’explication quant à l’algorithme. Nous constatons qu’ailleurs dans le monde, des instances ont pris des mesures afin que la loi prenne en compte les droits propres à la nouvelle réalité numérique.

Flux transfrontières de données : les pratiques de TD Canada Trust et Loblaw sont conformes aux exigences actuelles de la LPRPDE

La protection de la vie privée dans le contexte de la sous-traitance a été abordée dans le cadre d’enquêtes auprès de TD Canada Trust et de Loblaw au sujet du transfert de renseignements personnels de consommateurs à des fournisseurs en dehors du Canada aux fins de traitement.

Au bout du compte, les deux enquêtes ont conclu que TD et Loblaw avaient satisfait aux exigences de la loi actuelle, particulièrement aux termes du principe 4.1.3, selon lequel l’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie. Selon les dispositions de cette loi, les mesures adoptées par les deux organisations représentaient de bonnes pratiques.

Mais ce qui demeure préoccupant, c’est que la loi actuelle n’apparait pas suffisante pour protéger adéquatement les renseignements personnels des Canadiens lorsque ces renseignements font l’objet de flux transfrontaliers.

Dans les lignes directrices du Commissariat intitulées Transfert transfrontalier de renseignements personnels, publiées en 2009, il est dit qu’un « degré comparable de protection signifie que la tierce partie qui traite les renseignements doit fournir une protection comparable au niveau de protection qui serait fourni si l’information n'avait pas été transférée. Cela ne veut pas dire que les mesures de protection devraient être les mêmes partout, mais qu'elles devraient généralement s'équivaloir. »

En septembre 2019, à la suite d’une consultation au sujet du transfert de renseignements personnels aux fins de traitement, le Commissariat a conclu que ses lignes directrices sur le transfert transfrontalier de renseignements personnels demeureront les mêmes en vertu de la loi actuelle. Le Commissariat a annoncé qu’il concentrera ses efforts sur la façon dont une loi révisée peut protéger au mieux le droit à la vie privée des Canadiens lors du transfert de leurs renseignements et lors de flux transfrontaliers.

TD Canada Trust

Dans l’enquête au sujet de TD, le Commissariat a conclu que les renseignements faisaient l’objet d’une protection comparable (selon la définition des lignes directrices de 2009) à celle qui aurait été en place en vertu de la LPRPDE si TD en avait fait elle-même le traitement. Les mesures de contrôle technologiques en place, auxquelles s’ajoutaient les modalités du contrat entre la banque et le fournisseur de services, ainsi que le contrôle et l’application de ces exigences contractuelles, nous ont amenés à cette conclusion. Le Commissariat s’est attardé particulièrement aux principes 4.4, 4.5 et 4.7, qui étaient les plus pertinents dans l’affaire en cause.

L’enquête au sujet de TD a révélé plusieurs bonnes pratiques, pour les fins de la loi actuelle, que pourraient adopter d’autres organisations qui transfèrent des renseignements personnels à des tiers aux fins de traitement, dont les suivantes :

• effectuer les évaluations de risque avant de conclure un marché pour cerner et atténuer les risques éventuels à la vie privée, et intégrer le résultat de ces évaluations dans le contrat;
• exiger que le fournisseur de services adopte des mesures de contrôle dans son environnement de travail afin de prévenir la copie ou la communication de renseignements au sujet des clients ou des employés de l’organisation contractante;
• adopter des modalités contractuelles et des mesures de sécurité solides afin de limiter sévèrement l’accès aux renseignements personnels et l’utilisation de ceux-ci par le fournisseur de services;
• surveiller de manière proactive les mesures de sécurité et les pratiques du fournisseur de services pour voir à ce que le contrat soit respecté, notamment au moyen d’audits ponctuels par un vérificateur indépendant qui fera le suivi de tout problème pour s’assurer qu’il soit réglé.

La banque n’était pas tenue d’obtenir un consentement distinct pour le transfert de ces données, puisque le tiers utilisait les renseignements aux fins pour lesquelles TD les avaient recueillis, soit le traitement des réclamations pour fraude. Cela dit, le Commissariat a conclu qu’elle avait répondu aux exigences en matière de transparence en fournissant aux clients de l’information appropriée concernant le transfert de leurs renseignements personnels au tiers fournisseur de services.

Loblaw

L’enquête au sujet de Loblaw abordait également la façon dont une entreprise gère les transferts de données à des tiers aux fins de traitement. Cette enquête portait sur la collecte et l’utilisation de renseignements personnels par Loblaw dans le cadre d’une offre de cartes-cadeaux. Elle faisait suite à un examen effectué par le Bureau de la concurrence du Canada concernant des allégations selon lesquelles les clients auraient payé un prix trop élevé pour certains produits de boulangerie emballés.

Le Commissariat a déterminé que dans les circonstances, les exigences contractuelles détaillées de Loblaw étaient suffisantes pour assurer un niveau de protection comparable à celui exigé en vertu de la LPRPDE.

Le Commissariat a aussi déterminé que Loblaw avait fait preuve d’une transparence suffisante au sujet du transfert transfrontière des données dans ses communications écrites aux personnes qui s’étaient inscrites au programme.

L’entreprise n’avait pas besoin d’obtenir un consentement supplémentaire pour transférer le nom et l’adresse au fournisseur de services aux fins de traitement, étant donné qu’elle avait déjà obtenu le consentement des intéressés pour utiliser leurs renseignements aux fins pour lesquelles le tiers allait les utiliser.

L’enquête au sujet de Loblaw portait également sur la question de la collecte excessive. Le Commissariat a conclu que Loblaw avait recueilli, du moins au départ, plus de renseignements personnels qu’il était nécessaire pour valider l’identité de certains clients.

Le nom et l’adresse étaient requis pour vérifier l’identité, mais des renseignements plus sensibles, comme le numéro de permis de conduire, la date de naissance et des photos numériques (ces dernières constituant une forme de données biométriques) ne l’étaient pas. Au cours de notre enquête, Loblaw a pris des mesures pour limiter les renseignements qu’elle recueillait. Le Commissariat a été satisfait de cette réponse.

Flux transfrontières de données et réforme législative

Nous avons conclu que TD Canada Trust et Loblaw ont toutes deux respecté les exigences actuelles de la LPRPDE. Il n’en reste pas moins que selon nous, la LPRPDE dans sa forme actuelle n’est pas à la hauteur des risques à la vie privée qu’entraînent les flux transfrontières de données.

Ces flux de données peuvent procurer des avantages considérables aux consommateurs et aux organisations. Toutefois, ils peuvent aussi comporter des risques d’atteinte à la vie privée nécessitant des mesures de protection législatives vigoureuses.

À titre d’exemple d’une lacune potentielle de la LPRPDE : la norme de « degré comparable de protection » semble offrir un degré de protection inférieur à celui accordé par des normes que l'on trouve dans les lois modernes telles que celles de l'Europe et de l'Australie.

La loi australienne exige que l’on prévoie des mesures raisonnables pour s’assurer qu’un récipiendaire à l’étranger « ne contrevient pas » aux principes de protection des renseignements personnels adoptés en Australie ou, à titre subsidiaire, que l’on ait une croyance raisonnable qu’une loi étrangère ou un mécanisme contraignant fournit un niveau de protection « substantiellement similaire ». Pour sa part, l'Union européenne exige un niveau de protection « essentiellement équivalent ».

À l’heure actuelle, le paragraphe 4.1.3 de l’annexe 1 de la LPRPDE ne fait pas de distinction entre les transferts nationaux et les transferts transfrontières aux fins de traitement. Par conséquent, il n’impose aucune exigence supplémentaire à ces derniers, bien que les risques ne soient pas les mêmes.

De plus, la LPRPDE ne fournit aucun mécanisme précis pour réglementer les flux transfrontières de façon plus générale, ni en amont ni en aval, autre que des exigences de responsabilité généralement mal définies. D’autres juridictions disposent de mécanismes de protection, tels des clauses contractuelles types, des codes de conduite ou d’autres modèles contraignants afin de favoriser la protection de renseignements personnels dans le contexte de flux transfrontières de données.

Il est probable que les normes prévues actuellement par la LPRPDE doivent être améliorées pour que les renseignements personnels de Canadiens soient protégés de manière appropriée lorsque ces renseignements sont envoyés à l’étranger.

Le Commissariat poursuit l’élaboration de recommandations pour moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada. Dans ce contexte, il tiendra compte de solutions et de mécanismes législatifs adoptés ailleurs dans le monde, de même que des mémoires qu’il a reçus dans le cadre de sa consultation de 2019.

Dell améliore ses pratiques de sécurité à la suite d’atteintes donnant lieu à la communication d’information sur ses clients

Deux clients de Dell se sont plaints d’avoir reçu des appels de fraudeurs qui connaissaient certains éléments d’information les concernant, notamment sur leurs produits Dell.

Les plaignants alléguaient que les mesures de sécurité prises par Dell n’étaient pas suffisantes et qu’elles avaient entraîné la communication inappropriée de renseignements personnels sur les clients. Ils étaient également insatisfaits de la façon dont Dell avait répondu à leurs plaintes au sujet d’une atteinte à la vie privée.

Au moment du dépôt des plaintes, Dell faisait affaire avec un fournisseur de services pour assurer le service à la clientèle à partir d’un centre d’appels situé en Inde. (Nous n’avons pas abordé la question du transfert de données à l’étranger aux fins de traitement dans le cadre de cette enquête, car il ne s’agissait pas d’une question soulevée par les plaignants.) Au cours de notre enquête, nous avons découvert que deux employés du fournisseur avaient communiqué de façon inappropriée, à deux occasions distinctes, les listes de données sur les clients de Dell. Ces deux atteintes avaient touché plus de 7 800 clients de Dell au Canada. Les employés avaient recueilli des renseignements sur ces clients et les avaient vendus à un tiers.

Nous avons également conclu que Dell ne savait pas quels renseignements avaient été communiqués lors de l’une des atteintes, mais notre enquête a confirmé que les deux plaignants avaient été touchés par l’autre atteinte.

En vertu de la LPRPDE, Dell demeurait responsable des renseignements personnels transférés au fournisseur de services et était tenue de veiller à ce que celui-ci en assure la protection en établissant des mesures de sécurité appropriées.

Les renseignements personnels transférés au fournisseur de services, soit le nom des clients, leurs coordonnées ainsi que des détails sur leur ordinateur, étaient suffisamment sensibles pour exiger un degré élevé de protection. Ce type de renseignements est extrêmement précieux pour les auteurs de fraudes liées au soutien technique et d’autres arnaques.

Nous avons constaté que certaines mesures de protection et de contrôle technique portant sur les contrôles d’accès, la journalisation et la surveillance étaient insuffisantes, compte tenu du degré de sensibilité des renseignements personnels en jeu.

Par ailleurs, nous avons constaté avec inquiétude que Dell n’avait pas fait enquête adéquatement sur les circonstances entourant les atteintes et n’avait pas répondu comme il se doit aux plaintes des clients à propos des appels frauduleux. En fait, si Dell avait mené une enquête plus approfondie sur les préoccupations de l’un des plaignants au sujet de la première atteinte, il aurait été possible de prévenir la seconde.

À la lumière des conclusions de notre enquête et en réponse à nos recommandations, Dell a amélioré ses mesures de protection des renseignements personnels ainsi que ses pratiques de traitement des plaintes et d’enquête sur les atteintes à la vie privée.

Loi canadienne anti-pourriel (LCAP)

Le Commissariat partage avec le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence la responsabilité de mettre en application la Loi canadienne anti-pourriel (LCAP).

Au cours de l’exercice écoulé, le Commissariat a mis à jour ses orientations en lien avec la LCAP à l’intention des entreprises, dont celles à l’intention des entreprises qui font du cybermarketing. Celles-ci portent sur le mandat du Commissariat en ce qui concerne la collecte automatisée d’adresses de courriel et le cybermarketing. Elles aident aussi les organisations à se conformer aux dispositions de la LPRPDE régissant les activités de cybermarketing.

Nous avons aussi produit un encart sur la LCAP, qui a été inséré dans un envoi postal de l’Agence du revenu du Canada à l’intention de 477 350 entreprises au Canada. L’encart renfermait de l’information sur la conformité à la LPRPDE et à la LCAP. Nous avons aussi publié des conseils pratiques et de l’information en lien avec la LCAP dans les médias sociaux, de manière régulière et pendant le Mois sur la prévention de la fraude en mars.

Le Centre d’information du Commissariat a reçu 90 appels de particuliers et d’entreprises concernant la LCAP. La plupart des appels de particuliers avaient trait à des messages non sollicités et à de possibles arnaques, comme des courriels frauduleux et des tentatives d’hameçonnage. Les demandes d’information de la part d’entreprises portaient sur l’application générale de la LCAP et la forme de consentement qu’il est le plus approprié d’obtenir avant d’envoyer des documents de marketing.

Du point de vue de l’application de la loi, trois enquêtes liées à nos responsabilités sous le régime de la LCAP étaient en cours au moment de la rédaction du présent rapport.

Conseils aux entreprises

La Direction des services-conseils aux entreprises collabore avec ces dernières pour les aider à évaluer les répercussions de leurs pratiques sur la vie privée – et à mieux comprendre les répercussions des nouvelles technologies et des nouveaux modèles d’affaires avant de les lancer sur le marché.

En prenant en compte les questions de la vie privée dès le début, on évite les enquêtes longues et coûteuses et on réduit en amont les risques d’atteinte à la vie privée. D’un côté, cela permet aux organisations d’avoir une certaine uniformité et une certaine prévisibilité dans leurs rapports avec le Commissariat, et de l’autre, cela permet aux Canadiens de tirer parti de l’innovation.

Le Commissariat peut offrir des services-conseils de façon proactive, mais les entreprises assujetties à la LPRPDE peuvent aussi en faire la demande.

Application COVI de Mila

En mars 2020, l’institut de recherche en intelligence artificielle Mila, établi à Montréal, a communiqué avec le Commissariat pour obtenir des conseils concernant l’application de traçage des contacts COVI, qu’il avait commencé à mettre au point en réponse à la pandémie de COVID-19.

Notre Direction des services-conseils aux entreprises, appuyée par un groupe interfonctionnel de spécialistes internes, a mené une consultation afin de conseiller Mila sur la conception et le fonctionnement de l’application.

À l’issue de cette consultation, nous avons constaté que les concepteurs avaient adopté plusieurs principes clés en matière de protection de la vie privée, dont les suivants :

• utiliser les renseignements personnels dans le but strictement défini et restreint d’atténuer la crise de santé publique;
• limiter l’utilisation de l’appli dans le temps, c’est-à-dire jusqu’à la fin de la pandémie;
• communiquer uniquement des données regroupées et désidentifiées aux autorités gouvernementales.

VidCruiter

VidCruiter est une entreprise canadienne établie au Nouveau-Brunswick qui offre des services de recrutement par vidéo à des organisations des secteurs public et privé. Sa plateforme de recrutement numérique permet à des employeurs d’effectuer des entrevues virtuelles dans le cadre d’un processus d’embauche. À la fin du printemps 2019, VidCruiter a communiqué avec le Commissariat afin d’obtenir des conseils et des orientations en matière de protection de la vie privée.

Nous avons formulé plusieurs recommandations afin d’aider VidCruiter à mieux se conformer à la LPRPDE. Nos conseils portaient principalement sur ce qui suit : la responsabilité, la détermination des fins, le consentement, la limitation de l’utilisation, de la communication et de la conservation, les mesures de protection, la transparence et l’accès des individus.

Des analystes de la Direction des services-conseils aux entreprises ont formulé des conseils en concertation avec leurs homologues de la Direction des services-conseils au gouvernement, car l’entreprise compte parmi ses clients de nombreux ministères et organismes fédéraux. (Nous faisons état de ce travail dans la section intitulée La Loi sur la protection des renseignements personnels : rétrospective de l’exercice.)

Par la suite, nous avons fait un suivi auprès de VidCruiter pour déterminer combien de nos recommandations non exécutoires l’entreprise avait mises en œuvre. Nous avons appris qu’elle avait déjà adopté 12 des 13 recommandations et qu’elle étudiait la dernière.

Sensibilisation et relations avec les intervenants

Dans le cadre de notre programme de sensibilisation et de relations avec les intervenants, la Direction des services-conseils aux entreprises a participé à une douzaine de foires et d’événements, et à 36 réunions avec des intervenants. Par exemple, nous avons été les hôtes, avec le commissaire à la protection de la vie privée, du forum annuel des chefs de la protection des renseignements personnels et tenu un kiosque lors de diverses activités, dont la Conférence annuelle Reboot sur la protection de la vie privée et la sécurité, la conférence Toronto Entrepreneurs 2019 et Franchise Expo à Regina. Nos représentants ont été invités à prendre la parole à une demi-douzaine d’événements, dont le Sommet sur la protection de la vie privée de l’Association du barreau de l’Ontario, le Cyber Risk Summit et Communitech.

Au cours de l’exercice écoulé, la Direction des services-conseils aux entreprises a commencé à tenir des ateliers sur la protection de la vie privée, qui consistent en une séance de discussion, sur une base volontaire, en lien avec les initiatives et les pratiques des entreprises canadiennes assujetties à la LPRPDE. En plus de nous permettre de faire la promotion de nos activités en personne et virtuellement, ces séances nous ont donné l’occasion d’élargir la portée de nos services-conseils de façon flexible et rentable. Le travail préparatoire effectué dans le deuxième semestre de l’exercice afin de concevoir, de mettre sur pied et de mettre à l’essai ces ateliers nous a permis de poursuivre efficacement nos activités promotionnelles dans un contexte entièrement virtuel après le début de la pandémie.

Ces activités ont donné au Commissariat l’occasion de présenter le nouveau matériel produit pour aider les entreprises à comprendre les obligations qui leur incombent en matière de protection de la vie privée, par exemple une nouvelle vidéo sur le consentement valable et une série de vidéos visant à aider les entreprises assujetties à la LPRPDE à comprendre les obligations qui leur incombent en vertu de cette loi.

Nous avons fait la promotion de nos orientations et de nos conseils dans les médias sociaux de façon continue ainsi que dans le cadre d’activités spéciales, comme le Mois de la sensibilisation à la cybersécurité et la Semaine de la sensibilisation à la protection de la vie privée.

Programme des contributions

Au moyen de son Programme des contributions, le Commissariat finance la recherche indépendante et les initiatives connexes d’application des connaissances sur la protection de la vie privée. Ce programme vise à générer des idées, des approches et des connaissances nouvelles dans le domaine qui pourraient aider, d’une part, les organisations à mieux protéger les renseignements personnels et, d’autre part, les Canadiens à prendre des décisions éclairées.

Nous lançons chaque automne un appel de propositions. Les établissements d’enseignement supérieur et les organismes à but non lucratif (notamment les associations industrielles et commerciales, les organismes de protection des consommateurs, les organismes bénévoles, les associations professionnelles et les organismes de défense des intérêts) sont admissibles au financement. Le budget annuel du Programme des contributions s’élève à 500 000 $.

Soulignons que le ministre de la Justice a renouvelé les modalités du programme en 2019-2020 pour un nouveau cycle de cinq ans. Le Commissariat pourra donc continuer à financer des projets novateurs de recherche et de sensibilisation du public au cours des cinq prochaines années.

Nous avons reçu 27 propositions pour le cycle de financement 2019-2020. À l’issue d’une évaluation fondée sur le mérite, 11 projets ont été sélectionnés. Ces projets portaient sur un large éventail de sujets, dont les suivants : être parent à l’ère numérique, le consentement valable dans le contexte des appareils connectés et les modèles de consentement pour les innovateurs en santé.

L’appel de propositions lancé en 2019-2020 faisait état d’un intérêt particulier pour le financement d’une ou de plusieurs séances de conception – ou « design jams » – en vue de trouver des solutions avant-gardistes en matière de consentement qui tiennent compte des Lignes directrices pour l’obtention d’un consentement valable, publiées par le Commissariat. Une séance de conception est une activité de remue-méninges réunissant des spécialistes de divers horizons dans le but de trouver des solutions à un problème ou à un défi particulier, dans un environnement propice à la création. Nous avons financé trois séances de conception par suite de cet appel de propositions.

Il convient de souligner cette année le projet de Citizen Hacks, groupe dirigé par des jeunes qui encourage la prochaine génération d’innovateurs à participer activement à la création d’un monde numérique qui fonctionne pour tous. Citizen Hacks a organisé une séance de conception visant à explorer une question centrale : « Comment pouvons-nous construire un avenir numérique qui protège la vie privée de chacun? ».

Les participants ont travaillé en équipes pendant 36 heures afin de créer, de concevoir et de présenter une réponse à cette question. Grâce à des présentations, des tables rondes d’experts et des ateliers, les participants ont eu de nombreuses occasions d’en apprendre davantage sur les compétences et les approches particulières nécessaires pour créer une technologie axée sur la protection de la vie privée, et sur le lien entre la technologie et la société, peu importe leur niveau d’expérience en informatique. La séance de conception réunissait un groupe diversifié de participants auxquels les spécialistes de la protection de la vie privée qui étaient présents ont pu transmettre leurs connaissances.

Conseils au Parlement

Chaque année, le Commissariat communique avec le Parlement par divers moyens. Les parlementaires consultent principalement le Commissariat dans le cadre de comités, pour obtenir des conseils sur des lois qui pourraient avoir un impact sur la vie privée des Canadiens, ou encore pour faire appel à notre expertise dans le contexte d’études sur des enjeux relatifs à la protection de la vie privée.

Afin d’offrir ce soutien au Parlement, nous analysons les projets de loi et de modifications législatives et suivons les études des comités qui portent sur la protection de la vie privée. Nous tenons à souligner que le Parlement a accepté 68 % de nos recommandations l’an dernier.

En plus de notre travail en comité parlementaire, nous répondons aux demandes d’entretien individuel de la part de parlementaires ou de présentation à un caucus d’un parti. Nous sommes également appelés à faire des présentations devant des associations interparlementaires sur des questions de vie privée. Par exemple, cette année, la section canadienne de l’Assemblée parlementaire de la Francophonie a fait appel à nous pour une présentation. Tout ceci nous permet d’accomplir notre mandat de protéger et promouvoir le droit à la vie privée au Canada.

On trouvera ci-après un résumé des conseils que le Commissariat a fourni au Parlement en 2019-2020.

Cybersécurité dans le secteur financier

En avril 2019, le Commissariat a comparu devant le Comité permanent de la sécurité publique et nationale (SECU) dans le cadre de son examen de la cybersécurité dans le secteur financier comme enjeu de sécurité économique nationale.

Nous avons réitéré les préoccupations que nous avions exprimées lors de notre comparution devant le Comité sénatorial permanent des banques et du commerce, dans le cadre de son examen des mérites d’un système bancaire ouvert, à savoir que le système financier doit reposer sur des assises qui respectent la vie privée et d’autres droits fondamentaux.

Nous avons demandé à ce que les banques et les institutions financières soient assujetties à des normes rigoureuses en matière de cybersécurité et de protection de la vie privée. Nous avons aussi expliqué aux membres du SECU que les exigences de déclaration obligatoire des atteintes peuvent permettre aux institutions d’évaluer leurs plans et préparatifs en matière de cybersécurité afin de déterminer s’ils sont adéquats, ou remettre en question leur absence.

Dans son rapport final, le SECU a fait valoir la réforme en profondeur des lois canadiennes sur la protection des renseignements personnels réclamée par le Commissariat, qui comprendrait un pouvoir de rendre des ordonnances semblable à celui qui est conféré à son homologue britannique, ainsi qu’une approche fondée sur les droits.

Dans la conclusion du rapport, le SECU a indiqué que pour demeurer concurrentiel dans l’économie numérique, le Canada devrait maximiser « sa capacité de faire respecter le droit à la vie privée et la sécurité de ses citoyens dans ce domaine ». Il est encourageant de voir que le comité appuie notre plaidoyer en faveur d’une réforme essentielle de nos lois sur la protection des renseignements personnels.

Enfants et liste de personnes interdites de vol

En mai 2019, le Commissariat a comparu devant le Comité sénatorial permanent des droits de la personne dans le cadre de ses travaux visant à étudier et à surveiller l’évolution de diverses questions ayant trait aux droits de la personne, et à examiner les mécanismes du gouvernement pour que le Canada respecte ses obligations nationales et internationales en matière de droits de la personne.

Notre comparution portait sur le Programme de protection des passagers. Le Comité s’intéressait particulièrement aux difficultés auxquelles se heurtent les familles lorsqu’un enfant se voit refuser l’embarquement parce qu’une personne portant le même nom que lui est considérée comme une menace pour la sécurité.

Nous avons alors affirmé reconnaître l’importance d’évaluer les personnes qui entrent au Canada pour détecter les menaces à la sécurité nationale, mais ces activités doivent être menées dans le respect des droits des passagers.

Le Commissariat suit de près le Programme de protection des passagers depuis sa création. Au fil des ans, nous avons présenté à Transports Canada et à Sécurité publique Canada des recommandations stratégiques pour mieux protéger les renseignements, avertir les personnes d’une manière respectueuse de la vie privée et confirmer qu’il existe un recours efficace pour les personnes qui subissent les contrecoups du programme.

Soulignons à cet égard l’adoption du projet de loi C-59, Loi concernant des questions de sécurité nationale, qui prévoit un mécanisme de recours pour les personnes faussement identifiées comme figurant sur la liste de personnes interdites de vol. Ce mécanisme vise à atténuer les répercussions négatives sur les personnes touchées, entre autres le fait qu’elles sont soumises à un interrogatoire secondaire et le risque d’atteinte à leur réputation.

Nous avons reçu une EFVP sur le programme de recours, que nous examinions toujours au moment de rédiger le présent rapport. Nous fournirons des recommandations pour veiller à ce que la mise en œuvre du programme se fasse dans le respect du droit à la vie privée des Canadiens.

Coopération avec des autorités canadiennes et étrangères

Dans un contexte marqué par une numérisation croissante dans le monde, plusieurs autorités de protection des données ont l’objectif commun de protéger les renseignements personnels peu importe où ils se trouvent. Le Commissariat joue un rôle de leader dans ce domaine et collabore depuis longtemps avec ses homologues nationaux et internationaux afin de mettre en commun des ressources et pratiques exemplaires, et de faire respecter de manière plus efficace les lois sur la protection des renseignements personnels, au Canada et à l’étranger.

Au bout du compte, collaborer avec d’autres organismes de réglementation nous aide à mieux protéger les Canadiens. Les renseignements personnels des Canadiens qui se retrouvent à l’extérieur du Canada aux fins de traitement sont mieux protégés si le droit à la vie privée est davantage respecté ailleurs dans le monde, et si le Commissariat dispose de partenariats avec des autorités étrangères.

Nous collaborons avec d’autres autorités en participant à des groupes de travail, en adoptant des résolutions et en publiant des déclarations conjointes. Au Canada, nous collaborons avec le Commissariat à l’information du Canada et avec nos homologues des provinces et des territoires. À l’étranger, nous travaillons de pair avec nos collègues membres d’organismes comme la Global Privacy Assembly (assemblée internationale pour la protection de la vie privée), le Global Privacy Enforcement Network, l’Association francophone des autorités de protection des données personnelles et l’Organisation pour la coopération et le développement économiques (OCDE).

Nos activités de coopération ont évolué au fil du temps et deviennent de plus en plus fréquentes. Elles englobent désormais des enquêtes conjointes et la communication de preuves avec d’autres autorités chargées de l’application de la loi, dans des cas mettant en cause des entreprises qui traitent des renseignements personnels dans nos juridictions respectives. De nos jours, des organisations réparties à travers le monde, que ce soit des géants de la technologie ou de petites et moyennes entreprises, fournissent la plupart des outils et des services qui sont nécessaires à la vie numérique. Cette situation exige une réponse coordonnée de toutes les autorités de protection des données.

Aujourd’hui, les gouvernements utilisent de plus en plus de technologies et d’ensembles de données fournis par le secteur privé, ce qui nous mène à collaborer de façon plus étroite avec des partenaires canadiens sur des questions touchant le secteur public.

La section qui suit présente certaines activités menées par le Commissariat en collaboration avec d’autres organismes de réglementation en 2019-2020.

Collaboration avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement

Ces dernières années, le Commissariat a largement fait état des développements concernant le projet de loi C-59, Loi concernant des questions de sécurité nationale. L’adoption de ce projet de loi, en juin 2019, a entraîné des modifications importantes dans la structure d’examen du milieu fédéral de la sécurité nationale et du renseignement, dont font partie le Service canadien du renseignement de sécurité (SCRS), le Centre de la sécurité des télécommunications Canada (CSTC) et la Gendarmerie royale du Canada (GRC).

Notamment, la Loi autorise désormais le Commissariat et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) à coordonner leurs activités et à communiquer entre eux de l’information.

L’OSSNR a été établi pour renforcer la responsabilité et la transparence en ce qui concerne les questions de sécurité nationale, principalement au moyen d’un examen exhaustif des activités de renseignement et de sécurité nationale dans l’ensemble du gouvernement du Canada.

En plus d’éviter un dédoublement des tâches, la collaboration avec l’OSSNR donnera lieu à un examen plus solide des pratiques de traitement de l’information dans le contexte de la sécurité nationale. Grâce à la mise en commun de nos connaissances − en matière de sécurité nationale pour l’OSSNR, et de protection des données et de la vie privée pour le Commissariat −, nous pourrons exercer une surveillance plus efficace des activités liées au renseignement et à la sécurité nationale, et produire de meilleurs rapports à l’intention du Parlement et des Canadiens. Cela est d’autant plus important que la vie privée est une condition préalable à l’exercice d’autres droits de la personne.

Au cours de l’exercice écoulé, le Commissariat a entamé des discussions avec l’OSSNR afin de déterminer la meilleure façon de coordonner nos travaux. Nous élaborons actuellement un protocole d’entente qui définira les paramètres de nos activités communes, en toute transparence pour les parlementaires, les organismes de sécurité nationale et le grand public.

Nos discussions, qui ont été fructueuses, ont permis de dégager des possibilités de collaboration. Nous prévoyons effectuer en 2020-2021 un examen commun des communications effectuées par des ministères fédéraux en vertu de la Loi sur la communication d’information ayant trait à la sécurité du Canada, que nous avons abordé plus tôt dans la section intitulée La Loi sur la protection des renseignements personnels : rétrospective de l’exercice.

Les atteintes à la vie privée qui touchent à la sécurité nationale sont un autre domaine où nous pourrions collaborer, en particulier pour ce qui est des atteintes liées à des cyberincidents visant les systèmes du gouvernement fédéral. Comme nous l’avons mentionné précédemment dans le présent rapport, les atteintes qui sont signalées au Commissariat par le secteur public sont rarement attribuées à des cybermenaces, alors que les signalements reçus du secteur privé brossent un portrait différent. Nous sommes d’avis que nos travaux avec l’OSSNR jetteront plus de lumière sur l’incidence des cyberattaques sur les atteintes à la vie privée dans le secteur public.

Résolution des commissaires fédéral, provinciaux et territoriaux sur la réforme législative

Le Commissariat collabore avec ses homologues provinciaux et territoriaux, dans les secteurs public et privé, sur des questions de politiques et de sensibilisation. Nous sommes tous unis dans nos efforts pour protéger et promouvoir le droit à la vie privée. À l’occasion, nous formulons des résolutions conjointes pour exprimer un consensus sur des questions de politiques publiques, ou encore pour souligner des préoccupations communes relativement à certaines questions d’intérêt pour les Canadiens ou donner notre soutien dans certains dossiers. Cette harmonisation entre les activités des commissaires à l’information et à la protection de la vie privée est à l’avantage des Canadiens, car elle permet de favoriser l’adoption de mesures de protection de la vie privée qui sont cohérentes partout au pays.

Lors de la réunion annuelle des commissaires fédéraux, provinciaux et territoriaux à l’information et à la protection de la vie privée tenue en octobre 2019 à Charlottetown, à l’Île-du-Prince-Édouard, les commissaires ont publié une résolution conjointe dans laquelle ils exhortaient les gouvernements à moderniser les lois sur l’accès à l’information et la protection des renseignements personnels afin de mieux protéger les Canadiens. Il est question de cette résolution à la section La vie privée en temps de pandémie du présent rapport.

Résolution de l’assemblée internationale pour la protection de la vie privée sur la protection de la vie privée en tant que droit de la personne

À la Conférence internationale des commissaires à la protection des données et de la vie privée, tenue en octobre 2019 à Tirana, en Albanie, les membres ont convenu de renommer l’organisme « Global Privacy Assembly » (assemblée internationale pour la protection de la vie privée). À leur avis, le nouveau nom reflète davantage l’engagement continu envers le soutien mutuel, le partage des connaissances et la coopération à plus vaste échelle.

À la conférence, les membres ont adopté une résolution sur la protection de la vie privée en tant que droit de la personne fondamental et condition préalable à l’exercice d’autres droits fondamentaux. Il est question de cette résolution, parrainée et rédigée par le Commissariat, à la section La vie privée en temps de pandémie du présent rapport.

Groupe de travail sur la stratégie de politiques de l’assemblée internationale pour la protection de la vie privée

Comme nous venons de l’indiquer, le Commissariat a parrainé en 2019, à l’assemblée internationale pour la protection de la vie privée, une résolution sur la protection de la vie privée en tant que droit de la personne fondamental et condition préalable à l’exercice d’autres droits fondamentaux. Il préside aussi, dans la même veine, un volet du groupe de travail sur la stratégie de politiques de cette assemblée, à savoir le volet qui porte sur le lien entre le respect de la vie privée et d’autres droits et libertés, entre autres les droits de la personne et la démocratie.

Les autorités de protection des données à l’échelle nationale et internationale ont recueilli de l’information provenant d’un ensemble de ressources mondial, englobant la jurisprudence, les lois et la recherche universitaire sur la protection de la vie privée et d’autres droits et libertés.

Notre objectif est de diriger l’élaboration d’un document traitant de manière approfondie de la protection de la vie privée et des droits de la personne, ainsi que des droits démocratiques ou politiques et du droit à la vie privée. Nous encouragerons ainsi la reconnaissance à l’échelle mondiale du droit à la vie privée comme un droit de la personne. Cela permettra aussi d’aider les membres de l’assemblée à promouvoir notre appel à l’action formulé dans la résolution sur la protection de la vie privée en tant que droit de la personne fondamental et condition préalable à l’exercice d’autres droits fondamentaux.

Collaboration avec les homologues provinciaux et territoriaux dans l’application des lois sur la protection des renseignements personnels

Le Forum national de collaboration sur l’application de la loi favorise et facilite les efforts de collaboration entre les commissariats à l’accès à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada, lequel en assure aussi la présidence.

En 2019-2020, le Forum a relevé des plaintes ou des incidents nouveaux susceptibles de présenter des possibilités de collaboration. Il a fourni des mises à jour et des avis stratégiques sur les enquêtes conjointes en cours. Ses membres ont aussi discuté de questions d’application de la loi, en plus d’aborder des tendances générales, des techniques d’enquête et des pratiques exemplaires en matière de plaintes et d’enquêtes.

De plus, le Forum a servi de tribune où les membres ont pu discuter de stratégies d’application de la loi dans le secteur public, par exemple en ce qui a trait aux plaintes relatives à l’accès à l’information, et échanger de l’information sur les principales conclusions visant le secteur public.

En 2019-2020, le Commissariat a participé à un nombre record d’enquêtes menées conjointement avec d’autres autorités au Canada.

Par exemple, en juillet 2019, il a annoncé qu’il ouvrirait, avec la Commission d’accès à l’information du Québec, une enquête sur une atteinte à la vie privée survenue chez Desjardins.

En février 2020, il a lancé avec ses homologues de l’Alberta, de la Colombie-Britannique et du Québec une enquête sur l’utilisation présumée de la technologie de reconnaissance faciale par Clearview Al. Il s’agissait de sa première enquête avec les commissaires des trois provinces dotées de lois sur la protection des renseignements personnels dans le secteur privé.

En novembre 2019, Michael McEvoy, commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, et le commissaire Therrien ont publié les conclusions de leur enquête sur l’utilisation, par AggregateIQ, de renseignements personnels pour offrir des services-conseils dans le cadre de campagnes politiques au Canada, aux États-Unis et au Royaume-Uni.

Au cours de l’exercice écoulé, le Commissariat a également poursuivi son enquête sur La Corporation Cadillac Fairview Limitée et son utilisation supposée d’une technologie de reconnaissance faciale reliée aux caméras installées dans les répertoires interactifs des centres commerciaux. Il fait enquête sur cette affaire conjointement avec les commissariats à l’information et à la protection de la vie privée de l’Alberta et de la Colombie-Britannique, et communique de l’information à cet égard au Québec.

Application des lois sur la vie privée avec des homologues internationaux

En 2019, le Global Privacy Enforcement Network (GPEN) a continué à encourager ses membres et ses partenaires à communiquer et à collaborer davantage. Le GPEN a intensifié sa collaboration avec le Réseau international de contrôle et de protection des consommateurs (ICPEN), répondant ainsi au besoin d’une plus grande collaboration dans les dossiers où se recoupent la réglementation sur la protection des renseignements personnels et celle sur la protection des consommateurs. Plus particulièrement, le GPEN a donné son aval à une lettre dans laquelle ICPEN demandait aux plateformes d’applications une transparence accrue au chapitre de la protection de la vie privée. Il s’agissait du premier effort de collaboration internationale dans des dossiers qui se trouvent au carrefour de plusieurs régimes réglementaires.

À l’automne, le Commissariat a participé avec 16 autres autorités de protection des données au Ratissage international pour la protection de la vie privée de 2019 organisé par le GPEN. Ce ratissage visait à déterminer dans quelle mesure les organisations sont préparées à gérer et à répondre à des atteintes à la vie privée.

Le Commissariat copréside actuellement le nouveau groupe de travail permanent sur la coopération internationale en matière d’application de la loi, de l’assemblée internationale pour la protection de la vie privée. Les membres de ce groupe de travail s’efforcent de promouvoir la coopération en matière d’application de la loi entre différentes juridictions. Ils élaborent notamment des outils, des approches et des solutions pratiques qui appuient ce type de coopération de façon générale et dans le cadre d’enquêtes en cours, et collaborent les uns avec les autres sur des enjeux d’application de la loi d’intérêt mondial.

Dans le cadre des efforts de collaboration de ce groupe, le Commissariat et cinq de ses homologues ont publié une lettre ouverte adressée aux entreprises de vidéoconférence pour leur rappeler leurs obligations de se conformer à la loi et de gérer les renseignements personnels de leurs clients de façon responsable. Cette lettre était liée directement à la hausse des risques relatifs à la vie privée durant la pandémie de la COVID-19.

En partenariat avec le Commissariat à l’information de l’Australie, le Commissariat copréside le groupe de travail Citoyens et consommateurs numériques. Ce groupe de travail, qui réunit les représentants de 13 pays, se penche sur les recoupements entre la protection de la vie privée et des données, la protection des consommateurs et l’antitrust. Il promeut aussi la collaboration dans ces domaines où se recoupent plusieurs régimes réglementaires.

Il convient de souligner que le cadre législatif actuel autorise le Commissariat à collaborer avec des partenaires internationaux dans certaines circonstances où il ne serait pas possible de le faire avec des organismes de réglementation canadiens. Par exemple, quand le Bureau de la concurrence examinait récemment les déclarations de Facebook concernant la protection des renseignements personnels des Canadiens, nous menions en même temps une enquête sur Facebook et sur les préoccupations relatives à la vie privée à la suite de révélations au sujet de Cambridge Analytica. Nous nous penchions donc sur des questions similaires. Or, nos organisations ont une capacité limitée de collaborer en dehors des questions liées à la LCAP. Nous avons demandé que des modifications législatives soient faites afin de corriger la situation et ainsi mieux protéger les Canadiens.

Devant les tribunaux

Le commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (T-190-20) (Cour fédérale) (Facebook 1); Facebook, Inc. c. le commissaire à la protection de la vie privée du Canada (T-473-20) (Cour fédérale) (Facebook 2)

Facebook 1 est une demande que le commissaire à la protection de la vie privée du Canada a présentée en vertu de l’alinéa 15a) de la LPRPDE à la suite d’un rapport de conclusions produit le 25 avril 2019, en vue d’obtenir une ordonnance concernant une plainte relative aux pratiques de traitement des renseignements personnels de la défenderesse, Facebook, Inc.

La demande fait suite à une enquête conjointe menée l’an dernier par le commissaire à la protection de la vie privée du Canada et le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique, qui a révélé de graves lacunes dans les pratiques du géant des médias sociaux en matière de traitement des renseignements personnels.

Facebook a contesté les conclusions de l’enquête et a refusé de donner suite aux recommandations pour corriger les lacunes relevées.

Le Commissariat à la protection de la vie privée du Canada a présenté son avis de demande en Cour fédérale le 6 février 2020.

La demande vise à obtenir :

• une déclaration selon laquelle Facebook a enfreint la LPRPDE;
• une ordonnance exigeant que Facebook mette en place des mesures efficaces, précises et facilement accessibles pour obtenir le consentement valable de tous les utilisateurs et s’assurer de le conserver;
• une ordonnance exigeant que Facebook précise les révisions et modifications techniques à apporter à ses pratiques afin de se conformer à la LPRPDE;
• une ordonnance selon laquelle les parties assurent un suivi auprès de la Cour, ainsi qu’une ordonnance pour que la Cour conserve sa compétence concernant la surveillance et l’application continues de la loi;
• une ordonnance interdisant à Facebook de continuer à recueillir, à utiliser et à communiquer les renseignements personnels des utilisateurs d’une manière qui contrevient à la LPRPDE;
• une ordonnance exigeant que Facebook publie un avis énonçant toute mesure prise ou envisagée pour revoir ses pratiques contrevenant à la LPRPDE.

La Cour fédérale a le pouvoir, entre autres, de rendre des ordonnances exécutoires exigeant qu’une organisation revoie ou modifie ses pratiques et qu’elle se conforme à la loi. Le 6 mars 2020, le Commissariat a signifié à Facebook sa preuve par affidavit à l’appui de la demande. Facebook a depuis présenté une requête en radiation de certaines parties de l’affidavit.

Le 15 avril 2020, Facebook a également déposé un avis de demande de contrôle judiciaire de notre Rapport de conclusions aux termes de l’article 18.1 de la Loi sur les Cours fédérales (Facebook 2). Facebook demande le contrôle judiciaire de notre décision d’enquêter et de continuer d’enquêter, ainsi que du processus d’enquête, et cherche à annuler le rapport de conclusions qui en a résulté.

En réponse, le Commissariat a présenté une requête pour demander la radiation de l’avis de demande de contrôle judiciaire de Facebook, au motif que Facebook a présenté cette demande en retard pour une telle contestation et qu’elle dispose d’un autre recours adéquat dans l’exercice de son droit de répondre à la demande en cours du Commissariat présentée aux termes de l’alinéa 15a) de la LPRPDE (Facebook 1).

Les deux demandes font l’objet d’une gestion spéciale par un juge chargé de la gestion de l’instance à la Cour fédérale. Les deux requêtes progressent en parallèle, et l’audition conjointe de ces deux procédures interlocutoires est prévue pour la fin de 2020 ou le début de 2021, au plus tôt. Les demandes principales ne seront pas examinées sur le fond tant que les requêtes n’auront pas été tranchées.

Renvoi visant Google (T-1779-18) (Cour fédérale)

Il s’agit d’une demande présentée aux termes de l’article 18.3 de la Loi sur les Cours fédérales par le commissaire à la protection de la vie privée du Canada, qui renvoie deux questions pour audition et jugement. Il s’agit des questions suivantes :

• Dans l’exploitation de son service de moteur de recherche, est-ce que Google LLC (Google) recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales, au sens de l’alinéa 4(1)a) de la LPRPDE, lors de l’indexation de pages Web et de la présentation des résultats de recherches concernant le nom d’un individu?
• L’exploitation du service de moteur de recherche de Google est-elle exclue du champ d’application de la partie 1 de la LPRPDE, selon les termes de l’alinéa 4(2)c) de la LPRPDE, parce que par une telle exploitation Google recueille, utilise et communique des renseignements personnels à des fins journalistiques, artistiques ou littéraires et à aucune autre fin?

Ces questions ont été soulevées dans le contexte d’une plainte déposée par un individu alléguant que Google contrevient à la LPRPDE en continuant d’afficher de manière visible des liens menant à des articles de presse en ligne le concernant dans les résultats de recherches lorsque l’on fait une recherche concernant son nom au moyen du service de moteur de recherche de l’entreprise. Le plaignant a demandé à Google de retirer les articles en question des résultats de recherches concernant son nom.

Dans sa réponse initiale à la plainte, Google a soutenu, entre autres, ne pas être assujettie à la LPRPDE dans les circonstances. Avant de poursuivre l’enquête, le commissaire a voulu déterminer si la LPRPDE s’applique à l’exploitation par Google de son moteur de recherche. C’est pourquoi il a d’abord renvoyé à la Cour pour jugement les deux questions susmentionnées afin de trancher le conflit de compétence.

Peu après le dépôt du renvoi, Google a demandé au tribunal d’en élargir la portée pour statuer également sur la question de savoir si une éventuelle exigence imposant la suppression des liens de ses résultats de recherches contreviendrait à l’alinéa 2b) de la Charte canadienne des droits et libertés ou, autrement, de faire annuler le renvoi. Le 16 avril 2019, la Cour a rejeté la requête de Google, qui a interjeté appel de la décision. L’appel a été entendu le 26 juin 2019 et a été rejeté le 22 juillet 2019.

La Société Radio-Canada (SRC) et une coalition de diverses autres organisations médiatiques (coalition des médias) ont présenté des requêtes pour être ajoutées à titre de parties au renvoi ou, subsidiairement, pour obtenir l’autorisation d’intervenir. Ces requêtes ont été rejetées le 1^er mars 2019, et les requérants ont obtenu l’autorisation de déposer, une fois tranchée la requête de Google sur la portée, une autre requête pour être autorisés à intervenir. La SRC a interjeté appel de la décision. L’appel a été entendu le 26 juin 2019 et a été rejeté le 22 juillet 2019.

Par la suite, Google et le plaignant ont demandé l’autorisation de déposer des éléments de preuve additionnels au renvoi.

Dans une décision rendue le 24 juillet 2020, la Cour fédérale a accueilli la requête du plaignant et celle de Google en partie. La Cour a aussi autorisé la SRC et la Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko (CIPPIC) à participer aux audiences à titre d’intervenants.

À l’heure actuelle, les prochaines étapes pour les parties et les intervenants sont le dépôt de leur argumentaire par écrit et la tenue d’une audience.

Le Commissariat a indiqué qu’il ne finaliserait pas son Projet de position sur la réputation en ligne avant la conclusion de la procédure de renvoi.

Coalition canadienne pour l’équité génétique c. Procureure générale du Québec, et al. (CSC 38478) (Cour suprême du Canada)

Cette affaire porte sur une procédure de renvoi instituée par le gouvernement du Québec concernant la validité constitutionnelle de la Loi sur la non-discrimination génétique, L.C. 2017, ch. 3, (LNDG), qui interdit certaines pratiques dangereuses liées à la collecte, à l’utilisation ou à la communication des résultats de tests génétiques.

Plus particulièrement, la LNDG crée des interdictions distinctes concernant les tests génétiques obligatoires ainsi que la collecte, l’utilisation et la communication des résultats de tests génétiques sans consentement (articles 1 à 7). Cette loi a également modifié le Code canadien du travail (article 8) et la Loi canadienne sur les droits de la personne (articles 9 et 10) pour protéger les employés sous réglementation fédérale à l’égard des tests génétiques et les protéger contre la discrimination fondée sur des caractéristiques génétiques.

Peu après l’adoption de cette loi, le gouvernement du Québec a renvoyé à la Cour d’appel du Québec la question de la validité constitutionnelle des articles 1 à 7 de la LNDG (mais non les modifications apportées au Code canadien du travail ou à la Loi canadienne sur les droits de la personne). Le renvoi porte sur la question de savoir si les articles 1 à 7 de la LNDG dépassent le pouvoir du législateur de légiférer en matière criminelle en vertu de la Loi constitutionnelle de 1867.

Les dispositions de la LNDG en cause interdisent :

• d’obliger une personne à subir un test génétique comme condition préalable à la fourniture de biens ou de services ou à la conclusion ou au maintien d’un contrat ou de ses modalités ou encore de lui refuser d’exercer l’une de ces activités au motif qu’elle a refusé de subir un test génétique (article 3);
• d’obliger une personne à communiquer les résultats d’un test génétique comme condition préalable à l’exercice de l’une de ces activités ou de lui refuser d’exercer l’une de ces activités au motif qu’elle a refusé de les communiquer (article 4);
• de recueillir, d’utiliser ou de communiquer à quiconque fournit des biens ou des services à une personne ou conclut ou maintient un contrat avec elle les résultats d’un test génétique sans le consentement écrit de la personne visée (article 5).

L’article 6 exempte les professionnels de la santé et les chercheurs de l’application des articles 3 à 5. En vertu de l’article 7, quiconque contrevient à l’un des articles 3 à 5 commet une infraction pouvant entraîner une amende et un emprisonnement.

La Cour d’appel du Québec a conclu que les dispositions en cause dépassaient le pouvoir du législateur de légiférer en matière criminelle. Toutefois, en appel à la Cour suprême du Canada, la majorité des juges (5 contre 4) ont conclu que les articles 1 à 7 de la LNDG avaient été validement édictés en vertu du pouvoir fédéral en matière de droit criminel. Les juges Karakatsanis et Moldaver ont chacun écrit des motifs concordants pour la majorité.

Pour la juge Karakatsanis, le caractère véritable des dispositions était d’assurer que les personnes exercent le contrôle sur leurs renseignements personnels révélés par les tests génétiques dans les secteurs de la conclusion de contrats et de la fourniture de biens et services afin de répondre aux craintes que les résultats de tests génétiques ne soient utilisés contre des personnes et de prévenir la discrimination fondée sur ces renseignements. Il s’agissait d’un objectif valide en droit criminel parce que les dispositions assuraient une protection contre le risque de préjudice pour l’autonomie, la vie privée, l’égalité et la santé.

La juge Karakatsanis a souligné, en particulier, que la compétence en matière criminelle peut être utilisée pour protéger l’autonomie et la vie privée. Dans cette affaire, la juge Karakatsanis a conclu que les tests génétiques forcés constituent une menace claire à l’autonomie et à l’intérêt en matière de vie privée d’une personne à ne pas découvrir sa constitution génétique. La communication forcée des résultats d’un test génétique et le fait de recueillir, d’utiliser ou de communiquer les résultats d’un tel test sans consentement écrit menacent l’autonomie et la vie privée d’une personne en mettant en péril le contrôle que celle-ci exerce sur l’accès à ses renseignements génétiques.

Le juge Moldaver a estimé que les articles 1 à 7 de la LNDG visaient à protéger la santé parce qu’ils « prohibent des conduites qui amenuisent le contrôle que peuvent exercer les gens sur les renseignements intimes que révèlent les tests génétiques », et qu’ils visaient par conséquent à atténuer les craintes que des tests génétiques puissent être utilisés au détriment de personnes. À son avis, parce que la loi visait à assurer une protection contre une menace réelle pour la santé – crainte empêchant des personnes de subir un test génétique qui pourrait leur sauver la vie –, elle avait un objectif valide en droit criminel.

Annexe 1 – Définitions

Types de plainte

Accès

À la suite d’une demande officielle d’accès à l’information, l’institution ou l’organisation aurait refusé à une ou à plusieurs personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.

Avis de prorogation

En vertu de la LPRP, l’institution n’aurait pas donné une justification appropriée pour la prorogation, aurait fait la demande de prorogation après le délai initial de 30 jours ou aurait fixé l’échéance à plus de 60 jours après la date de réception de la demande.

Collecte

L’institution ou l’organisation aurait recueilli des renseignements personnels non nécessaires ou les aurait recueillis par des moyens inéquitables ou illicites.

Consentement

En vertu de la LPRPDE, une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement valable de la personne en cause ou, pour le motif qu’elle fournit un bien ou un service, a exigé que la personne consente à une collecte, à une utilisation ou à une communication déraisonnable de renseignements personnels.

Conservation et retrait

L’institution ou l’organisation n’aurait pas conservé des renseignements personnels selon le calendrier de conservation pertinent – les renseignements auraient été détruits trop rapidement ou conservés trop longtemps.

Correction ou annotation (accès)

L’institution ou l’organisation n’aurait pas corrigé des renseignements personnels ou, en cas de désaccord avec les corrections demandées, n’aurait pas annoté le dossier pour en faire état.

Correction ou annotation (délais)

En vertu de la LPRP, l’institution n’aurait pas corrigé les renseignements personnels ou n’aurait pas annoté le dossier en conséquence dans les 30 jours suivant la réception de la demande de correction.

Délais

L’institution n’aurait pas répondu à une demande dans les délais prescrits par la LPRP.

Détermination des fins de la collecte des renseignements

En vertu de la LPRPDE, une organisation n’a pas déterminé les fins de la collecte de renseignements personnels avant la collecte ou au moment de celle-ci.

Exactitude

L’institution ou l’organisation n’aurait pas pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés sont exacts, à jour et complets.

Frais

L’institution ou l’organisation aurait exigé indûment des frais pour répondre à une demande d’accès à des renseignements personnels.

Langue

En réponse à une demande présentée en vertu de la LPRP, l’institution n’aurait pas fourni les renseignements personnels dans la langue officielle choisie par le demandeur.

Mesures de protection

En vertu de la LPRPDE, une organisation n’a pas protégé par des mesures de protection appropriées les renseignements personnels qu’elle détient.

Possibilité de porter plainte

En vertu de la LPRPDE, une organisation n’a pas mis en place des procédures ou des politiques permettant à une personne de porter plainte à l’égard du non-respect de la Loi ou elle a enfreint ses propres procédures et politiques.

Répertoire

InfoSource (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur le même sujet – qu’elle possède) ne décrirait pas de façon adéquate le fonds de renseignements personnels d’une institution.

Responsabilité

En vertu de la LPRPDE, une organisation ne s’est pas acquittée de ses responsabilités à l’égard des renseignements personnels en sa possession ou sous sa garde ou elle n’a pas désigné une personne responsable de s’assurer qu’elle se conforme à la Loi.

Transparence

En vertu de la LPRPDE, une organisation n’a pas rendu facilement accessibles aux demandeurs des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.

Utilisation et communication

L’institution ou l’organisation aurait utilisé ou communiqué des renseignements personnels sans le consentement de la personne en cause ou les aurait utilisés ou communiqués de façon non conforme aux usages et aux communications prévus par la loi.

Décisions

Fondée

L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE.

Fondée et résolue

L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE, mais elle a par la suite pris des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.

Fondée et conditionnellement résolue

L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE. L’institution ou l’organisation s’est engagée à mettre en œuvre des mesures correctives satisfaisantes approuvées par le Commissariat.

Non fondée

L’enquête n’a pas mis au jour des éléments de preuve suffisants pour conclure que l’institution ou l’organisation a enfreint une loi sur la protection des renseignements personnels.

Résolue

En vertu de la LPRP, l’enquête a révélé que la plainte découle essentiellement d’une mauvaise communication, d’un malentendu, etc., entre les parties, et/ou l’institution a accepté de prendre des mesures pour remédier à la situation à la satisfaction du Commissariat.

Réglée

Le Commissariat a aidé à négocier en cours d’enquête une solution satisfaisante pour toutes les parties en cause et n’a publié aucune conclusion.

Abandonnée

En vertu de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que le plaignant ne veuille pas poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’il fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.

En vertu de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.

Hors du champ d’application

On a déterminé qu’aucune loi fédérale sur la protection des renseignements personnels ne s’applique à l’institution ou à l’organisation ou ne régit l’objet de la plainte. Par conséquent, le Commissariat ne produit aucun rapport.

Règlement rapide

La situation a été réglée à la satisfaction du plaignant dès le début du processus d’enquête. Le Commissariat n’a publié aucune conclusion.

Refus d’enquêter

En vertu de la LPRPDE, le commissaire a refusé d’amorcer l’examen d’une plainte, car il estime :

• que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement offerts;
• que la plainte pourrait avantageusement être instruite selon d’autres procédures prévues par le droit fédéral ou provincial;
• ou que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, comme le prévoit l’article 12(1) de la LPRPDE.

Retrait

En vertu de la LPRPDE, le plaignant a retiré sa plainte volontairement ou ne pouvait plus être joint dans les faits. Le Commissariat ne publie aucun rapport.

Annexe 2 : Tableaux statistiques

Tableaux relatifs à la LPRP

Tableau 1

Décisions* sur les plaintes** relatives à l’accès et à la protection des renseignements personnels en vertu de la LPRP, par institution fédérale

Intimé	Abandonnée	Résolue par règlement rapide	Hors du champ d’application	Non fondée	Résolue	Réglée	Fondée	Fondée et conditionnellement résolue	Fondée et résolue	Total
Affaires mondiales Canada		3		4			1		2	10
Agence canadienne d’inspection des aliments		1							1	2
Agence canadienne de développement économique du Nord		1								1
Agence de la santé publique du Canada	1									1
Agence des services frontaliers du Canada	1	27		15			2	7	10	62
Agence du revenu du Canada	8	28		19		1	1		5	62
Agence Parcs Canada		1		1						2
Agence spatiale canadienne		1								1
Anciens Combattants Canada		4		5	1	1			1	12
Banque du Canada		2		1					1	4
Bibliothèque et Archives Canada		2		1					1	4
Bien non public et personnel responsable de la gestion des fonds non publics, Forces canadiennes		1								1
Bureau de l’enquêteur correctionnel						1				1
Bureau du Conseil privé				1						1
Centre de la sécurité des télécommunications Canada		2								2
Comité de surveillance des activités de renseignement de sécurité									1	1
Comité externe d’examen de la Gendarmerie royale du Canada				1						1
Commissariat à l’intégrité du secteur public du Canada	1						1		1	3
Commissariat aux langues officielles									1	1
Commission de la fonction publique	2	1					2			5
Commission de l’immigration et du statut de réfugié du Canada		3		1						4
Commission des libérations conditionnelles du Canada		2		2						4
Commission des relations de travail et de l’emploi dans le secteur public fédéral	2									2
Commission d’examen des plaintes concernant la police militaire				2						2
Conseil de la radiodiffusion et des télécommunications canadiennes		1		1						2
Conseil de recherches en sciences humaines		1		3						4
Conseil de recherches en sciences naturelles et en génie du Canada				5						5
Conseil des arts du Canada					1					1
Conseil national de recherches Canada		1								1
Défense nationale	1	24		6	2	2	6		4	45
École de la fonction publique du Canada		1								1
Emploi et Développement social Canada	6	13		3					2	24
Énergie atomique du Canada limitée	2									2
Environnement et Changement climatique Canada		2		1						3
Femmes et égalité des genres Canada (anciennement Condition féminine Canada)				1					1	2
Gendarmerie royale du Canada		56		30	2		12	2	10	112
Immigration et Citoyenneté Canada		1								1
Immigration, Réfugiés et Citoyenneté Canada		24		4						28
Innovation, Sciences et Développement économique Canada		4								4
Instituts de recherche en santé du Canada		1		1						2
Ministère de la Justice du Canada		1		5						6
Pêches et Océans Canada		1							1	2
Relations Couronne-Autochtones et Affaires du Nord Canada		2		1			1			4
Ressources naturelles Canada	6	1								7
Santé Canada		1		1			1			3
Secrétariat du Conseil du Trésor du Canada	1								1	2
Sécurité publique Canada				1						1
Service canadien d’appui aux tribunaux administratifs		2								2
Service canadien du renseignement de sécurité	1	6		7	1		1			16
Service correctionnel Canada	9	31		19	2		3		7	71
Service des poursuites pénales du Canada									3	3
Services administratifs des tribunaux judiciaires	1									1
Services aux Autochtones Canada		1								1
Services partagés Canada		2								2
Services publics et Approvisionnement Canada	1	15		1	1				2	20
Société canadienne des postes		2	1	3						6
Société Radio-Canada		2								2
Statistique Canada		8		13					2	23
Transports Canada	1	2		1						4
Total	44	285	1	160	10	5	31	9	57	602
* Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.
** Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 144.

Tableau 2

Délais de traitement des plaintes en vertu de la LPRP – Règlement rapide, par type de plainte

Type de plainte	Nombre	Délai de traitement moyen en mois
Accès	158	3,7
Accès	153	4,8
Correction ou annotation	5	2,5
Langue
Protection des renseignements personnels	127	3,5
Exactitude	3	2,5
Collecte	33	4,2
Conservation et retrait	2	2,5
Utilisation et communication	89	4,7
Délais	53	0,2
Correction ou annotation
Délais	53	0,2
Total	338	3,9

Tableau 3

Délais de traitement des plaintes en vertu de la LPRP* – Enquêtes officielles**, par type de plainte***

Type de plainte	Nombre	Délai de traitement moyen en mois
Accès	170	18,1
Accès	157	18,5
Correction ou annotation	13	18,9
Langue
Protection des renseignements personnels	147	24,6
Exactitude
Collecte	49	24,3
Conservation et retrait	4	11,8
Utilisation et communication	94	26
Délais	680	7,5
Correction ou annotation	2	8,9
Avis de prorogation	14	9,3
Délais	664	8,2
Total	997	12,4
* La réduction des dossiers accumulés a une incidence sur ces résultats. Certains dossiers dataient de plus de 12 mois, ce qui a augmenté le délai moyen de traitement pour l’ensemble.
** Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 144.
*** Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 4

Délais de traitement des plaintes en vertu de la LPRP* – Tous les dossiers fermés**, par décision***

Type de plainte	Nombre	Délai de traitement moyen en mois
Règlement rapide	338	3,9
Enquêtes officielles	997	12,4
Abandonnée	59	34,7
Refus d’enquêter	1	0,0
Hors du champ d’application	1	26,0
Non fondée	168	14,2
Résolue	12	14,3
Réglée	5	35,0
Fondée	177	12,3
Fondée et conditionnellement résolue	200	7,3
Fondée et résolue	374	10,7
Total	1 335	10,3
* La réduction des dossiers accumulés a une incidence sur ces résultats. Certains dossiers dataient de plus de 12 mois, ce qui a augmenté le délai moyen de traitement pour l’ensemble.
** Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 144.
***Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 5

Atteintes en vertu de la LPRP, par institution

Intimé	Nombre
Affaires mondiales Canada	2
Agence de la santé publique du Canada	1
Agence du revenu du Canada	6
Agence Parcs Canada	1
Anciens Combattants Canada	1
Autorité portuaire de Prince Rupert	1
Bien non public et personnel responsable de la gestion des fonds non publics, Forces canadiennes	1
Bureau de l’enquêteur correctionnel	2
Comité externe d’examen des griefs militaires	1
Commission canadienne des droits de la personne	1
Commission de la fonction publique du Canada	13
Conseil de recherches en sciences humaines du Canada	1
Défense nationale	1
École de la fonction publique du Canada	1
Emploi et Développement social Canada	211
Environnement et Changement climatique Canada	3
Gendarmerie royale du Canada	4
Immigration, Réfugiés et Citoyenneté Canada	8
Innovation, Sciences et Développement économique Canada	1
Instituts de recherche en santé du Canada	1
Ministère de la Justice du Canada	2
Office d’investissement des régimes de pensions du secteur public	1
Office des transports du Canada	1
Office national du film du Canada	1
Pêches et Océans Canada	1
Santé Canada	1
Sécurité publique	1
Service canadien du renseignement de sécurité	1
Service correctionnel Canada	57
Service des poursuites pénales du Canada	1
Services partagés Canada	4
Services publics et Approvisionnement Canada	6
Société canadienne des postes	1
Statistique Canada	2
Total	341

Tableau 6

Plaintes* et atteintes en vertu de la LPRP

Catégorie	Total
Acceptées
Protection des renseignements personnels	199
Accès	216
Délais	346
Total des plaintes acceptées*	761
Fermées à la suite d’un règlement rapide
Accès	158
Protection des renseignements personnels	127
Délais	53
Total	338
Fermées à la suite d’une enquête officielle**
Accès	170
Protection des renseignements personnels	147
Délais	680
Total	997
Total des dossiers fermés***	1 335
Atteintes signalées
Communication accidentelle	123
Perte	168
Vol	18
Accès non autorisé	32
Total des atteintes signalées	341
* Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 3.
** Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 144.
*** Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 7

 

Plaintes en vertu de la LPRP acceptées, par type de plainte

Type de plainte	Règlement rapide		Enquête officielle		Nombre total	Pourcentage total*
	Nombre	Pourcentage*	Nombre	Pourcentage*
Protection des renseignements personnels
Exactitude	2	1 %		0 %	2	0 %
Collecte	21	6 %	11	3 %	32	4 %
Conservation et retrait	1	0 %	5	1 %	6	1 %
Utilisation et communication	119	34 %	40	10 %	159	21 %
Accès
Accès	150	43 %	64	15 %	214	28 %
Correction ou annotation	1	0 %	1	0 %	2	0 %
Langue		0 %		0 %		0 %
Délais
Correction ou annotation		0 %		0 %	0	0 %
Avis de prorogation		0 %	6	1 %	6	1 %
Délais	51	15 %	289	69 %	340	45 %
Total	345	100 %	416	100 %	761	100 %
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués.

Tableau 8

Les 10 institutions fédérales visées par le plus grand nombre de plaintes acceptées en vertu de la LPRP

Intimé	Protection des renseignements personnels		Accès		Délais		Total
	Règlement rapide	Enquête officielle	Règlement rapide	Enquête officielle	Règlement rapide	Enquête officielle
Affaires mondiales Canada	1	3	3	1	4	7	19
Agence des services frontaliers du Canada	7	3	16	6	4	6	42
Agence du revenu du Canada	7	5	15	6	4	26	63
Défense nationale	2	4	6	1	3	17	33
Emploi et Développement social Canada	4	4	7	6	1	3	25
Gendarmerie royale du Canada	16	16	34	10	6	94	176
Immigration, Réfugiés et Citoyenneté Canada	9	2	8	1	16	8	44
Service canadien du renseignement de sécurité			6	8	1		15
Service correctionnel Canada	10	2	23	5	2	113	155
Services publics et Approvisionnement Canada	59	1	6	3		1	70
Total	115	40	124	47	41	275	642

Tableau 9

Plaintes en vertu de la LPRP acceptées, par institution

Intimé	Règlement rapide	Enquête officielle	Total
Affaires mondiales Canada	8	11	19
Agence canadienne d’inspection des aliments	2	1	3
Agence canadienne de développement économique du Nord	1		1
Agence des services frontaliers du Canada	27	15	42
Agence du revenu du Canada	26	37	63
Agence fédérale de développement économique pour le Sud de l’Ontario	1		1
Agence Parcs Canada	1		1
Agence spatiale canadienne	1		1
Agriculture et Agroalimentaire Canada	1	1	2
Anciens Combattants Canada	8	4	12
Banque du Canada	2	1	3
Bibliothèque et Archives Canada	2	2	4
Bureau du Conseil privé		1	1
Centre d’analyse des opérations et déclarations financières du Canada		2	2
Centre de la sécurité des télécommunications Canada	1	1	2
Commissariat à l’intégrité du secteur public du Canada	1		1
Commission canadienne des droits de la personne		2	2
Commission civile d’examen et de traitement des plaintes relatives à la Gendarmerie royale du Canada	1		1
Commission de la fonction publique du Canada	1	1	2
Commission de l’immigration et du statut de réfugié du Canada	1	1	2
Conseil canadien des relations industrielles		2	2
Conseil de la radiodiffusion et des télécommunications canadiennes	1		1
Conseil de recherches en sciences humaines du Canada	1	1	2
Conseil de recherches en sciences naturelles et en génie du Canada		1	1
Conseil national de recherches Canada	1		1
Défense nationale	11	22	33
École de la fonction publique du Canada	1	3	4
Emploi et Développement social Canada	12	13	25
Environnement et Changement climatique Canada	2	1	3
Gendarmerie royale du Canada	56	120	176
Immigration, Réfugiés et Citoyenneté Canada	33	11	44
Innovation, Sciences et Développement économique Canada	4	2	6
Instituts de recherche en santé du Canada	1		1
Ministère de la Justice du Canada	3	2	5
Musée canadien de la nature		1	1
Office des transports du Canada		1	1
Office national de l’énergie	1		1
Patrimoine canadien	1		1
Pêches et Océans Canada	2	1	3
Relations Couronne-Autochtones et Affaires du Nord Canada		2	2
Ressources naturelles Canada	1		1
Santé Canada	4	1	5
Secrétariat du Conseil du Trésor du Canada	2	1	3
Sécurité publique Canada		2	2
Service canadien d’appui aux tribunaux administratifs	1	4	5
Service canadien du renseignement de sécurité	7	8	15
Service correctionnel Canada	35	120	155
Service des poursuites pénales du Canada		1	1
Services aux Autochtones Canada	3		3
Services Canada		1	1
Services partagés Canada	1		1
Services publics et Approvisionnement Canada	65	5	70
Société canadienne des postes	1	3	4
Société canadienne d’hypothèques et de logement	1	1	2
Société Radio-Canada	1		1
Statistique Canada	5	3	8
Transports Canada	3	2	5
Vérificateur général du Canada, Bureau du		1	1
Total	345	416	761

Tableau 10

Plaintes en vertu de la LPRP acceptées, par province, territoire ou autres

Province, territoire ou autres	Réglement rapide		Enquête officielle		Nombre total	Pourcentage total*
	Nombre	Pourcentage*	Nombre	Pourcentage*
Alberta	25	7 %	26	6 %	51	7 %
Colombie-Britannique	63	18 %	104	25 %	167	22 %
Île-du-Prince-Édouard	2	1 %	1	0 %	3	0 %
Manitoba	7	2 %	12	3 %	19	2 %
Nouveau-Brunswick	9	3 %	9	2 %	18	2 %
Nouvelle-Écosse	16	5 %	19	5 %	35	5 %
Nunavut	1	0 %		0 %	1	0 %
Ontario	144	42 %	145	35 %	289	38 %
Québec	62	18 %	76	18 %	138	18 %
Saskatchewan	6	2 %	4	1 %	10	1 %
Terre-Neuve-et-Labrador	1	0 %	4	1 %	5	1 %
Territoires du Nord-Ouest	1	0 %		0 %	1	0 %
Yukon		0 %	1	0 %	1	0 %
États-Unis	3	1 %	1	0 %	4	1 %
Autres (excluant les États-Unis)	2	1 %	1	0 %	3	0 %
Non précisé	3	1 %	13	3 %	16	2 %
Total	345	100 %	416	100 %	761	100 %
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués.

Tableau 11

Décisions* en vertu de la LPRP, par type de plainte**

Type de plainte	Refus d’enquêter	Abandonnée	Hors du champ d’application	Non fondée	Résolue	Réglée	Fondée	Fondée et conditionnellement résolue	Fondée et résolue	Réglée rapidement	Total
Accès
Accès		15		79	3	2	3	3	52	153	310
Correction ou annotation		1		9	1	2				5	18
Langue											0
Protection des renseignements personnels
Exactitude										3	3
Collecte		13		29			1	6		33	82
Conservation et retrait				3					1	2	6
Utilisation et communication		15	1	40	6	1	27		4	89	183
Délais
Correction ou annotation									2		2
Avis de prorogation		1		1			3		9		14
Délais	1	14		7	2		143	191	306	53	717
Total	1	59	1	168	12	5	177	200	374	338	1 335
* Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.
** Comprend une plainte représentative pour chacune de plusieurs séries de plaintes similaires, et pour des plaintes déposées par un petit nombre de plaignants individuels; le total des plaintes exclues équivaut à 144.

Tableau 12

Décisions sur les plaintes relatives aux délais en vertu de la LPRP*, par institution fédérale

Intimé	Refus d’enquêter	Abandonnée	Réglée rapidement	Non fondée	Résolue	Fondée	Fondée et conditionnellement résolue	Fondée et résolue	Total
Affaires mondiales Canada			4			6	1	6	17
Agence canadienne d’inspection des aliments		1	1					1	3
Agence canadienne de développement économique du Nord								1	1
Agence des services frontaliers du Canada			6	2		2	1	14	25
Agence du revenu du Canada			4			1	7	26	38
Agence fédérale de développement économique pour le Sud de l’Ontario			1						1
Agence Parcs Canada			1						1
Anciens Combattants Canada			1					3	4
Bibliothèque et Archives Canada			1					1	2
Centre de la sécurité des télécommunications Canada								1	1
Commission canadienne des droits de la personne								1	1
Défense nationale			4			2	5	28	39
École de la fonction publique du Canada				2		1		1	4
Emploi et Développement social Canada			1			1		2	4
Environnement et Changement climatique Canada			1				1		2
Gendarmerie royale du Canada	1	11	5	2	1	30	14	158	222
Immigration, Réfugiés et Citoyenneté Canada			16					8	24
Innovation, Sciences et Développement économique Canada								3	3
Ministère de la Justice du Canada			1				2	1	4
Musée canadien de la nature							1		1
Relations Couronne-Autochtones et Affaires du Nord Canada						2			2
Santé Canada			1						1
Secrétariat du Conseil du Trésor du Canada		1	1			1			3
Service canadien du renseignement de sécurité			1	2				1	4
Service correctionnel Canada		2	2		1	98	157	57	317
Service des poursuites pénales du Canada						2	1		3
Services aux Autochtones Canada								1	1
Services publics et Approvisionnement Canada								1	1
Société canadienne d’hypothèques et de logement								1	1
Transports Canada			1				1		2
VIA Rail Canada								1	1
Total	1	15	53	8	2	146	191	317	733
* Les décisions en vertu de la LPRP comprennent l’ancienne et la nouvelle méthode de calcul.

Tableaux relatifs à la LPRPDE

Tableau 1

Plaintes en vertu de la LPRPDE acceptées*, par secteur de l’industrie

Secteur de l’industrie	Nombre	Proportion de l’ensemble des plaintes acceptées**
Aliments et boissons	1	0 %
Assurances	16	6 %
Construction	1	0 %
Divertissement	1	0 %
Édition (sauf Internet)	3	1 %
Fabrication	2	1 %
Finances	74	26 %
Gouvernement	1	0 %
Hébergement	13	4 %
Internet	22	8 %
Location	3	1 %
Professionnels	19	7 %
Santé	27	9 %
Services	32	11 %
Services publics	3	1 %
Télécommunications	37	13 %
Transports	13	4 %
Ventes et détail	21	7 %
Total	289	100 %
* Plaintes en vertu de la LPRPDE acceptées en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 22.
** Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués.

Tableau 2

Plaintes en vertu de la LPRPDE acceptées*, par type de plainte

Type de plainte	Nombre	Proportion de l’ensemble des plaintes acceptées**
Accès	97	34 %
Autres	1	0 %
Collecte	6	2 %
Consentement	83	29 %
Conservation	2	1 %
Correction ou annotation	0	0 %
Détermination des fins	0	0 %
Exactitude	5	2 %
Fins acceptables	1	0 %
Mesures de protection	42	15 %
Possibilité de porter plainte	1	0 %
Responsabililté	2	1 %
Utilisation et communication	49	17 %
Total	289	100 %
* Plaintes en vertu de la LPRPDE aacceptées en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 22. ** Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués.

Tableau 3

Dossiers d’enquête liés à la LPRPDE fermés*, par secteur de l’industrie et décision**

Secteur de l’industrie	Réglée rapidement	Refusée	Abandonnée (article 12.2)	Hors du champ d’application	Non fondée	Réglée	Fondée	Fondée et conditionnellement résolue	Fondée et résolue	Retrait	Total
Aliments et boissons	2										2
Assurances	11			1	1			1	3	5	22
Construction	1			1					3		5
Divertissement	1		1								2
Édition (sauf Internet)	3										3
Fabrication	3							1			4
Finances	45		4		4		2	2	8	1	66
Gouvernement											0
Hébergement	14		1						2	1	18
Internet	9		5				3		1		18
Location	1							1			2
Organismes sans but lucratif											0
Personnes	1										1
Professionnels	4		1			1				2	8
Santé	26	1			1						28
Services	26				2			3	2	1	34
Services publics	3										3
Télécommunications	34		3		1		1		2	1	42
Transports	14		1		2		1	1	2	6	27
Ventes et détail	23				1				3	6	33
Non précisé											0
Total	221	1	16	2	12	1	7	9	26	23	318
* Dossiers d’enquête en vertu de la LPRPDE fermés en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 10.
** Les décisions en vertu de la LPRPDE comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 4

Dossiers d’enquête en vertu de la LPRPDE fermés* par type de plainte et décision**

Type de plainte	Réglée rapidement	Refus d’enquêter	Abandonnée (article 12.2)	Hors du champ d’application	Non fondée	Réglée	Fondée	Fondée et conditionnellement résolue	Fondée et résolue	Retrait	Total
Accès	68		5		7		3	3	13	10	109
Collecte	25		1		1		1	1	3		32
Consentement	46		7	1	1		1	2	1	4	63
Conservation	3							1		1	5
Correction ou annotation											0
Détermination des fins											0
Exactitude	5										5
Fins acceptables					1						1
Mesures de protection	45	1	1				1	2	4	6	60
Possibilité de porter plainte	1										1
Responsabilité	2		1			1					4
Utilisation et communication	26		1	1	2		1		5	2	38
Autres											0
Total	221	1	16	2	12	1	7	9	26	23	318
* Dossiers d’enquête en vertu de la LPRPDE fermés en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 10.
** Les décisions en vertu de la LPRPDE comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 5

Enquêtes en vertu de la LPRPDE* – Délais de traitement moyens**, par décision***

Décision	Nombre	Délai de traitement moyen, en mois
Résolue par règlement rapide	221	5,7
Refus d’enquêter	1	6,1
Abandonnée (article 12.2)	16	11,7
Hors du champ d’application	2	28,4
Non fondée	12	20,9
Réglée	1	8,2
Fondée	7	16,3
Fondée et conditionnellement résolue	9	18,7
Fondée et résolue	26	19,6
Retrait	23	13,9
Total	318
Moyenne générale pondérée		9,0
* Enquêtes en vertu de la LPRPDE en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 10.
** La réduction des dossiers accumulés a une incidence sur ces résultats. Certains dossiers dataient de plus de 12 mois, ce qui a augmenté le délai moyen de traitement pour l’ensemble.
*** Les décisions en vertu de la LPRPDE comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 6

Enquêtes en vertu de la LPRPDE* – Délais de traitement moyens**, par type de plainte et de règlement***

	Règlement rapide		Autres règlements		Toutes les enquêtes
Type de plainte	Nombre	Délai de traitement moyen, en mois	Nombre	Délai de traitement moyen, en mois	Nombre	Délai de traitement moyen, en mois
Accès	68	5,3	41	17,9	109	10,0
Collecte	25	7,7	7	22,2	32	10,9
Consentement	46	6,2	17	16,1	63	8,9
Conservation	3	6,4	2	13,2	5	9,1
Correction ou annotation
Détermination des fins
Exactitude	5	3,5			5	3,5
Fins acceptables			1	13,2	1	13,2
Mesures de protection	45	3,2	15	14,1	60	6,0
Possibilité de porter plainte	1	11,8			1	11,8
Responsabilité	2	6,4	2	9,5	4	8,0
Utilisation et communication	26	7,9	12	15,8	38	10,4
Autres
Total	221	5,7	97	16,7	318	9,0
* Enquêtes en vertu de la LPRPDE en fonction d’une plainte représentative pour chaque série de plaintes similaires; le total des plaintes exclues équivaut à 10.
** La réduction des dossiers accumulés a une incidence sur ces résultats. Certains dossiers dataient de plus de 12 mois, ce qui a augmenté le délai moyen de traitement pour l’ensemble.
*** Les décisions en vertu de la LPRPDE comprennent l’ancienne et la nouvelle méthode de calcul.

Tableau 7

Déclarations des atteintes en vertu de la LPRPDE, par secteur de l’industrie et type d’incident

Secteur	Type d’incident				Total des incidents par secteur	Proportion de l’ensemble des incidents*
	Communication accidentelle	Perte	Vol	Accès non autorisé
Agriculture, foresterie, chasse et pêche	2		1	4	7	1 %
Aliments et boissons	2	1		7	10	1 %
Assurances	21	23	12	16	72	11 %
Construction	1		1	7	9	1 %
Divertissement	2			10	12	2 %
Édition	4			11	15	2 %
Extraction minière et extraction de pétrole et de gaz				3	3	0 %
Fabrication		4	1	13	18	3 %
Finances	27	11	17	73	128	19 %
Gouvernement	2			5	7	1 %
Hébergement	4		1	6	11	2 %
Internet	1			10	11	2 %
Location				1	1	0 %
Organismes sans but lucratif		5	3	16	24	4 %
Professionnels	5	1	4	14	24	4 %
Santé	17		5	10	32	5 %
Services	13	4	7	38	62	9 %
Services publics					0	0 %
Télécommunications	18		5	93	116	17 %
Transports	2			8	10	1 %
Ventes et détail	16	23	2	51	92	14 %
Non précisé	7		1	6	14	2 %
Total	144	72	60	402	678	100 %
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués.

---

Tableau 8

Nombre de comptes canadiens touchés par type d’incident

Type d’incident	Nombre de comptes touchés
Communication accidentelle	152 225
Perte	6 581
Vol	29 573
Accès non autorisé	30 155 138
Total	30 343 517

---

Annexe 3 : Processus d’enquête

Processus d’enquête en vertu de la LPRP

Version textuelle des figures 2 et 3

Accueil

Des personnes font parvenir des plaintes écrites au Commissariat concernant des infractions à la LPRP. L’unité d’accueil examine l’affaire en cause afin de déterminer si elle constitue bel et bien une plainte, selon que les faits allégués pourraient contrevenir ou non à la Loi, ainsi que le moyen le plus efficace de la résoudre.

Une personne peut déposer une plainte se rapportant à toute question énoncée à l’article 29 de la LPRP – par exemple :

• le refus d’une institution de communiquer à une personne les renseignements personnels qu’elle détient à son sujet, ou un retard inacceptable dans la communication de ces renseignements;
• la collecte, l’utilisation ou la communication inappropriée de renseignements personnels;
• des erreurs dans les renseignements personnels qu’une institution utilise ou communique.

L’unité d’accueil réussit parfois à régler immédiatement les problèmes, éliminant ainsi la nécessité pour le Commissariat de s’occuper du dossier dans le cadre d’une enquête officielle. Dans ces cas, le Commissariat ferme simplement le dossier, et la plainte est considérée comme ayant été réglée rapidement. Le commissaire à la protection de la vie privée peut lui aussi déposer une plainte s’il est d’avis qu’il y a des motifs suffisants pour mener une enquête.

• Plainte
  • Non
    La personne est informée, par exemple, que la question ne relève pas du Commissariat.
  • Oui
    Un enquêteur est affecté au dossier.
    • Règlement rapide
      Une plainte peut être résolue avant qu’une enquête officielle n’ait commencé si, par exemple, la question a déjà été traitée dans le cadre d’une autre plainte et que l’institution a cessé la pratique, ou si cette pratique ne contrevient pas à la Loi.
    • Enquête officielle
      L’enquête permet d’établir les faits sur lesquels le commissaire s’appuie pour déterminer si les droits du plaignant établis en vertu de la LPRP ont été enfreints.
      
      L’enquêteur écrit à l’institution pour décrire l’objet de la plainte. Pour constater les faits, il recueille les observations des deux parties et effectue une enquête indépendante, des entrevues avec des témoins et un examen de la documentation.
      
      Au nom du commissaire ou de son délégué, l’enquêteur a le pouvoir de recevoir des éléments de preuve, d’accéder à des lieux au besoin et d’obtenir ou d’examiner des copies de dossiers trouvés sur place.
      • Abandonnée
        Une plainte peut être abandonnée si, par exemple, le plaignant décide de ne pas aller de l’avant, ou s’il ne peut être localisé.
      • Réglée
        Le Commissariat cherche à régler les plaintes et à prévenir d’autres infractions à la Loi. Le commissaire favorise la résolution des différends par l’entremise de la négociation et de la persuasion. L’enquêteur participe au processus.
    • Analyse
      L’enquêteur analyse les faits et prépare les recommandations pour le commissaire ou son délégué. Il communique avec les parties, au besoin, et examine les faits recueillis au cours de l’enquête. Il peut également informer les parties des recommandations, fondées sur les faits, qu’il présentera au commissaire ou à son délégué. À cette étape, les parties peuvent faire d’autres observations.
      
      Au besoin, des consultations internes sont effectuées avec, par exemple, la Direction des services juridiques, la Direction des politiques, de la recherche et des affaires parlementaires ainsi que la Direction de l’analyse de la technologie.
      • Conclusion
        Le commissaire ou son délégué examine le dossier et évalue le rapport. Le commissaire ou son délégué, et non l’enquêteur, décide de l’issue appropriée du dossier et s’il faut présenter des recommandations à l’institution.
        
        Le commissaire ou son délégué envoie aux parties des lettres de conclusions décrivant le motif de la plainte, les conclusions de faits dignes d’intérêt, l’analyse et les recommandations à l’institution. Le commissaire ou son délégué peut demander à l’institution de lui indiquer par écrit, dans un délai précis, les mesures prévues pour mettre en œuvre les recommandations.
        
        Les conclusions possibles au sujet de la plainte sont les suivantes :
        • Non fondée : La preuve, tout bien pesé, ne permet pas au commissaire ou à son délégué de conclure que les droits du plaignant en vertu de la Loi ont été enfreints.
        • Fondée : L’institution n’a pas respecté l’une des dispositions de la Loi.
        • Fondée et résolue : Les allégations sont corroborées par l’enquête et l’institution a accepté de prendre des mesures correctives afin de remédier à la situation.
        • Résolue : La preuve recueillie au cours de l’enquête soutient les allégations formulées dans la plainte, mais l’institution s’est engagée à prendre des mesures pour remédier à la situation à la satisfaction du Commissariat. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.
          
          Dans sa lettre de conclusions, le commissaire ou son délégué informe le plaignant de son droit de recours à la Cour fédérale pour les cas de refus d’accès aux renseignements personnels.
          • Lorsque des recommandations ont été présentées à une institution, le personnel du Commissariat effectue un suivi pour vérifier si elles ont bel et bien été appliquées.
          • En cas de refus d’accès aux renseignements personnels, le plaignant ou le commissaire peut choisir de demander une audience à la Cour fédérale. La Cour fédérale a le pouvoir d’examiner l’affaire et de déterminer si l’institution doit fournir les renseignements au requérant.

Processus d’enquête en vertu de la LPRPDE

Version textuelle des figures 4 et 5

Accueil

Des personnes font parvenir des plaintes écrites au Commissariat concernant des infractions à la Loi. L’unité d’accueil examine les plaintes et effectue un suivi auprès des plaignants pour demander des précisions et recueillir des renseignements supplémentaires, le cas échéant.

Si les plaignants n’ont pas discuté de leurs préoccupations directement avec l’organisation visée, le Commissariat leur demande de le faire pour tenter de régler la question, puis de revenir le voir si leur démarche est infructueuse.

L’unité d’accueil réussit parfois à régler immédiatement les problèmes. Par exemple, si le Commissariat a déjà effectué une enquête sur le type de question soulevée et qu’il a jugé les activités conformes à la LPRPDE, un agent de réception des plaintes en informe la personne en cause. Par ailleurs, si le Commissariat a déterminé antérieurement qu’une organisation ou une activité n’est pas de son ressort, un agent de réception explique la situation et aiguille la personne vers d’autres ressources ou sources d’aide, s’il y a lieu.

Dans les cas où l’unité d’accueil n’est pas en mesure de régler immédiatement la question soulevée (et après que l’information nécessaire a été recueillie), le Commissariat considère qu’il s’agit d’une plainte officielle. Le commissaire à la protection de la vie privée peut lui aussi déposer une plainte s’il est d’avis qu’il y a des motifs suffisants pour mener une enquête.

• Plainte refusée
  Le commissaire peut refuser d’enquêter sur une plainte si certaines conditions prévues au paragraphe 12(1) de la Loi sont respectées. Le plaignant peut demander au commissaire de revenir sur sa décision.
• Plainte confiée à un enquêteur
  Les plaintes de nature grave, systémique ou complexe – par exemple, questions de compétence, allégations multiples ou aspects techniques complexes – sont confiées à un enquêteur.
  • Enquête
    Les enquêtes établissent les faits permettant au commissaire de déterminer si les droits du plaignant ont été enfreints au sens de la LPRPDE.
    
    L’enquêteur écrit à l’organisation pour décrire l’objet de la plainte. Pour constater les faits, il recueille les observations des deux parties et effectue une enquête indépendante, des entrevues avec des témoins et un examen de la documentation. Au nom du commissaire ou de son délégué, l’enquêteur a le pouvoir de recevoir des éléments de preuve, d’accéder à des lieux au besoin et d’obtenir ou d’examiner des copies de dossiers trouvés sur place.
    • Analyse
      L’enquêteur analyse les faits et prépare les recommandations pour le commissaire ou son délégué.
      
      Il communique avec les parties et examine les faits recueillis au cours de l’enquête. Il informe également les parties des recommandations, fondées sur les faits, qu’il présentera au commissaire ou à son délégué. À cette étape, les parties peuvent faire d’autres observations.
      
      Au besoin, des consultations internes sont effectuées avec, par exemple, la Direction des services juridiques, la Direction des politiques, de la recherche et des affaires parlementaires ainsi que la Direction de l’analyse de la technologie.
      • Hors du champ d’application
        Le Commissariat détermine que la LPRPDE ne s’applique pas à l’organisation en cause ou aux activités faisant l’objet de la plainte.
      • Conclusions
        Le commissaire ou son délégué examine le dossier et évalue le rapport. Le commissaire ou son délégué, et non l’enquêteur, décide de l’issue appropriée du dossier et s’il faut présenter des recommandations à l’organisation.
      • Rapport préliminaire
        Si l’enquête laisse croire qu’il y a vraisemblablement eu une infraction à la LPRPDE, le commissaire ou son délégué fait des recommandations pour aider l’organisation à régler le problème et demande à celle-ci de préciser dans un délai fixé comment elle appliquera les recommandations.
      • Rapport final et lettres de conclusions
        Le commissaire ou son délégué envoie aux parties des lettres de conclusions décrivant le motif de la plainte, les conclusions de faits dignes d’intérêt, l’analyse et la réponse de l’organisation à toute recommandation formulée dans le rapport préliminaire.
        
        (Les conclusions possibles sont indiquées à l’annexe 1 – Définitions.)
        
        Dans sa lettre de conclusions, le commissaire ou son délégué informe le plaignant de son droit de recours à la Cour fédérale.
        • Si certaines recommandations n’ont pas encore été mises en œuvre par l’organisation, le Commissariat lui demande de le tenir au courant de la situation, selon un calendrier prédéterminé après l’enquête, afin qu’il puisse évaluer si des mesures correctives ont été prises.
        • Le plaignant ou le commissaire peut choisir de demander une audience à la Cour fédérale. Celle-ci a le pouvoir d’ordonner à l’organisation de revoir ses pratiques. Elle peut également accorder des dommages-intérêts au plaignant, notamment pour une humiliation subie. Le montant des dommages-intérêts n’est assujetti à aucune limite.
      • Réglée
        Le Commissariat cherche à régler les plaintes et à prévenir d’autres infractions à la Loi. Il aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. L’enquêteur participe au processus.
      • Abandonnée
        Une plainte peut être abandonnée, par exemple, si le plaignant décide de ne pas aller de l’avant ou s’il ne peut être localisé, ou encore si certaines conditions prévues à l’article 12.2 de la Loi sont respectées.
• Confiée à un agent de règlement rapide
  Les plaintes qui, selon le Commissariat, peuvent être résolues rapidement sont confiées à un agent de règlement rapide. Il s’agit de plaintes sur des sujets ayant déjà fait l’objet de conclusions de la part du Commissariat, qui concernent des organisations ayant déjà répondu aux allégations de façon satisfaisante aux yeux du Commissariat ou encore de cas où il semble possible de régler rapidement les allégations.
  • Acheminée à un enquêteur
    Une plainte qui ne peut être réglée rapidement est confiée à un enquêteur.
  • Réglée rapidement
    Des agents de règlement rapide favorisent le règlement des plaintes au moyen de la médiation, de la négociation et de la persuasion.

Annexe 4 : Lois essentiellement similaires

En vertu du paragraphe 25(1) de la LPRPDE, le Commissariat doit déposer chaque année au Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires ».

En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de cette loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province ayant adopté une loi provinciale « essentiellement similaire ».

Le 3 août 2002, Industrie Canada (maintenant connu sous le nom d’Innovation, Sciences et Développement économique Canada) a publié le Processus de détermination du caractère « essentiellement similaire » d’une loi provinciale par le gouverneur en conseil. On y présente la politique et les critères utilisés pour déterminer si une loi provinciale sera considérée comme essentiellement similaire. En vertu de la politique, les lois essentiellement similaires :

• fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
• intègrent les 10 principes de l’annexe 1 de la LPRPDE;
• fournissent un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
• restreignent la collecte, l’utilisation et la communication des renseignements personnels à des fins appropriées et légitimes.

Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la LPRPDE en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels à l’intérieur de la province visée. La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province visée ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.

Les lois provinciales considérées comme essentiellement similaires sont les suivantes :

• Loi sur la protection des renseignements personnels dans le secteur privé du Québec;
• Personal Information Protection Act de la Colombie-Britannique;
• Personal Information Protection Act de l’Alberta;
• Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (dépositaires de renseignements sur la santé);
• Loi sur l'accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (dépositaires de renseignements sur la santé);
• Personal Health Information Act de Terre-Neuve-et-Labrador (dépositaires de renseignements sur la santé);
• Personal Health Information Act de la Nouvelle-Écosse (dépositaires de renseignements sur la santé).

Annexe 5 : Rapport de la commissaire spéciale à la protection de la vie privée

Le Commissariat à la protection de la vie privée du Canada est assujetti à la Loi sur la protection des renseignements personnels. Toutefois, il ne peut faire enquête sur les plaintes concernant la manière dont il traite lui-même les demandes d’accès aux renseignements personnels qu’il reçoit. C’est pourquoi un commissaire spécial est nommé pour mener les enquêtes en pareil cas.

Des personnes insatisfaites de l’issue d’une enquête portant sur une plainte pour atteinte à la vie privée m’ont écrit dans le passé pour me demander d’intervenir à titre de commissaire spéciale à la protection de la vie privée. Entre le 1er avril 2019 et le 31 mars 2020, j’ai reçu une demande de cette nature. Il s’agissait d’une plainte déposée contre une institution fédérale sur laquelle le Commissariat avait été appelé à faire enquête. Ce type de dossier ne relève pas de ma compétence. J’ai tout de même pris le temps d’écrire au plaignant pour lui expliquer que je ne pouvais intervenir, car je n’ai pas le pouvoir d’examiner une décision rendue par le Commissariat à l’issue d’une enquête faisant suite à une plainte pour atteinte à la vie privée.

Évidemment, le Commissariat ne formule pas d’avis quant à savoir si une personne devrait ou non contester ses propres conclusions. Il est toutefois justifié que le Commissariat informe les plaignants de l’existence d’autres moyens à leur disposition, à savoir des recours devant la Cour fédérale. D’ailleurs, le Commissariat pourrait fournir plus d’information à cet égard sur son site Web.

Au cours de l’exercice qui s’est terminé le 31 mars 2020, j’ai reçu deux plaintes mettant en cause le traitement par le Commissariat de demandes d’accès à des renseignements personnels. Dans le cas de la première plainte, j’ai conclu qu’il n’y avait pas lieu de formuler une recommandation, car la réponse fournie par le Commissariat était légitime. En ce qui concerne la deuxième plainte, l’enquête suit son cours.

La commissaire spéciale à la protection de la vie privée, Anne E. Bertrand, c.r.