Projeter nos valeurs dans nos lois
Les fondements d’une innovation responsable
Rapport annuel au Parlement 2020-2021 concernant la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
© Sa Majesté la Reine du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2021
ISSN : 1913-3375
Lettre au président du Sénat
9 décembre 2021
L’honorable George J. Furey, sénateur
Président
Sénat du Canada
Ottawa (Ontario)
K1A 0A4
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2020 au 31 mars 2021. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques. Dans ce qui précède, le rapport du Commissariat à la protection de la vie privée du Canada intitulé Examen du Centre d'analyse des opérations et déclarations financières du Canada est inclus. Ce dépôt se fait en vertu de l’article 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.
Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Daniel Therrien
Lettre au président de la Chambre des communes
9 décembre 2021
L’honorable Anthony Rota, député
Président
Chambre des communes
Ottawa (Ontario)
K1A 0A6
Monsieur,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2020 au 31 mars 2021. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques. Dans ce qui précède, le rapport du Commissariat à la protection de la vie privée du Canada intitulé Examen du Centre d'analyse des opérations et déclarations financières du Canada est inclus. Ce dépôt se fait en vertu de l’article 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes.
Je vous prie d’agréer, Monsieur, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Daniel Therrien
Message du commissaire
Les rapports annuels nous donnent l’occasion de faire le bilan de l’année qui s’est écoulée au Commissariat à la protection de la vie privée du Canada. Ils nous permettent de faire ressortir les progrès accomplis et les difficultés qui subsistent, en les situant dans le contexte plus vaste de nos efforts pour atteindre les objectifs fixés.
Au cours de mon mandat, il est devenu évident que nous avons besoin d’un cadre de protection de la vie privée plus rigoureux pour protéger les droits des Canadiens dans un monde de plus en plus numérique. Un tel cadre leur permettrait de participer en toute sécurité à l’économie numérique et d’adopter avec confiance les nouvelles technologies.
J’aurais voulu affirmer ici que cet objectif a été atteint, que le Canada a édicté des lois modernes sur la protection des renseignements personnels, qui sont en phase avec l’ère numérique et qui protègent adéquatement les Canadiens. Nous n’en sommes malheureusement pas encore là, mais nous avons réalisé des progrès importants sur certains plans.
Il n’y a pas une personne ni un secteur économique qui n’ait été épargné par la pandémie. Au Commissariat à la protection de la vie privée du Canada, nous nous sommes adaptés avec souplesse au télétravail et avons maintenu tous nos services. Par ailleurs, plusieurs des questions de protection de la vie privée qui ont requis notre attention cette dernière année se rapportaient à des initiatives liées à la COVID-19.
Malgré que nous étions en pleine pandémie, l’année 2020 a marqué une étape importante pour la protection de la vie privée au Canada.
Le gouvernement a enfin déposé un projet de loi – le projet de loi C-11 – pour réformer la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, à la suite d’appels à l’action lancés pendant de nombreuses années par le Commissariat et des intervenants de l’industrie et de la société civile. Il a également publié un document de consultation exhaustif destiné à moderniser notre loi applicable au secteur public, laquelle remonte à 40 ans. Les réformes proposées ne se sont pas traduites par de nouvelles lois avant le déclenchement des élections en août, mais j’ose espérer qu’il s’agit seulement d’une courte pause qui sera propice à la réflexion. Dans le secteur privé en particulier, des modifications importantes s’imposent pour assurer une protection adéquate des droits et des valeurs des Canadiens. J’espère qu’au cours des prochains mois, une loi révisée pour le secteur privé et des propositions législatives visant à actualiser la loi applicable au secteur public seront adoptées.
Le projet de loi C-11, mort au feuilleton au déclenchement des élections, aurait constitué un recul pour la protection de la vie privée, ce qui me préoccupait vivement. Avec l’ouverture d’un nouveau Parlement, j’ai espoir que le gouvernement apportera certains changements que nous avons proposés, et nous sommes impatients de travailler ensemble à la réforme législative.
L’avenir de la protection de la vie privée au Canada demeure incertain et les enjeux sont complexes, mais, selon moi, la voie à suivre est très claire.
Comme société, nous devons projeter nos valeurs dans nos lois sur le numérique. Nos citoyens ne s’attendent à rien de moins de leurs institutions publiques. C’est à cette condition que la confiance en l’économie numérique, abimée par de nombreux scandales, reviendra.
Évolution de la protection de la vie privée au cours des dernières années
Pour savoir où nous allons, il est utile de nous rappeler d’où nous venons et d’observer les tendances, par exemple au chapitre de la surveillance exercée par les États, du capitalisme de surveillance et des partenariats public-privé.
Le contexte de la protection de la vie privée a changé depuis mon entrée en fonction comme commissaire en 2014. Cela ne fait aucun doute. À l’époque, les révélations d’Edward Snowden sur la façon dont les pratiques de sécurité nationale des gouvernements pouvaient s’ingérer dans la vie des citoyens ordinaires étaient au cœur des préoccupations. Bien des gens affirmaient alors que « la vie privée n’existait plus ».
Aujourd’hui, c’est la puissance croissante des géants de la technologie comme Facebook et Google qui occupe les pensées. Ces derniers semblent en savoir davantage à notre sujet que nous en savons nous-mêmes. Des expressions comme « capitalisme de surveillance » et « économie de surveillance » sont désormais couramment utilisées.
Après les événements du 11 septembre, le Canada et ses alliés ont mis en place de nombreuses lois et initiatives au nom de la sécurité nationale. Certaines de ces lois allaient trop loin. L’affaire Snowden, l’enquête sur l’affaire Arar et les incidents mettant en cause la collecte de métadonnées par le Centre de la sécurité des télécommunications (CST) et le Service canadien du renseignement de sécurité (SCRS) nous ont rappelé que des garanties juridiques claires sont nécessaires pour protéger les droits et prévenir les abus.
Heureusement, la situation s’est améliorée à la suite de saines discussions démocratiques. De nouveaux organismes de surveillance ont vu le jour, et des modifications ont été apportées à la législation sur la sécurité nationale pour veiller à ce que des normes plus élevées soient fixées avant que des renseignements personnels puissent être recueillis ou communiqués à des organismes de sécurité ou d’application de la loi.
Cela dit, bien que certains changements concernant la surveillance exercée par les États aient été constatés, la menace du capitalisme de surveillance est aujourd’hui au premier rang des préoccupations. Les renseignements personnels sont devenus un atout précieux d’une grande valeur, et personne ne les exploitent mieux que les géants de la technologie, qui sont derrière nos recherches dans Internet et nos comptes de médias sociaux.
Les risques liés au capitalisme de surveillance ont été mis en évidence dans le scandale Facebook et Cambridge Analytica. Cette affaire est maintenant devant la Cour fédérale, parce que le Commissariat n’avait pas le pouvoir d’obliger Facebook à mettre en œuvre les recommandations formulées à la lumière de ses conclusions ni de lui imposer des sanctions pécuniaires pour la dissuader d’agir comme elle le fait.
L’intelligence artificielle (IA) constitue la nouvelle frontière du capitalisme de surveillance. L’IA renferme un potentiel immense et peut servir à résoudre certains des problèmes les plus urgents de l’heure. Cependant, il faut la mettre en œuvre de façon à respecter la vie privée, l’égalité et les autres droits de la personne. Notre enquête sur le recours à la technologie de reconnaissance faciale de Clearview AI illustre bien comment le déploiement commercial de l’IA peut contrevenir à bien des égards aux lois sur la protection des renseignements personnels.
Les technologies numériques comme l’IA, qui reposent sur la collecte et l’analyse de données personnelles, sont au cœur de la quatrième révolution industrielle. Elles sont aussi essentielles à notre développement socioéconomique. Par contre, des risques majeurs guettent nos valeurs et nos droits.
Pour tirer avantage des données, la loi devrait autoriser des utilisations nouvelles et imprévues, mais responsables, des renseignements qui servent le bien commun. Et en raison de fréquentes atteintes manifestes aux droits de la personne, cette souplesse supplémentaire devrait s’inscrire dans un cadre fondé sur les droits.
Nous observons également une tendance à la hausse des partenariats public-privé et du recours au savoir-faire d’entreprises pour contribuer au fonctionnement de l’État. Nos enquêtes visant Clearview AI et la Gendarmerie royale du Canada (GRC) au cours du dernier exercice en sont d’excellents exemples. Clearview AI a contrevenu à la loi applicable au secteur privé en créant, sans le consentement des intéressés, une banque de données qui renfermait des milliards d’images prélevées dans Internet pour alimenter son logiciel commercial de reconnaissance faciale. Dans le rapport spécial au Parlement que nous avons déposé en juin dernier, nous soulignons qu’une institution fédérale, comme la GRC, ne peut recueillir de renseignements personnels auprès d’un tiers, comme Clearview AI, si ce dernier les a recueillis de façon illégale.
En 2020-2021, les enjeux de protection de la vie privée suscitées par les partenariats public-privé sont ressortis dans plusieurs initiatives du gouvernement en réponse à la pandémie, lesquelles faisaient appel à des technologies numériques. Cela a mis en évidence la nécessité d’avoir une plus grande uniformité dans les lois applicables aux secteurs public et privé.
Progrès sur le front des priorités liées à la protection de la vie privée
Le contexte de la protection de la vie privée a certes évolué au cours des dernières années, mais les quatre priorités stratégiques que nous avions établies en 2015 à la suite de vastes consultations publiques demeurent pertinentes et utiles pour cibler nos efforts et guider notre travail.
Ces priorités étaient les suivantes :
- l’économie des renseignements personnels;
- la surveillance du gouvernement;
- la réputation et la protection de la vie privée;
- le corps comme source d’information.
Nous prévoyions alors avoir recours à cinq stratégies tout aussi importantes pour faire progresser ces priorités : étudier des moyens novateurs et technologiques de protéger la vie privée; augmenter la responsabilisation et promouvoir une bonne gouvernance en matière de protection de la vie privée; protéger la vie privée des Canadiens dans un monde sans frontières; accroître notre rôle d’éducation du public; et renforcer la protection de la vie privée pour les groupes vulnérables.
La vision à l’origine des priorités stratégiques − amener les Canadiens à exercer un meilleur contrôle sur leurs renseignements personnels − était bien ambitieuse à l’ère des mégadonnées.
Nous voulions mieux comprendre la protection de la vie privée dans chacun de ces domaines d’intérêt stratégique pour ensuite informer les organisations et le public des vrais enjeux, influencer les comportements et exercer le plus efficacement nos pouvoirs de réglementation.
Plusieurs années plus tard, je demeure convaincu que les priorités établies à ce moment-là étaient les bonnes puisque l’on assiste à la collecte de grandes quantités de renseignements personnels et à l’utilisation de puissants algorithmes pour détecter les tendances, pour des fins de marketing ou de sécurité nationale, entre autres.
Le Commissariat peut être fier du travail considérable accompli pour donner suite à chacune de ces priorités. Nous avons fait des progrès à plusieurs égards. Mais certaines priorités ont progressé davantage que d’autres.
Au final, les outils à notre disposition ont limité notre capacité d’action. Pour chacune des quatre priorités stratégiques, nous avons constaté à maintes reprises que la modernisation des lois fédérales sur la protection des renseignements personnels constitue la véritable solution pour protéger les droits.
Quelques exemples des progrès accomplis pour chacune des priorités sont présentés ci-après.
Priorité stratégique liée à la vie privée : l’économie des renseignements personnels
Notre objectif concernant l’économie des renseignements personnels consistait à renforcer la protection de la vie privée et la confiance des gens pour que ces derniers puissent participer avec assurance à l’économie innovante du numérique. Les Lignes directrices pour l’obtention d’un consentement valable constituaient la pièce maîtresse de notre travail dans ce domaine.
Nous avons publié des orientations sur les « zones interdites » concernant la collecte, l’utilisation et la communication de renseignements personnels. On y souligne un certain nombre de pratiques qu’une personne raisonnable estimerait « inacceptables », dont le recours au profilage ou à la catégorisation, donnant lieu à un traitement injuste, contraire à l’éthique ou discriminatoire, interdit en vertu de la législation sur les droits de la personne.
Nous avons aussi mené des enquêtes ayant trait à cette priorité stratégique. Si les affaires en question ont contribué à faire connaître des enjeux de vie privée, elles ont aussi mis en évidence les limites importantes des lois en vigueur.
Par exemple, notre enquête de 2019 sur le scandale Facebook et Cambridge Analytica a révélé que Facebook, malgré ses politiques détaillées sur la protection des renseignements personnels, n’a pas obtenu de consentement valable et s’est soustraite à ses responsabilités concernant la protection des renseignements personnels des Canadiens. Bien qu’elle ait publiquement reconnu avoir commis un « important abus de confiance », l’entreprise a contesté les conclusions de l’enquête et refusé de donner suite à nos recommandations pour remédier aux infractions commises.
Cette affaire fait ressortir l’incapacité de la loi actuelle à contraindre les entreprises à rendre des comptes. De toute évidence, les Canadiens ne peuvent pas s’en remettre exclusivement à elles pour gérer leurs renseignements de façon responsable.
Notre enquête visant la société de technologie Clearview AI a aussi permis d’exposer certaines lacunes de notre loi.
De concert avec trois homologues provinciaux, le Commissariat a conclu que la collecte, par l’entreprise, de milliards d’images de personnes dans Internet représentait une surveillance de masse et portait manifestement atteinte au droit à la vie privée des Canadiens.
L’enquête a révélé que l’entreprise avait recueilli des données biométriques très sensibles à l’insu des personnes concernées et sans le consentement de celles-ci. De plus, l’entreprise recueillait, utilisait et communiquait les renseignements personnels de Canadiens à des fins inacceptables, qui ne peuvent pas être justifiées par l’obtention d’un consentement.
Malgré nos conclusions, Clearview AI continuait d’affirmer que les fins visées étaient acceptables, au sens de la loi canadienne qui impose l’obligation de soupeser les besoins commerciaux et le droit à la vie privée. Nous avons exhorté les parlementaires à faire en sorte qu’une nouvelle loi fédérale indique qu’en cas de conflit entre les objectifs commerciaux et la protection de la vie privée, le droit à la vie privée des Canadiens devrait prévaloir.
Notre objectif était d’accroître la confiance des consommateurs, mais il est évident que la crise de confiance persiste. D’après les sondages, la grande majorité des Canadiens sont très préoccupés par leur incapacité à protéger leur vie privée, et le niveau de confiance demeure faible.
Les Canadiens veulent profiter des avantages qu’offrent les technologies numériques, mais ils souhaitent le faire en toute sécurité. Pour réaliser de réels progrès, nous devons améliorer nos lois sur la protection des renseignements personnels. Il incombe au gouvernement – et au Parlement − de donner aux Canadiens l’assurance que la législation protégera leurs droits.
En 2020-2021, nous avons vigoureusement plaidé en faveur d’une meilleure législation pour protéger les Canadiens. En font foi nos vastes recherches sur les lois applicables aux secteurs public et privé et nos mémoires étoffés au gouvernement et au Parlement.
Priorité stratégique liée à la vie privée : la surveillance du gouvernement
Notre objectif pour cette priorité était de contribuer à l’adoption et à l’application de lois et d’autres mesures qui ont manifestement pour effet de garantir tant la sécurité nationale que la protection de la vie privée.
Comme nous l’avons déjà précisé, nous avons consacré une grande partie de notre énergie, au début de mon mandat, à la surveillance exercée par le gouvernement. Nous avons donné au gouvernement des conseils pour qu’il puisse assurer la sécurité nationale et la sécurité publique tout en protégeant de façon adéquate le droit à la vie privée.
Nous avons également réclamé une capacité de surveillance accrue. D’ailleurs, nous nous sommes réjouis que le projet de loi C-22 et le projet de loi C-59 créent respectivement le Comité des parlementaires sur la sécurité nationale et le renseignement et l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR). Depuis la création de l’OSSNR, nous collaborons régulièrement avec ce nouvel organisme composé d’experts. Par exemple, nous avons mené conjointement un examen sous le régime de la Loi sur la communication d’information ayant trait à la sécurité du Canada, qui devrait donner lieu au dépôt d’un rapport plus tard cette année.
Nous avons donné des conseils à la GRC relativement à son recours aux drones et aux caméras personnelles. Nous en avons aussi donné à l’Agence canadienne des services frontaliers et au public sur la fouille des appareils électroniques à la frontière.
Comme nous l’expliquons dans les pages qui suivent, nous avons observé avec satisfaction une augmentation du nombre de consultations en 2020-2021 sur les questions de sécurité nationale et de sécurité publique. Et nous continuons de conseiller le gouvernement sur ces questions, par exemple en ce qui concerne le Programme de protection des passagers.
En outre, toujours en ce qui concerne la surveillance exercée par le gouvernement, nous avons formulé une série de recommandations à Statistique Canada à l’issue de notre enquête sur ses projets de collecte de renseignements détaillés sur les finances de nombreux Canadiens.
Dans le cadre des projets en question, Statistique Canada recueillait de l’information sur l’historique de crédit d’un grand nombre de personnes et avait l’intention de recueillir auprès des banques des renseignements détaillés sur des transactions financières à l’insu des intéressés ou sans leur consentement.
Notre enquête a permis de soulever des enjeux de vie privée considérables, se rapportant à la façon dont les projets étaient conçus. Elle a aussi permis d’illustrer l’interdépendance qui existe entre la protection de la vie privée, la confiance et l’acceptation sociale et − ce qui est des plus importants − de montrer l’inefficacité de la loi actuelle, dans la mesure où elle n'est pas assortie du critère de nécessité et de proportionnalité qui existe dans d'autres lois sur la protection des renseignements personnels dans le monde.
Pour respecter les principes de nécessité et de proportionnalité, les organisations devraient aller de l’avant avec les activités et les programmes intrusifs uniquement s’il est possible de démontrer qu’ils sont nécessaires pour atteindre un objectif urgent et important, et que l’atteinte à la vie privée est proportionnelle aux avantages escomptés.
Or, au cours de l’enquête, les représentants de Statistique Canada ont fait état de leurs objectifs, mais ils n’ont pas démontré la nécessité de recueillir autant de renseignements très sensibles concernant des millions de Canadiens.
Nous avons salué la volonté de l’organisme de repenser ses projets pour respecter les principes de nécessité et de proportionnalité. Toutefois, il ne s’agit pas d’une exigence prévue par la loi. Nous avons donc aussi réclamé que des modifications soient faites à la Loi sur la protection des renseignements personnels afin d’y inclure expressément une exigence de nécessité et de proportionnalité pour la collecte de renseignements personnels.
Priorité stratégique liée à la vie privée : la réputation et la protection de la vie privée
Dans le cadre de cette priorité, nous avions l’intention d’aider à créer un environnement en ligne où les gens pourraient se servir d’Internet pour explorer leurs intérêts et se développer comme personnes sans craindre que leur trace numérique n’entraîne un traitement injuste.
Le projet de position sur la réputation en ligne, que nous avons élaboré à la suite d’une consultation et de l’analyse de mémoires présentés par divers intervenants, constitue une importante initiative à cet égard. Il présente le point de vue préliminaire du Commissariat sur les mesures de protection actuellement prévues dans la loi applicable au secteur privé, entre autres le droit de demander aux moteurs de recherche le déréférencement de pages Web qui renferment des renseignements inexacts, incomplets ou périmés, ainsi que l’effacement de renseignements à la source. Le projet de position souligne aussi l’importance de l’éducation pour aider les Canadiens à devenir des cybercitoyens responsables et bien informés.
En 2018, nous avions déposé un renvoi devant la Cour fédérale afin d’obtenir des précisions quant à savoir si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne. Nous avions demandé à la Cour d'examiner la question à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en affichant de façon évidente dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom est recherché.
En juillet 2021, la Cour fédérale a rendu sa décision sur les mérites des questions posées dans le renvoi. Nous accueillons favorablement cette décision, qui va dans le sens de notre position selon laquelle le service de moteur de recherche de Google recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales et n’est pas admissible à l’exception prévue dans la LPRPDE pour les activités menées à des fins journalistiques.
Puisqu’il appartient aux élus de confirmer le juste équilibre entre la protection de la vie privée et la liberté d’expression dans notre société démocratique, nous estimons qu’il serait préférable que le Parlement précise la loi à cet égard. Pour l’heure, en l'absence de telles précisions dans la loi, nous poursuivrons nos enquêtes.
Priorité stratégique liée à la vie privée : le corps comme source d’information
En ce qui concerne cette priorité, nous voulions promouvoir le respect de la vie privée et de l’intégrité du corps humain comme véhicule de nos renseignements personnels les plus intimes.
Nous avons publié une version préliminaire d’un document d’orientation à l’intention des services de police concernant le recours à la technologie de reconnaissance faciale, ainsi qu’un autre document à l’intention des individus concernant les appareils intelligents à porter sur soi. Dans le cadre du Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois pour la protection de la vie privée), nous avons procédé, en collaboration avec nos homologues étrangers, à une opération de ratissage portant sur des appareils connectés liés à la santé, comme les moniteurs d’activité physique et les dispositifs de surveillance du sommeil. Nous avons alors constaté que bon nombre de ces appareils ne répondaient pas aux attentes sur le plan de la protection de la vie privée.
Nous avons également offert des conseils aux individus, et élaboré un document d’orientation à l’intention des entreprises, au sujet des tests génétiques offerts directement aux consommateurs. Nous sommes intervenus devant la Cour suprême du Canada pour défendre la position selon laquelle les individus ne devraient pas être obligés de communiquer les résultats de leurs tests génétiques à leur employeur, à une compagnie d’assurance ou à toute autre entreprise. Nous avons accueilli favorablement la décision de la Cour à cet égard, qui a conclu à la constitutionnalité de la Loi sur la non-discrimination génétique.
Sans aucun doute, la pandémie a aussi mis en lumière cette priorité. En 2020-2021, nous avons notamment conseillé le gouvernement dans la mise sur pied de diverses initiatives de traçage des contacts, y compris l’application Alerte COVID, et en avons surveillé la mise en œuvre. De concert avec nos homologues provinciaux et territoriaux, nous nous sommes prononcés sur l’usage de passeports vaccinaux.
Comme nous l’avons indiqué, nous avons également fait enquête sur le recours à la technologie de reconnaissance faciale et produit un document d’orientation sur le sujet. Nos enquêtes portant sur Clearview AI et sur l’utilisation, par la GRC, de la technologie de reconnaissance faciale de cette entreprise ont révélé qu’il reste encore beaucoup à faire pour protéger adéquatement les renseignements très sensibles. Présentement, l’utilisation de cette technologie est réglementée par une mosaïque de lois et de décisions judiciaires qui, pour la plupart, ne tiennent pas compte des risques propres à la technologie. Cette situation crée une incertitude quant aux utilisations acceptables de la reconnaissance faciale et quant aux conditions d’utilisation. La voie à suivre n’est pas encore bien définie, mais nous nous penchons sur ces questions importantes dans le cadre de nos consultations en cours avec les services de police, la société civile et divers intervenants, où la nécessité de modifier le cadre juridique actuel fait l’objet de discussions.
Prochaines étapes
Les priorités stratégiques qui ont permis d’orienter notre travail demeurent extrêmement pertinentes. Nous avons fait des progrès, mais notre objectif ultime − qui consiste à rétablir la confiance des Canadiens envers le gouvernement et l’économie numérique − demeure hors d’atteinte. En fait, il en sera ainsi jusqu’à ce que le gouvernement adopte de nouvelles lois fédérales qui protégeront adéquatement le droit à la vie privée au Canada.
Je suis déterminé à faire en sorte que nous atteignions cet objectif urgent.
2020-2021 : un exercice sous le signe de la collaboration
Au moment de rassembler les éléments de contenu du présent rapport annuel, j’ai été frappé par la collaboration étroite qui s’en dégageait. Il y a eu, selon moi, de grandes avancées sur ce plan.
La collaboration est essentielle pour accroître la sensibilisation à la protection de la vie privée et améliorer la conformité. Au cours du dernier exercice, nous nous sommes montrés très proactifs pour communiquer et tisser des liens avec des institutions fédérales, nos homologues provinciaux, territoriaux et étrangers du domaine de la protection de la vie privée, le milieu des affaires, la société civile et les citoyens en général.
Nous avons donné des services-conseils aux institutions fédérales plus de 130 fois en 2020-2021, ce qui représente une hausse considérable par rapport aux exercices précédents.
Nous avons aussi donné des services-conseils aux entreprises, par exemple dans le cadre de 13 activités de liaison. Ces services-conseils ont permis de démontrer que la protection de la vie privée n’est pas un obstacle à la santé publique, aux objectifs gouvernementaux ou aux intérêts commerciaux. La clé, c’est de miser sur une conception adéquate qui permet de concilier tous ces intérêts.
Par ailleurs, nous avons collaboré avec nos homologues provinciaux dans le cadre d’un nombre record d’enquêtes conjointes, en plus de mener notre première enquête conjointe avec toutes les provinces dotées d’une loi essentiellement similaire. Nous avons également produit conjointement des documents d’orientation sur plusieurs sujets importants, entre autres les passeports vaccinaux et la reconnaissance faciale.
Il en a été de même sur la scène internationale. Nous continuons de jouer un rôle de premier plan dans les activités de collaboration, entre autres en coprésidant le groupe de travail sur la coopération internationale en matière d’application de la loi et le groupe de travail Citoyens et consommateurs numériques sous l’égide de l’Assemblée mondiale pour la protection de la vie privée. Ce dernier groupe de travail permet de favoriser la collaboration dans des dossiers qui se trouvent au carrefour des régimes réglementaires qui encadrent la protection de la vie privée, la concurrence et la protection des consommateurs. On trouvera plus loin dans le présent rapport davantage de précisions sur notre travail à l’échelle internationale et ses retombées.
Parallèlement, de concert avec Innovation, Sciences et Développement économique Canada, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et le Bureau de la concurrence, nous avons donné des conseils aux entreprises du secteur des applications mobiles relativement aux obligations qui leur incombent en vertu de la Loi canadienne anti-pourriel. Je me permets de rappeler que nous avons aussi eu la possibilité de collaborer sur des questions d’intérêt mutuel avec l’OSSNR.
Comme je l’ai également souligné plus haut, la protection de la vie privée dans un monde sans frontières était l’une des approches que nous avons jugées essentielles afin de faire progresser les priorités en la matière pour les Canadiens dans une économie mondiale. Idéalement, ce qu’il faudrait pour maximiser les activités menées en collaboration, c’est assurer l’interopérabilité des lois à l’échelle canadienne et internationale. Voilà la direction qu’il faut résolument prendre, là où il faut agir et même intensifier les efforts.
Et maintenant
Au moment de la rédaction du présent rapport, mon mandat comme commissaire à la protection de la vie privée a été prolongé d’une année. Cette période de transition sera importante, à la fois pour la réforme législative et pour le Commissariat dans son ensemble. Je suis reconnaissant de pouvoir continuer à conseiller le Parlement et à travailler avec les employés talentueux et entièrement dévoués du Commissariat pour préparer le terrain en vue d’une nouvelle ère pour la protection de la vie privée.
La réforme prévue de la Loi sur la protection des renseignements personnels (la loi du secteur public) semble prometteuse. J’espère qu’un projet de loi sera bientôt déposé au Parlement. D’ici là, j’ai bon espoir que le gouvernement prendra sérieusement en compte les améliorations proposées au projet de loi C-11, qui sont nécessaires pour que la loi applicable au secteur privé soit modernisée de telle sorte qu’elle favorise efficacement l’innovation responsable et la protection des droits.
Après l’adoption des nouvelles lois, le Commissariat pourrait devenir un organisme bien différent – un organisme doté de plus grands pouvoirs d’application de la loi et appelé à jouer un plus grand rôle dans certains domaines : élaboration de documents d’orientation, approbation de codes de pratique et collaboration avec les organisations des secteurs public et privé en faveur d’un plus grand respect du droit à la vie privée.
Il faudra probablement un certain temps, peut-être quelques années, avant que le Commissariat exerce de nouvelles fonctions, mais il me semble important de commencer à nous y préparer le plus tôt possible afin de pouvoir intervenir efficacement au moment de l’entrée en vigueur des nouvelles lois. Durant la planification, nous veillerons à améliorer encore davantage la transparence et l’équité envers les entités réglementées et divers intervenants, et à approfondir nos relations avec ceux-ci. Le rôle d’un organisme de réglementation comme le Commissariat est avant tout d’aider les organisations à se conformer à la loi et, lorsque des mesures d’application s’imposent, d’exercer ce pouvoir rapidement et de façon équitable.
Il s’agit d’un tournant décisif pour la protection de la vie privée au Canada et, il n’y a pas de doute, d’une période des plus stimulantes pour le Commissariat. Je suis fier du travail que nous avons accompli pour y parvenir. Toutefois, il reste encore beaucoup à faire. Je me réjouis de poursuivre notre collaboration à cet égard avec nos nombreux partenaires au cours du prochain exercice. Je compte continuer à défendre le droit à la vie privée des Canadiens et à promouvoir une innovation responsable. Et j’entends agir concrètement pour nous préparer à la suite des choses.
La réforme législative : pour protéger efficacement la vie privée, favoriser une innovation responsable et renforcer la confiance des consommateurs
À la fin de 2020, le Canada a franchi un tournant en ce qui concerne les lois sur la protection des renseignements personnels.
En un court laps de temps, le gouvernement fédéral a présenté le projet de loi C-11, destiné à réviser la loi fédérale sur la protection des renseignements personnels dans le secteur privé, et mené une vaste consultation publique sur un plan de modernisation de la loi applicable au secteur public, laquelle remonte à 40 ans.
Ces avancées faisaient suite à des appels à l’action lancés à répétition pendant des années par le Commissariat à la protection de la vie privée du Canada ainsi que par des intervenants du milieu des affaires et de la société civile. Depuis de nombreuses années, il est manifeste que les deux lois canadiennes sur la protection des renseignements personnels ne permettent pas de protéger le droit à la vie privée dans un monde numérique. Nous devons mieux protéger les Canadiens à un moment où leur confiance dans l’économie numérique est nécessaire pour relancer l’économie après la pandémie.
Les mesures que prévoit le gouvernement pour faire avancer les choses sont judicieuses dans certains domaines, mais pas dans d’autres. Nous étions très satisfaits des propositions de réforme de la Loi sur la protection des renseignements personnels – applicable dans le secteur public – formulées dans un document de discussion du ministère de la Justice du Canada. Le gouvernement a aussi présenté le projet de loi C-11, qui est mort au feuilleton en raison du déclenchement des élections fédérales en août 2021. Ce projet de loi était loin d’être parfait, mais nous estimons qu’en y apportant des modifications importantes, il est possible de l’améliorer en gardant sa structure actuelle. Il n’est pas nécessaire de repartir de zéro.
Dans le présent chapitre, nous faisons état de certaines préoccupations et recommandations importantes se rapportant au projet de loi C-11. Nous traitons aussi du mémoire nettement plus favorable que nous avons présenté dans le cadre de la consultation menée par le ministère de la Justice sur la réforme de la Loi sur la protection des renseignements personnels.
Nous y présentons également un aperçu de notre consultation sur la réglementation de l’intelligence artificielle (IA). Il s’agit d’une question importante qui touche les deux lois fédérales. En effet, la technologie de l’IA est extrêmement prometteuse, mais elle peut aussi avoir de graves répercussions sur la vie privée. Nous analysons par ailleurs une lacune évidente dans notre cadre législatif qu’a fait ressortir une plainte déposée contre trois partis politiques fédéraux.
Enfin, nous présentons un résumé du mémoire que nous avons déposé dans le cadre de l’examen, par le gouvernement, de la Loi sur l’accès à l’information.
Le projet de loi C-11 requiert des modifications importantes
En novembre 2020, le gouvernement du Canada a présenté le projet de loi C-11. Il s’agissait d’une étape importante et concrète vers la modernisation de notre loi fédérale sur la protection des renseignements personnels dans le secteur privé. Ce projet de loi, qui est mort au feuilleton en raison du déclenchement des élections fédérales en août 2021, aurait édicté la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données.
À l’issue d’une analyse menée par le Commissariat pendant plusieurs mois, le commissaire Daniel Therrien a présenté en mai 2021 son mémoire et des résultats de recherches sur cette proposition législative au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique de la Chambre des communes.
M. Therrien a expliqué au Parlement que le projet de loi C-11 était fréquemment hors norme et que celui-ci aurait procuré à plusieurs égards une protection moindre que celle offerte par les lois d’autres juridictions. Il a ajouté qu’il s’agissait globalement d’un recul. Le projet de loi C-11 ne prévoyait pas les mesures de protection que l’on retrouve dans d’autres pays avec des économies semblables, et même dans les lois de certaines provinces canadiennes sur la protection des renseignements personnels.
S’il avait été adopté, le projet de loi C-11 aurait réduit le contrôle exercé par les consommateurs et donné une plus grande souplesse aux organisations pour monnayer les données personnelles, sans que cela ne s’accompagne d’une responsabilité accrue. C’est particulièrement inquiétant. En outre, le processus de sanction aurait été beaucoup trop long et aurait eu une portée indûment limitée.
M. Therrien a aussi fait remarquer que le Commissariat aurait été soumis à plusieurs nouvelles contraintes et limites, alors même qu’il a besoin d’outils plus souples pour remplir son mandat dans un contexte mondial complexe qui évolue rapidement.
Il a également souligné que la protection de la vie privée n’est pas un obstacle à l’innovation économique ni à l’adaptation technologique. Au contraire, une loi qui protège efficacement la vie privée et donne confiance aux consommateurs peut contribuer à la croissance économique. Un régime législatif efficace modernisé atteint cet objectif en donnant aux consommateurs l’assurance que leurs droits seront respectés. De nombreux pays qui ont des lois rigoureuses en matière de protection des renseignements personnels sont aussi des leaders dans le domaine de l’innovation.
Les 60 recommandations formulées dans le mémoire visent à améliorer les mesures de protection de la vie privée offertes aux Canadiens dans le projet de loi, tout en favorisant une innovation responsable au sein des entreprises. Ces recommandations sont réparties selon trois grands thèmes :
- mieux déterminer le poids à accorder au droit à la vie privée et aux intérêts commerciaux;
- prévoir des obligations et des droits précis;
- donner accès à des recours rapides et efficaces et préciser le rôle du Commissariat.
Comparaison entre juridictions : lois de protection de la vie privée
Version textuelle de la figure 1
Union européenne (RGPD) |
Royaume-Uni | Nouvelle-Zélande | Australie | Californie | Alberta | Colombie-Britannique | Québec | Canada (projet de loi C-11) |
|
---|---|---|---|---|---|---|---|---|---|
Entrée en vigueur / Dernière mise à jour majeure | 2018 | 2018 | 2020 | 2018 | 2020 | 2014 | 2004 | 2021 |
2020 (déposé) |
Vie privée reconnue comme droit de la personne | Oui | Oui | Oui | Oui | Non | Non | Non | Oui | Non |
Consentement : comprendre les conséquences | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Non |
Responsabilité : conformité avec la loi comme norme objective | Oui | Oui | Oui | Oui | S.O. | Oui | Oui | Oui | Non |
Vérification proactive de la conformité*,** | Oui | Oui | Non | Oui | Oui | Oui | Non | Oui | Non |
Sanctions administratives pécuniaires : portée large | Oui | Oui | S.O. | Oui | Oui | S.O. | S.O. | Oui | Non |
Absence d’appel devant un tribunal spécialisé | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Non |
Pouvoir discrétionnaire général de refuser ou de mettre fin à une plainte*,** | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Oui | Non |
Entière discrétion en matière d’orientations | Oui | Non | Oui | Oui | Oui | Oui | Oui | S.O. | Non |
Approbation des codes : procédures de l’autorité | Oui | Oui | Oui | Oui | S.O. | Non | S.O. | S.O. | Non |
Flux transfrontaliers : dispositions précises | Oui | Oui | Oui | Oui | Non | Oui | Non | Oui | Non |
* Le député Nathaniel Erskine-Smith a déposé lors du 42e Parlement un projet de loi privé (C-413) qui aurait conféré ces pouvoirs au CPVP. | |||||||||
** Proposé par Justice Canada dans Respect, responsabilité, adaptabilité : Consultation publique concernant la modernisation de la Loi sur la protection des renseignements personnels (novembre 2020) |
Principaux éléments à prendre en compte pour élaborer une loi moderne
Les technologies numériques qui reposent sur la collecte et l’analyse de renseignements personnels se trouvent au cœur de la quatrième révolution industrielle et sont essentielles à notre développement socioéconomique. Ces technologies peuvent servir l’intérêt public si elles sont bien conçues.
Cependant, comme nous l’avons constaté, elles peuvent aussi interférer avec des droits et des valeurs qui ont été façonnés au fil des siècles, comme le respect de la vie privée, l’égalité et la démocratie.
À notre avis, pour que les lois canadiennes cadrent avec les fins visées dans le monde d’aujourd’hui, il faut aborder les éléments suivants.
1er élément : Définition des utilisations autorisées
Le défi auquel nous faisons face consiste à définir les utilisations autorisées des données de façon à permettre une innovation responsable tout en protégeant les droits et les valeurs des citoyens.
Notre loi sur la protection des renseignements personnels dans le secteur privé, c’est-à-dire la LPRPDE, repose actuellement sur le modèle de consentement. Le consentement a sa place dans la protection des données s’il est réellement valable et s’inscrit dans une relation commerciale relativement simple entre les organisations et les consommateurs. Il ne doit toutefois pas être le seul moyen utilisé pour protéger la vie privée. En fait, le consentement peut servir à légitimer des usages qui, objectivement, sont tout à fait déraisonnables et contraires à nos droits et valeurs. Et le refus de donner son consentement peut parfois desservir l’intérêt public.
Le projet de loi C-11 a introduit, à juste titre, certaines exceptions à l’obligation d’obtenir le consentement, en accordant aux organisations une souplesse accrue dans le traitement des renseignements personnels. Malheureusement, certaines exceptions proposées étaient trop larges ou mal définies pour favoriser une innovation responsable.
Comme nous l’avons indiqué dans nos recommandations sur l’intelligence artificielle l’automne dernier, on peut autoriser l’utilisation des données pour des intérêts commerciaux légitimes, mais dans un cadre fondé sur les droits.
Ce type de disposition donnerait la flexibilité nécessaire pour utiliser les données à de nouvelles fins non prévues au moment de la collecte, mais elle reposerait sur des fins particulières et connaissables et sous réserve de la surveillance réglementaire.
Nous n’avons pas besoin du modèle d’autoréglementation prévu dans le projet de loi C-11 (où il reviendrait aux organisations commerciales de préciser la signification pratique de normes juridiques formulées de façon vague, et où le rôle des organismes de réglementation serait très limité). Il nous faut plus de réglementation, c’est-à-dire l’adoption démocratique de normes objectives et connaissables, appliquées par des institutions désignées démocratiquement, comme le Commissariat à la protection de la vie privée.
Une législation sensée devrait autoriser l’innovation responsable, qui est dans l’intérêt public et propre à susciter la confiance, mais interdire les utilisations de la technologie qui sont incompatibles avec nos droits et nos valeurs.
2e élément : Nécessité d’un cadre fondé sur les droits
Cette plus grande souplesse quant à l’utilisation de renseignements personnels sans consentement pour les besoins d’une innovation responsable et des fins socialement bénéfiques devrait être offerte dans le cadre d’une loi consacrant la protection de la vie privée comme droit de la personne et élément essentiel à l’exercice d’autres droits fondamentaux.
Seule une loi fondée sur les droits peut assurer une protection adéquate, non contre les risques théoriques d’atteinte à la vie privée, mais contre le type de préjudices réels que nous avons observés à maintes reprises au Canada et à l’étranger.
Malheureusement, le projet de loi C-11 postulait que la protection de la vie privée et les intérêts commerciaux sont des éléments divergents et qu’un équilibre doit être trouvé entre les deux. En fait, par rapport à la législation actuelle, on peut soutenir que ce projet de loi donnait plus de poids aux intérêts commerciaux en introduisant de nouveaux facteurs commerciaux à considérer dans la recherche d’un équilibre, sans prendre en compte, de quelque façon, les leçons des 20 dernières années concernant les atteintes aux droits causées par la technologie.
Selon nous, il serait normal et juste d’autoriser les activités commerciales dans le respect des droits, plutôt que de mettre les droits et les intérêts commerciaux sur le même pied. De façon générale, il est possible d’atteindre des objectifs commerciaux et de protéger la vie privée en même temps. Toutefois, nous estimons que les droits devraient l’emporter en cas de conflit.
L’adoption d’une approche fondée sur les droits montrerait clairement qui nous sommes et ce à quoi nous aspirons en tant que pays. C’est l’approche qui a été adoptée au Québec et qui est suggérée par le gouvernement de l’Ontario dans les récentes propositions en matière de réforme législative.
Cela dit, certains ont soutenu qu’il n’est pas possible d’intégrer un cadre fondé sur les droits à une loi fédérale en raison de la Constitution canadienne.
Nous convenons que la compétence du Parlement en matière de commerce constitue le principal fondement d’une loi fédérale sur la protection des renseignements personnels dans le secteur privé. Cependant, si la loi a pour objet principal de réglementer le commerce, elle peut inclure des mesures de protection de la vie privée, comme celle de considérer la vie privée comme un droit de la personne. En fait, selon la jurisprudence de la Cour suprême du Canada, l’ajout d’un préambule renforcerait le fondement constitutionnel de la loi en établissant l’objet et le contexte de la loi.
En outre, la reconnaissance du droit à la vie privée en tant que droit de la personne est tout à fait compatible avec notre cadre de protection des données actuel, neutre sur le plan technologique et fondé sur les principes. Elle n’a pas à donner lieu à une loi trop prescriptive.
Le caractère prescriptif d’une loi est souvent lié au niveau de détails associés à la définition de principes particuliers en matière de protection de la vie privée. Un cadre axé sur les droits fonctionne au même niveau de généralité qu’une loi fondée sur des principes. Aucun des deux n’est strictement prescriptif. Ils sont tous deux également flexibles et adaptables pour encadrer un environnement en constante évolution comme celui de la technologie et de l’économie numérique.
En définitive, il faudrait autoriser les activités commerciales dans le respect des droits, plutôt que de mettre les droits et les intérêts commerciaux sur un pied d’égalité.
Notre enquête de 2021 sur Clearview AI illustre bien les problèmes qui peuvent se poser lorsque cet important principe est bafoué.
Clearview AI : trouver un équilibre entre le droit à la vie privée et les intérêts commerciaux
En février 2021, le Commissariat à la protection de la vie privée du Canada et trois de ses homologues provinciaux ont publié les résultats d’une enquête portant sur Clearview AI. Cette entreprise de technologie proposait un outil de reconnaissance faciale permettant aux organismes d’application de la loi de mettre en correspondance les photographies d’inconnus avec une vaste base de données où étaient stockées 3 milliards d’images prélevées dans Internet.
Au Canada, ces données servaient principalement à des fins policières, mais à l’insu des intéressés et sans leur consentement. Ainsi, des milliards de personnes se sont trouvées à participer à des séances d’identification policière. Nous avons conclu que cette pratique représentait une surveillance de masse et contrevenait manifestement à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Clearview AI a invoqué une série d’arguments en s’appuyant sur le libellé de la LPRPDE, selon lequel il faut trouver un équilibre entre le droit à la vie privée et les intérêts commerciaux. D’après l’entreprise, les personnes qui avaient elles-mêmes versé leurs images dans Internet, ou permis qu’elles le soient, n’avaient plus d’attente raisonnable en matière de vie privée. Clearview AI affirmait qu’il s’agissait de renseignements auxquels le public avait accès et que ses intérêts commerciaux légitimes et sa liberté d’expression devaient prévaloir.
Nous avons rejeté ces arguments. Or, des commentateurs juridiques ont suggéré que nos conclusions seraient une façon de contourner la clause d’objet de la LPRPDE en ne donnant pas suffisamment de poids aux intérêts commerciaux. Si le projet de loi C-11 avait été adopté tel quel, Clearview AI et ces commentateurs pourraient encore invoquer ce type d’arguments.
Nous avons fait valoir qu’il faudrait amender le projet de loi C-11 afin d’indiquer clairement que le droit à la vie privée devrait prévaloir en cas de conflit entre des objectifs commerciaux et la protection de la vie privée.
Pour en savoir davantage
- Enquête conjointe sur Clearview AI, Inc. par le Commissariat à la protection de la vie privée du Canada, la Commission d’accès à l’information du Québec, le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique et le Commissariat à l’information et à la protection de la vie privée de l’Alberta, le 2 février 2021
- Déclaration du commissaire à la protection de la vie privée du Canada à la suite d’une enquête portant sur Clearview AI, le 3 février 2021
3e élément : Comment définir la responsabilité des entreprises
La responsabilité est l’un des principaux contrepoids à la capacité accrue d’utiliser des renseignements sans consentement qui est conférée aux organisations. Il nous semble donc primordial que la loi renferme une définition claire du principe de la responsabilité et qu’elle prévoie des mesures de protection faisant en sorte que la responsabilité des organisations soit réelle et démontrable.
Telle qu’elle était formulée, la Loi sur la protection de la vie privée des consommateurs n’établissait aucune norme objective pour définir ce qu’est la responsabilité en exigeant des politiques et des procédures qui assureraient la conformité à la loi. Elle définissait plutôt cette notion en termes descriptifs, en lui donnant un sens semblable à celui de l’autoréglementation : l’adoption de politiques et de procédures qu’une organisation décide de mettre en place.
Qui plus est, cette loi ne prévoyait aucune responsabilité démontrable, c’est-à-dire une responsabilité que l’entreprise doit démontrer à l’organisme de réglementation, en l’occurrence un tiers indépendant. Dans le monde d’aujourd’hui où les modèles d’affaires sont opaques et où les flux d’information sont de plus en plus complexes, les individus ne sont guère susceptibles de déposer une plainte s’ils ne sont pas au courant d’une pratique qui peut leur porter préjudice. C’est pourquoi il est si important de donner à l’organisme de réglementation le pouvoir d’examiner de son propre chef les pratiques des organisations. Lorsque l’obtention du consentement est impraticable et que les organisations sont censées pallier le manque en se montrant responsables, il faut obliger ces dernières à faire la preuve de leur responsabilité sur demande.
Le projet de loi C-11 ne fournissait pas au Commissariat ces outils essentiels dont disposent nombre de ses homologues d’autres juridictions.
On trouve ce type de dispositions dans les lois sur la protection des renseignements personnels du Québec et de l’Alberta et dans celles de plusieurs autres juridictions, y compris des pays de common law comme le Royaume-Uni, l’Australie et l’Irlande. Ces dispositions donnent l’assurance que les organisations sont tenues responsables de la façon dont elles tirent parti de cette plus grande souplesse relativement à la collecte, à l’utilisation et à la communication des renseignements personnels des consommateurs.
4e élément : Nécessité de principes communs, ou à tout le moins similaires, pour les secteurs public et privé
Les partenariats public-privé et les relations contractuelles entre ces deux secteurs sont de plus en plus fréquents. Ils constituent un aspect fondamental dont il faut tenir compte au moment de définir nos lois sur la protection des renseignements personnels.
Nous avons constaté que ces partenariats et relations contractuelles qui ont recours aux technologies numériques peuvent présenter des complications et des risques supplémentaires sur le plan de la vie privée.
La pandémie met certainement en évidence ce phénomène. Les services de vidéoconférence et les plateformes en ligne nous permettent de socialiser, de travailler, de fréquenter l’école et même de consulter un médecin à distance, mais ils présentent aussi de nouveaux risques d’atteinte à la vie privée. Si la plateforme virtuelle utilisée en télémédecine fait intervenir une entreprise commerciale, il y a un risque de violation du secret professionnel entre le médecin et le patient. De même, des plateformes d’apprentissage en ligne peuvent recueillir des renseignements sensibles sur les difficultés d’apprentissage des élèves ou leur comportement.
Nos enquêtes portant sur Clearview AI et la GRC, dont nous traitons dans une autre section du présent rapport, sont d’autres exemples illustrant les risques liés aux partenariats public-privé.
Si nos lois applicables aux secteurs public et privé consacraient des principes communs de protection de la vie privée, cela contribuerait à combler les lacunes au chapitre de la responsabilité dans les situations où ces secteurs entrent en interaction.
5e élément : Nécessité de l’interopérabilité des lois au Canada et à l’échelle internationale
La volonté de maintenir le caractère adéquat des lois canadiennes par rapport aux règlements de l’Union européenne représentait un élément important à l’origine de la Loi sur la protection de la vie privée des consommateurs. Il est essentiel que les données qui servent aux échanges commerciaux puissent traverser les frontières sans porter atteinte aux droits et aux valeurs que nous partageons largement avec nos partenaires.
L’interopérabilité des lois contribue à favoriser et à réglementer ces échanges. De plus, elle montre aux citoyens que leurs renseignements personnels sont protégés à l’étranger par des mécanismes semblables à ceux en place au Canada. Elle profite aussi aux entreprises en réduisant les coûts liés à la conformité et en augmentant la compétitivité.
En août 2021, le Commissariat a mis à jour plusieurs documents d’orientation pour réitérer quels sont les types de renseignements personnels habituellement considérés comme des renseignements sensibles dans le contexte de la LPRPDE. Il répondait ainsi aux préoccupations européennes concernant le caractère adéquat. Dans les documents mis à jour, on indique que certaines catégories de renseignements personnels seront généralement considérées comme sensibles et doivent faire l’objet d’une meilleure protection – notamment les renseignements sur la santé, les finances, les origines ethniques et raciales, les opinions politiques, la vie sexuelle ou l’orientation sexuelle et les croyances religieuses ou philosophiques ainsi que les données génétiques et biométriques. D’autres pays et juridictions ont défini des catégories précises de renseignements personnels dans leurs lois, comme dans le Règlement général sur la protection des données (RGPD) de l’Union européenne. Les documents d’orientation mis à jour permettent d’expliquer plus clairement le concept de renseignements sensibles au sens de la LPRPDE pour permettre de l’évaluer avec plus d’exactitude par rapport au RGPD.
L’interopérabilité est importante également ici même au pays. À l’heure actuelle, puisque le projet de loi C-11 est mort au feuilleton et que plusieurs propositions ont été mises de l’avant au niveau provincial, il est possible que l’on se retrouve avec une mosaïque de lois sur la protection des renseignements personnels au Canada.
Le projet de loi no 64 au Québec, adopté en septembre 2021, et le récent livre blanc sur la modernisation de la protection de la vie privée publié en juin par l’Ontario exposent tous deux une approche fondée sur les droits et proposent d’élargir la portée de leurs lois dans le domaine. Par exemple, le Québec a élargi la portée de sa loi afin qu’elle s’applique aux partis politiques, comme le préconise aussi le Commissariat. Le projet de loi québécois et le livre blanc ontarien prévoient tous deux un processus décisionnel et un régime de sanctions financières plus efficaces.
Le document d’information intitulé Comparaison entre juridictions, que le Commissariat a présenté au Parlement en même temps que ses modifications proposées au projet de loi C-11, démontre à quel point la Loi sur la protection de la vie privée des consommateurs était fréquemment hors norme et que celle-ci procurait aux Canadiens une protection moindre que les lois d’autres juridictions, au Canada, en Europe et ailleurs. Le Canada aspire à être un chef de file mondial de la protection de la vie privée. Il possède une riche tradition en matière de médiation des différends sur la scène mondiale. Le législateur pourrait préserver l’approche fondée sur les principes, qui n’est pas trop prescriptive, de sa loi sur la protection des renseignements personnels dans le secteur privé, tout en adoptant une approche fondée sur les droits. Il ferait ainsi du Canada un chef de file montrant la voie à suivre grâce à l’élaboration de lois sur la protection des renseignements personnels qui reflètent des approches variées et qui permettent l’interopérabilité.
6e élément : Nécessité de recours rapides et efficaces et rôle du Commissariat
Il n’est pas suffisant d’adopter des lois qui protègent bien la vie privée. Il faut les assortir de mécanismes d’application qui sont rapides et efficaces. Dans plusieurs pays du monde, cela passe par l’octroi à l’autorité administrative compétente de pouvoirs d’ordonnance et de sanctions pécuniaires importantes.
Des lois en ce sens ne visent pas à punir les contrevenants ou à les empêcher d’innover. Elles visent plutôt à assurer une plus grande conformité, condition essentielle à la confiance et au respect des droits.
Il faut dire que plusieurs entreprises et organismes prennent au sérieux leurs obligations à l’égard des renseignements personnels. Mais pas toutes. Il est important que les lois ne confèrent pas d’avantages aux contrevenants.
Les sanctions doivent être proportionnelles aux gains financiers que peuvent réaliser les entreprises en faisant fi de la vie privée. Sans cela, les entreprises ne changeront pas leurs pratiques; les sanctions dérisoires seront un coût qu’elles seront prêtes à payer dans la recherche du profit. Le caractère proportionnel des sanctions est aussi un avantage pour les petites entreprises.
Malheureusement, les dispositions du projet de loi C-11 qui portent sur les sanctions étaient en grande partie vaines. Premièrement, seules quelques infractions à la loi auraient été passibles de pénalités administratives. Ni les obligations se rapportant à la forme ou à la validité du consentement ni les nombreuses exceptions à l’obligation d’obtenir le consentement, pourtant au cœur de la protection des renseignements personnels, n’étaient du nombre.
La violation du principe de la responsabilité qui, comme nous l’avons souligné, est un contrepoids important à la souplesse accrue accordée aux organisations dans le traitement des données, n’y était pas mentionnée non plus.
Le projet de loi C-11 créait également un palier décisionnel supplémentaire sous la forme d’un Tribunal de protection des renseignements personnels et des données. Ce dernier aurait été chargé d’imposer les sanctions pécuniaires et d’instruire les appels interjetés contre les décisions du Commissariat.
Aucun tribunal n’existe sous cette forme ailleurs. Nous estimons que sa création créerait pour les consommateurs des délais inutiles. Pire encore, il inciterait les entreprises à choisir des voies d’appel plutôt que de trouver un terrain d’entente avec le Commissariat lorsque ce dernier s’apprête à rendre une décision défavorable. Par conséquent, nous sommes d’avis que l’ajout de ce tribunal ne ferait que retarder l’accès à la justice pour les consommateurs. Les tribunaux sont tout à fait en mesure de déterminer si les décisions du Commissariat respectent la loi.
Cela ne signifie pas pour autant que nous sommes défavorables à la transparence et à la responsabilité. Au contraire, nous aimerions consulter les intervenants pour élaborer des règles de pratique propres à assurer l’équité pour les parties lors d’instances qui peuvent mener à l’imposition d’ordonnances et de sanctions.
Enfin, le projet de loi C-11 aurait imposé plusieurs nouvelles responsabilités au Commissariat, y compris : l’obligation d’examiner les codes de pratique et les programmes de certification et de donner des conseils aux organisations, à leur demande, sur leur programme de gestion de la vie privée; l’obligation de se prononcer sur les plaintes avant que les consommateurs puissent exercer un droit privé d’action; et l’obligation de se prononcer dans des délais stricts.
La possibilité de collaborer avec les entreprises pour s’assurer que leurs activités sont conformes à la loi serait une bonne chose. Toutefois, l’ajout de l’ensemble de ces responsabilités non discrétionnaires, sans accorder au Commissariat le pouvoir de gérer sa charge de travail, pose problème.
Les organismes de réglementation efficaces sont ceux qui établissent l’ordre de priorité de leurs activités en fonction du risque. À l’instar d’autres organismes de réglementation, le Commissariat doit disposer du pouvoir discrétionnaire voulu pour gérer sa charge de travail de sorte qu’il soit en mesure de répondre aux demandes des organisations et aux plaintes des consommateurs de la façon la plus efficace et la plus efficiente possible, tout en réservant une partie de son temps aux activités qu’il entreprend sur la base de son évaluation du risque pour les Canadiens. La loi à venir devra en tenir compte.
Nous croyons qu’il est possible d’apporter des améliorations substantielles à ce projet de loi à même sa structure actuelle, sans qu’il soit nécessaire de tout recommencer. Il s’agirait du moyen le plus efficace et le plus rapide pour la suite des choses et nous sommes prêts à collaborer avec le gouvernement à cet égard.
Pour en savoir davantage
Consultation sur l’intelligence artificielle
Dans le cadre de son travail d’analyse relativement à la réforme législative, le Commissariat a lancé une consultation publique pour examiner l’intelligence artificielle (IA) dans le secteur privé. Nous avons reçu 86 mémoires et tenu deux séances de consultation en personne. Des observations nous sont parvenues du monde des affaires, du milieu universitaire, du milieu juridique et de la société civile. À la lumière de celles-ci, nous avons formulé en novembre 2020 des recommandations pour réglementer cette technologie, dont certaines ont été intégrées dans nos recommandations plus générales sur le projet de loi C-11. Notre approche à l’égard de l’IA dans le secteur privé a également permis d’éclairer les recommandations que nous avons publiées en mars 2021 concernant la modernisation de la Loi sur la protection des renseignements personnels.
L’IA est devenue une réalité de l’ère numérique. De nombreux services que les gens utilisent au quotidien s’appuient maintenant sur cette technologie. L’IA renferme le potentiel de répondre à certaines des questions les plus urgentes de l’heure, qui touchent à la fois les individus et la société dans son ensemble. Elle permet d’améliorer l’efficacité du secteur public et du milieu des affaires, et donne accès à des méthodes et à des solutions nouvelles dans des domaines comme la santé publique, la médecine et le développement durable. Elle permet aussi d’accroître l’efficacité, la productivité et la compétitivité dans leur ensemble, facteurs essentiels à la reprise économique après la pandémie et à la prospérité à long terme.
Toutefois, les utilisations de l’IA qui font appel aux renseignements personnels peuvent avoir de graves répercussions sur la vie privée. Les modèles d’IA ont la capacité d’analyser, d’inférer et de prévoir certains aspects du comportement et des intérêts des individus.
Les systèmes d’IA peuvent utiliser ces indications pour prendre des décisions automatisées au sujet des individus, notamment pour déterminer s’ils recevront ou non une offre d’emploi, s’ils sont admissibles à un prêt, s’ils doivent payer une prime d’assurance plus élevée ou s’ils sont soupçonnés d’avoir un comportement illégal. Ces décisions ont des répercussions réelles sur la vie des gens. La manière dont elles sont prises soulève des préoccupations ainsi que des questions d’équité, d’exactitude, de biais et de discrimination.
Nous avons conclu que l’IA ébranle sérieusement tous les principes fondamentaux de protection de la vie privée énoncés dans la LPRPDE. Plus précisément, elle fait ressortir les lacunes du principe du consentement, autant au chapitre de la protection de la vie privée des individus que de la matérialisation de ses avantages.
Nous avons principalement recommandé ce qui suit :
- modifier la LPRPDE afin de permettre l’utilisation de renseignements personnels aux fins d’une innovation responsable et pour des usages socialement bénéfiques;
- créer le droit d’obtenir une explication valable à la suite d’une prise de décisions automatisée et le droit de contester ces décisions pour s’assurer qu’elles sont prises de manière équitable sur la base de renseignements exacts;
- obliger les organisations à faire en sorte que les systèmes d’IA, dès la conception, assurent la protection de la vie privée et des droits de la personne.
S’agissant de l’IA, le projet de loi C-11 proposait une approche accordant la souplesse voulue pour utiliser les renseignements dépersonnalisés aux fins de recherche et développement, tout en maintenant ces renseignements sous l’égide de la loi. Compte tenu du risque constant de réidentification des renseignements dépersonnalisés, cette approche était encourageante.
Toutefois, des améliorations considérables s’imposaient sur d’autres aspects du projet de loi C-11 concernant l’IA afin de protéger adéquatement le droit à la vie privée. Ce projet de loi renfermait des dispositions sur la transparence en lien avec l’IA, mais il n’exigeait qu’une explication de la façon dont les renseignements personnels avaient été obtenus, et non de la façon dont un système d’IA les avait utilisés pour en arriver à une décision. En outre, le projet de loi C-11 n’imposait aucune obligation de traçabilité algorithmique qui aurait pu appuyer ces explications ou permettre aux individus de contester ces décisions ou de demander qu’elles soient revues par un être humain. Il manquait aussi de clarté en ce qui a trait au rôle des données inférentielles dans la catégorisation et le profilage des individus.
Le risque que les systèmes d’IA portent atteinte à la dignité humaine, à l’autodétermination et à l’équité montrent une fois de plus pourquoi une approche fondée sur les droits s’impose dans la législation sur la protection des renseignements personnels. Autrement, l’IA peut avoir de graves répercussions non seulement pour les individus, mais aussi pour la société en général, par exemple en accroissant les inégalités, la discrimination et les disparités sociales.
Pour en savoir davantage
- Un cadre réglementaire pour l’IA : recommandations pour la réforme de la LPRPDE, novembre 2020
- Propositions stratégiques aux fins de la réforme de la LPRPDE élaborées en réponse au rapport sur l’intelligence artificielle, novembre 2020
- Résolution sur la responsabilisation dans le développement et l'utilisation de l'intelligence artificielle, octobre 2020
Protection de la vie privée et partis politiques fédéraux
Une question importante n’est pas traitée actuellement dans les lois fédérales sur la protection des renseignements personnels : celle de leur application aux partis politiques. Le projet de loi C-11 n’apportait aucune avancée à cet égard.
Par ailleurs, en mai 2021, le Commissariat a mis un terme à une affaire relativement à une plainte déposée contre le Nouveau Parti démocratique du Canada, le Parti libéral du Canada et le Parti conservateur du Canada concernant des infractions alléguées à l’actuelle LPRPDE.
Selon le plaignant, les trois partis contrevenaient à la LPRPDE, car ils n’informaient pas correctement les Canadiens sur la manière dont ils recueillent, utilisent ou communiquent leurs renseignements personnels dans le cadre de publicités politiques, notamment des publicités « microciblées » fondées sur des profils individuels détaillés.
Le plaignant alléguait aussi que les activités menées par les partis constituaient des activités commerciales et étaient, en conséquence, régies par la LPRPDE.
Après avoir étudié la grande quantité de déclarations et d’éléments de preuve recueillis, le Commissariat a conclu que les activités des trois partis en cause dans la plainte n’étaient pas de nature commerciale au sens de la présente Loi.
Nous sommes convaincus que les partis politiques devraient être assujettis aux lois sur la protection des renseignements personnels, comme c’est le cas dans certaines provinces et comme nous l’avons recommandé dans notre mémoire sur le projet de loi C-11. Toutefois, nous sommes tenus d’appliquer la loi actuelle et c’est pourquoi nous avons rejeté la plainte déposée contre certains grands partis fédéraux.
Pour en savoir davantage
- Lettre à la suite d’une plainte contre des partis politiques fédéraux, le 25 mars 2021
- Conseils sur la protection des renseignements personnels pour les partis politiques fédéraux, le 1er avril 2019
Réforme de la Loi sur la protection des renseignements personnels
Penchons-nous maintenant sur la réglementation de la protection des renseignements personnels dans le secteur public et sa réforme. Le document de consultation du gouvernement concernant la réforme de la Loi sur la protection des renseignements personnels répondait beaucoup mieux à de nombreuses préoccupations semblables à celles soulevées dans le contexte du projet de loi C-11.
Ce document proposait des modifications substantielles qui représentaient des progrès considérables vers l’adoption d’une loi en phase avec les normes modernes de protection des données.
Contrairement au projet de loi C-11, le document de consultation proposait l’adoption d’une clause d’objet selon laquelle l’un des principaux objectifs de la loi consisterait à « protéger la dignité humaine, l’autonomie personnelle et l’autodétermination », reconnaissant ainsi la vaste portée du droit à la vie privée en tant que droit de la personne.
Le gouvernement proposait également des mesures visant à assurer une véritable surveillance et des recours rapides et efficaces, par exemple l’attribution au Commissariat du pouvoir de rendre des ordonnances et l’élargissement des droits de recours devant la Cour fédérale.
Comme nous l’avons souligné dans notre mémoire en réponse à la consultation gouvernementale, l’une des modifications les plus importantes proposées consistait à intégrer à la loi certains principes fondamentaux et largement reconnus de la protection des données – entre autres un nouveau principe de « détermination des fins de la collecte » en plus du principe de « limitation de la collecte » afin de restreindre les types et la quantité de renseignements personnels que les organismes publics fédéraux peuvent recueillir. En outre, aux termes de la norme proposée pour la justification de la collecte, un organisme public fédéral ne pourrait recueillir des renseignements personnels que s’il lui est « raisonnablement requis » de le faire dans le cadre de ses fonctions ou activités ou si la collecte de ces renseignements est expressément autorisée par une autre loi fédérale.
Nous avons souligné que la transition vers la numérisation a grandement facilité la collecte, l’utilisation, la communication et la conservation des renseignements par le gouvernement et que l’imposition d’une norme plus rigoureuse pour la collecte limiterait la possibilité de collecte excessive par les institutions fédérales.
Notre enquête portant sur la collecte, par Statistique Canada, des renseignements personnels de Canadiens auprès d’un bureau de crédit et sur la collecte prévue, par cet organisme, de renseignements personnels auprès d’institutions financières ont fait ressortir l’importance de limiter la collecte des renseignements personnels à ce qui est nécessaire et proportionnel dans les circonstances. Cette importance a aussi été mise en évidence dans la majeure partie du travail que nous avons effectué en lien avec la pandémie, notamment celui portant sur l’application de notification d’exposition Alerte COVID et les discussions en cours sur les passeports vaccinaux.
En fait, le cadre d’évaluation que nous avons publié en avril 2020 afin d’aider les institutions fédérales qui doivent répondre à la crise de la COVID-19 rejoint plusieurs mesures proposées dans les mémoires que nous avons présentés concernant la réforme des lois. Par exemple, nous avons recommandé que la collecte de renseignements personnels par les institutions fédérales soit régie par le critère de nécessité et de proportionnalité, qui est largement accepté et qui constitue la norme dans bon nombre de lois à l’échelle internationale et, au Canada, à l’échelle provinciale.
D’après le ministère de la Justice, la norme correspondant à ce qui est « raisonnablement requis » qu’il proposait pour la collecte serait en pratique « essentiellement équivalente aux normes internationales reconnues ».
Si tel est le cas, nous sommes favorables à la proposition de rehausser la norme actuelle (pertinence) et convenons qu’une norme correspondant à ce qui est « raisonnablement requis » peut fonctionner si son but est d’ajouter de la clarté à la loi tout en produisant des résultats semblables à ceux obtenus selon les principes de nécessité et de proportionnalité établis de longue date.
Pour assurer l’harmonisation avec les normes modernes, nous avons recommandé que des modifications aux facteurs proposés soient prises en compte dans le cadre de l’évaluation du caractère « raisonnablement requis », entre autres que les fins exactes, explicites et licites soient précisées, que les renseignements personnels recueillis soient limités à ce qui serait raisonnablement requis pour atteindre ces fins et que l’atteinte à la vie privée de l’individu ou à ses autres droits et intérêts fondamentaux soit proportionnelle aux intérêts publics en jeu.
Le document de consultation renfermait aussi des propositions visant à répondre aux préoccupations concernant l’IA, notamment une harmonisation avec les instruments de politique fédéraux afin que les individus, lorsqu’ils sont en interaction avec ces systèmes, en soient conscients, sachent quels types de renseignements personnels sont utilisés et leur provenance, et comprennent le mode de fonctionnement des systèmes en général. Ce sont là de bons objectifs pour accroître la transparence, mais il est important de conférer aux individus des droits donnant ouverture à des recours étant donné que l’utilisation d’un processus décisionnel automatisé fondé sur les renseignements personnels peut constituer le facteur qui déterminera si un individu recevra ou non des services gouvernementaux ou des prestations ou encore s’il est admissible à divers programmes.
Tout comme nos recommandations concernant le projet de loi C-11, le mémoire que nous avons présenté en mars 2021 au ministère de la Justice montrait bien que, pour nous, les individus devraient avoir droit à une explication valable quant aux décisions automatisées (il devrait y avoir une norme quant au degré de précision de cette explication) et être habilités à contester ces décisions. Ces droits sont importants pour donner l’assurance que les principes d’exactitude et de responsabilité, deux principes traditionnels de protection des données, permettent de continuer à protéger adéquatement la vie privée dans le contexte de l’IA, qui remet fondamentalement en cause ces principes de protection de la vie privée. Ces questions sont particulièrement importantes dans le secteur public pour assurer la justice naturelle et l’équité procédurale.
Nous nous réjouissons de la collaboration continue avec le ministère de la Justice à l’égard de cette importante initiative pour les Canadiens afin de mettre en place de rigoureuses mesures de protection de leur droit à la vie privée.
Pour en savoir davantage
- Mémoire du Commissariat à la protection de la vie privée du Canada au ministre de la Justice et procureur général du Canada, le 22 mars 2021
Examen de la Loi sur l’accès à l’information
La Loi sur l’accès à l’information (LAI) et la Loi sur la protection des renseignements personnels jouent toutes deux un rôle central dans la préservation de notre droit à l’information alors que notre société devient de plus en plus numérique. Ces deux lois sont essentielles pour favoriser un gouvernement plus ouvert et plus transparent et défendre les principes de la démocratie.
Notre régime fédéral d’accès à l’information garantit que le gouvernement communique aux Canadiens des renseignements transparents, accessibles et fiables. Lorsque des renseignements personnels sont en jeu, les lois canadiennes protégeant ce type de renseignements limitent les circonstances dans lesquelles ils peuvent être communiqués.
En février 2021, le Commissariat a participé à l’examen de la Loi sur l’accès à l’information effectué par le Secrétariat du Conseil du Trésor. Cet examen prescrit par la loi donnait l’occasion d’examiner des questions qui se recoupent dans ces deux lois.
Dans notre mémoire, nous nous sommes dits favorables à la modernisation des lois canadiennes régissant l’accès à l’information pour favoriser une plus grande ouverture et une plus grande transparence, mais nous avons précisé que cela ne doit pas se faire au détriment de la vie privée.
Nous avons souligné que des lois modernes sur l’accès à l’information et la protection des renseignements personnels sont nécessaires pour nous permettre de tirer profit des données tout en préservant nos valeurs démocratiques et la protection de nos droits dans un environnement numérique.
En raison des nombreux recoupements entre la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels – particulièrement en ce qui concerne les concepts de dépersonnalisation et de renseignements accessibles au public ainsi que la définition de « renseignements personnels » –, nous avons fortement recommandé de modifier les deux lois simultanément. Il s’agit d’une approche fondamentale afin que ces lois continuent de former un code homogène de droits en matière d’information. C’est pourquoi le Commissariat à la protection de la vie privée du Canada et le Commissariat à l’information du Canada ont conclu un protocole d’entente afin de cerner plus facilement les situations où le Commissariat à l’information pourrait consulter le Commissariat à la protection de la vie privée sur des questions qui se recoupent et de donner une orientation le cas échéant.
Il convient également d’accorder une plus grande attention à la façon de trouver un équilibre entre des intérêts divergents qui entrent en jeu au chapitre de la protection de la vie privée et de l’accès à l’information dans le contexte de la communication de renseignements dans l’intérêt public.
Soulignons que le ministère de la Justice a fait savoir qu’il tiendra compte des commentaires reçus lors de l’examen de la LAI lorsqu’il entreprendra son examen de la Loi sur la protection des renseignements personnels. Nous espérons que ces examens seront l’occasion pour les deux ministres responsables d’aborder l’interaction entre ces deux lois en procédant à des modifications simultanées.
Pour en savoir davantage
- Mémoire présenté dans le cadre de l’examen de la Loi sur l’accès à l’information, le 17 février 2021
Autres initiatives législatives au Canada
Au cours de la dernière année, plusieurs provinces se sont engagées dans la bonne direction pour améliorer leurs lois sur la protection des renseignements personnels afin de mieux protéger les Canadiens.
Au Québec, le gouvernement, grâce à l’adoption du projet de loi no 64, a conféré aux citoyens des droits exécutoires clairement définis, par exemple le droit à l’effacement. En vertu de dispositions qui entreront en vigueur dans deux ans, les pouvoirs de contrôle conférés à la Commission d’accès à l’information (CAI) seront aussi considérablement accrus.
En septembre 2020, le commissaire Therrien a comparu devant la Commission des institutions de l’Assemblée nationale du Québec alors que ce projet de loi était à l’étude. Il a alors souligné que plusieurs éléments vont dans le sens des propositions de réforme des lois fédérales présentées par le Commissariat.
Par exemple, le projet de loi no 64 prévoit des dispositions encadrant le profilage et protégeant le droit à la réputation. Ces dispositions cadrent avec notre approche d’une législation fondée sur les droits. En plus d’assujettir les partis politiques à la loi applicable au secteur privé, il établit un processus décisionnel et un régime de sanctions financières plus efficaces.
Le Commissariat a aussi participé à la consultation publique menée par le comité spécial chargé de l’examen de la Personal Information Protection Act de la Colombie-Britannique.
Dans notre mémoire, nous avons repris plusieurs observations formulées dans celui que nous avons présenté au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique sur le projet de loi C-11. Nous y avons notamment appuyé les recommandations de Michael McEvoy, commissaire à l’accès à l’information et à la protection de la vie privée de la Colombie-Britannique. Ces recommandations portaient entre autres sur les avantages fondamentaux d’un régime de déclaration obligatoire des atteintes à la vie privée, sur la nécessité de mécanismes modernes d’application de la loi prévoyant le pouvoir de rendre des ordonnances et la capacité d’imposer des sanctions administratives pécuniaires, ainsi que sur la nécessité d’assurer une coordination à l’échelle nationale et internationale pour protéger efficacement la vie privée dans l’économie numérique d’aujourd’hui.
Enfin, le gouvernement de l’Ontario a publié en juin 2021 un livre blanc sollicitant l’avis des Ontariens et de divers intervenants sur la teneur d’une loi moderne sur la protection des renseignements personnels dans le secteur privé ontarien. Entre autres, conformément aux recommandations du Commissariat à la protection de la vie privée du Canada sur le projet de loi C-11, le livre blanc propose que l’Ontario établisse un droit fondamental à la vie privée comme principe sous-jacent à une nouvelle loi, garantissant ainsi la protection des Ontariens. La proposition prévoit aussi des recours plus efficaces que ceux figurant dans le projet de loi C-11, plus précisément des sanctions imposées par le commissaire à l’information et à la protection de la vie privée de l’Ontario au lieu du modèle de tribunal prévu dans ce projet de loi. En septembre 2021, la commissaire à l’information et à la protection de la vie privée de l’Ontario a publié sa réponse au livre blanc en exhortant le gouvernement provincial à poursuivre ses démarches malgré l’incertitude de la réforme législative à l’échelon fédéral.
Pour en savoir davantage
- Comparution devant la Commission des institutions de l’Assemblée nationale du Québec au sujet du projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, le 24 septembre 2020
- Questions et réponses – projet de loi no 64, le 24 septembre 2020
- Déclaration devant le Comité spécial d’examen de la Personal Information Protection Act de la Colombie-Britannique, le 22 juin 2021
Conclusion
Au Canada, nous vivons maintenant une quatrième révolution industrielle. Partout au pays, dans les grandes villes comme dans les communautés nordiques les plus reculées, les technologies numériques sont adoptées à un rythme effréné. Les nouvelles technologies peuvent manifestement procurer des avantages économiques et sociaux considérables, mais elles présentent aussi d’énormes défis au chapitre des normes juridiques et sociales qui protègent les valeurs fondamentales des Canadiens.
Le droit à la vie privée est un droit fondamental reconnu comme tel par le Canada en tant que signataire de la Déclaration universelle des droits de l’homme, qui a été proclamée en 1948. Ce droit n’est rien de moins qu’un préalable à la liberté de vivre et de se développer de façon autonome comme personne, à l’abri de la surveillance de l’État ou d’entreprises commerciales, tout en participant volontairement et activement aux activités courantes, et de plus en plus numériques, d’une société démocratique moderne.
Ce n’est que par le respect des valeurs et des droits qui leur sont chers que les Canadiens seront en mesure de profiter en toute sécurité des avantages de ces technologies. Malheureusement, des acteurs malveillants ont miné notre confiance et, sans une réforme des lois, la confiance continuera de s’effriter.
Le législateur a l’occasion de restaurer et d’accroître la confiance à l’égard de notre économie numérique. On pourra y arriver si nos lois intègrent les valeurs canadiennes fondamentales, comme le respect des droits de la personne.
Le Commissariat est déterminé à collaborer avec le gouvernement et le Parlement pour élaborer des lois qui protégeront efficacement le droit à la vie privée des Canadiens dans un environnement numérique en constante évolution.
La protection de la vie privée en chiffres
Plaintes en vertu de la LPRP acceptées | 827 |
---|---|
Plaintes en vertu de la LPRPDE acceptées | 309 |
Rapports d’atteintes à la sécurité des données reçus en vertu de la LPRPDE | 782 |
Plaintes en vertu de la LPRP fermées par règlement rapide | 441 |
Plaintes en vertu de la LPRPDE fermées par règlement rapide | 210 |
Activités de liaison des services-conseils avec le secteur privé | 13 |
Plaintes en vertu de la LPRP fermées à l’issue d’une enquête officielle | 414 |
Plaintes fondées déposées en vertu de la LPRP | 64 % |
Plaintes en vertu de la LPRPDE fermées à l’issue d’une enquête officielle | 86 |
Plaintes fondées déposées en vertu de la LPRPDE | 73 % |
Lois, projets de loi et études parlementaires examinées sous l’angle de leurs répercussions sur la vie privée | 17 |
Rapports d’atteintes à la sécurité des données reçus en vertu de la LPRP | 280 |
Avis donnés à des organisations du secteur public à la suite de l’examen d’une EFVP ou d’une consultation à cet égard | 136 |
Annonces et communiqués diffusés | 54 |
Évaluations des facteurs relatifs à la vie privée (EFVP) reçues | 81 |
Communications de renseignements dans l’intérêt public par les institutions fédérales | 491 |
Demandes d’information | 7 090 |
Gazouillis envoyés | 443 |
Activités de liaison des services-conseils avec le secteur public | 109 |
Comparutions devant des comités parlementaires sur des questions touchant les secteurs privé et public | 3 |
Allocutions et présentations | 32 |
Abonnés sur Twitter | 18 616 |
Consultations du site Web | 2 491 736 |
Consultations du blogue | 26 754 |
Publications diffusées | 1 260 |
La Loi sur la protection des renseignements personnels : rétrospective de l’exercice
Dans le secteur public, une large part du travail du Commissariat en 2020-2021 a continué de porter sur des enjeux de vie privée liés à la pandémie de COVID-19. En collaboration avec de nombreux partenaires au Canada et à l’étranger, nous avons consacré des efforts considérables à faire en sorte que les principes de protection de la vie privée soient pris en compte et respectés dans les initiatives de santé publique, par exemple en ce qui concerne les technologies de traçage des contacts, les passeports vaccinaux, les questions frontalières, le rôle des sociétés de télécommunications et le milieu de travail. Nous avons reçu un nombre accru de demandes pour des avis et de la consultation, ce qui a donné lieu à davantage d’évaluations des facteurs relatifs à la vie privée (EFVP) et de services-conseils fournis par le Commissariat sur divers enjeux, notamment dans le domaine de la sécurité publique et de la sécurité nationale. En revanche, le nombre d’atteintes à la vie privée qui nous ont été déclarées dans le secteur public a diminué, bien que ces atteintes continuent d’avoir lieu, ce qui est une source de préoccupations. Nous avons surpassé nos objectifs de réduction de l’arriéré et peaufiné les processus de traitement des plaintes pour réaliser des gains d’efficacité, par exemple en améliorant la collecte d’information en amont pour nos enquêtes et en ayant recours à différentes stratégies, comme le règlement rapide.
La section qui suit présente des initiatives clés menées sous le régime de la Loi sur la protection des renseignements personnels en 2020-2021.
Pleins feux sur le travail lié à la pandémie
Depuis le début de la pandémie de COVID-19, le Commissariat insiste sur la façon dont on peut – et on devrait – continuer de protéger les renseignements personnels en adoptant une approche souple et contextuelle durant une grave situation d’urgence sanitaire nationale. La protection de la vie privée n’est pas un obstacle à la santé publique. En 2020, nous avons démontré l’utilité de mesures pour protéger la vie privée et renforcer la confiance du public à l’égard des initiatives gouvernementales de santé publique. Depuis le début de la pandémie, les Canadiens montrent qu’ils continuent de se soucier de la protection de leurs renseignements personnels dans ce contexte. Nous savons maintenant que la santé publique et la protection de la vie privée peuvent aller de pair.
La pandémie a donné lieu à toute une gamme d’initiatives fédérales susceptibles d’avoir des répercussions sur la vie privée.
Le gouvernement du Canada a collaboré avec le Commissariat dans de nombreux dossiers, dont ceux portant sur le suivi et le traçage des cas de COVID-19, les contrôles frontaliers et les initiatives d’aide financière pendant la crise économique. Nous avons notamment eu des échanges soutenus concernant l’application gouvernementale de notification des expositions à la COVID-19.
En général, le gouvernement a consulté le Commissariat lors de l’élaboration d’initiatives clés liées à la COVID-19, telles qu’Alerte COVID, des programmes de prestations et, plus récemment, la preuve de vaccination. Comme toujours, nous recommandons que le Commissariat soit consulté aussitôt que possible au sujet d’initiatives susceptibles d’avoir une incidence sur la vie privée des Canadiens et que des évaluations des facteurs relatifs à la vie privée soient menées avant la mise en œuvre.
Santé Canada – application Alerte COVID
Nous continuons de fournir des conseils à Santé Canada sur l’application Alerte COVID, une application nationale de notification d’exposition à la COVID-19, au fur et à mesure qu’elle évolue et que de nouvelles fonctions s’ajoutent.
Lors de l’examen initial des risques d’atteinte à la vie privée, et des mesures en place pour les atténuer, nous nous sommes basés sur la déclaration commune des commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée publiée en mai 2020, intitulée Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires. Il en sera plus amplement question plus loin dans ce rapport.
Au terme de cet examen, nous avons soutenu l’utilisation de l’application en nous fondant sur le fait que cette utilisation serait volontaire, d’une part, et dans la mesure où l’application serait efficace pour réduire la transmission du virus, d’autre part. Notre rapport annuel 2019-2020 contient des précisions à cet égard.
Nous avons formulé un certain nombre de recommandations lors de nos discussions avec Santé Canada, lesquelles ont été mises en œuvre. Nous avons recommandé au gouvernement fédéral de surveiller de près l’application et de mettre celle-ci hors service si son efficacité ne pouvait être démontrée.
Au moment de la rédaction du présent rapport, Santé Canada procédait à l’évaluation de l’application, à laquelle prenait part le Commissariat. La conception et la mise en œuvre de l’application étaient à l’étude pour en évaluer l’efficacité, s’assurer que les principes de nécessité et de proportionnalité avaient été respectés, et vérifier la conformité aux principes énoncés dans la déclaration commune des commissaires fédéral, provinciaux et territoriaux. À notre avis, une démonstration solide de l’efficacité de l’application sera un élément clé de l’évaluation. Il est prévu que l’évaluation se termine au quatrième trimestre de 2021.
Pour en savoir davantage
- Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires, le 7 mai 2020
- Examen de l’application Alerte COVID par le Commissariat à la protection de la vie privée du Canada, le 31 juillet 2021
- Lettre aux porte-parole de l’Opposition officielle, le 20 août 2020
- Lettre aux membres des comités, 27 août 2020
Agence de la santé publique du Canada – passeport vaccinal
À mesure que la réponse à la pandémie évolue, les gouvernements au Canada et ailleurs dans le monde s’intéressent de plus en plus à l’idée d’un certificat ou d’une preuve de statut vaccinal, parfois appelé « passeport vaccinal ». Les discussions portent sur la création et l’utilisation de cet outil pour assurer une reprise économique et des pratiques commerciales plus normales de façon sécuritaire.
Le Commissariat évalue la viabilité d’un passeport ou d’un certificat vaccinal dans le contexte canadien, en particulier sous l’angle de la nécessité de la mesure et de son efficacité afin de permettre des activités sécuritaires, ainsi que de la proportionnalité entre l’objectif et la collecte de renseignements sensibles reliés à la santé.
En mai 2021, nous avons publié une déclaration commune avec nos homologues provinciaux et territoriaux pour énoncer les principes fondamentaux de protection de la vie privée à respecter dans l’élaboration d’un passeport vaccinal. On trouvera plus de précisions à ce sujet dans la section du présent rapport portant sur la coopération avec des autorités canadiennes.
Au moment de rédiger le présent rapport, nous poursuivions nos discussions au sujet de cette initiative avec le gouvernement du Canada et nos homologues provinciaux et territoriaux.
Pour en savoir davantage
Agence de la santé publique du Canada – améliorations à la frontière canadienne en réponse à la COVID-19
Au début de 2020, en réponse à la pandémie de COVID-19, le gouvernement du Canada a annoncé de nouvelles règles applicables aux voyages internationaux. Il incombe à l’Agence de la santé publique du Canada (ASPC) de s’assurer que les exigences en matière de quarantaine sont respectées et que les vérifications de conformité sont effectuées auprès des voyageurs entrant au Canada.
Le Commissariat a consulté régulièrement l’ASPC et ses partenaires chargés de l’application de la loi au moment de la mise en œuvre de nouvelles mesures liées à la COVID-19 à la frontière canadienne en vertu de la Loi sur la mise en quarantaine.
Au début, il s’est notamment entretenu avec l’Agence des services frontaliers du Canada (ASFC) au sujet du formulaire papier sur le coronavirus remis aux voyageurs entrant au pays en provenance de la province du Hubei, en Chine. Après cette première consultation, les mesures ont évolué et se sont intensifiées rapidement. Par la suite, le Commissariat a formulé des avis et des recommandations portant sur plusieurs étapes de l’application mobile et plateforme Web ArriveCAN de l’ASPC, qui permet aux voyageurs entrant au pays de déclarer leur conformité aux mesures d’isolement obligatoire. Les voyageurs peuvent utiliser l’application ArriveCAN pour transmettre au gouvernement les renseignements obligatoires sur leur voyage à leur arrivée au Canada et pendant la période d’isolement requise.
Conformément au principe de minimisation de la collecte des données, consistant à ne recueillir que ce qui est nécessaire pour atteindre les fins visées, nous avons recommandé à l’ASPC et à ses partenaires de mettre en place des mesures pour prévenir la collecte excessive de renseignements personnels auprès des voyageurs. L’ASPC a accueilli favorablement notre recommandation et y a répondu en limitant les zones de texte libre et en éliminant les sections qui n’étaient pas nécessaires dans son formulaire. Nous avons également conseillé à l’ASPC de s’assurer que les énoncés de confidentialité sont clairs et uniformes dans tous les modes d’interaction avec les voyageurs qui arrivent au pays. Par suite de cette recommandation, elle a mis en place des mesures afin que les agents chargés des vérifications par téléphone auprès des voyageurs leur donnent verbalement les avis de confidentialité.
Nous avons aussi formulé des recommandations à l’égard des processus et procédures pour autoriser l’entrée au pays de voyageurs pour des raisons humanitaires et la levée de la quarantaine dans des circonstances limitées et exceptionnelles. Dans le cadre du programme d’entrée des voyageurs pour des raisons humanitaires, l’ASPC communique des renseignements personnels à des partenaires – les provinces et territoires, l’ASFC ainsi qu’Immigration, Réfugiés et Citoyenneté Canada (IRCC). Nous avons recommandé à l’ASPC de conclure des ententes d’échange de renseignements pour ces communications, afin d’assurer une protection adéquate des renseignements personnels, et par souci de clarté pour les voyageurs touchés pendant la pandémie de COVID-19. L’Agence a indiqué qu’une entente d’échange de renseignements avec l’ASFC au sujet d’ArriveCAN était en cours d’élaboration et s’est engagée à en fournir une copie au Commissariat.
Initiatives de traçage des contacts : Administration canadienne de la sûreté du transport aérien, Élections Canada, Administration portuaire Vancouver Fraser et Secrétariat du Conseil du Trésor du Canada
Plusieurs institutions fédérales ont consulté le Commissariat concernant diverses activités de vérification et de traçage des contacts effectuées dans le milieu de travail, par exemple :
- Le Secrétariat du Conseil du Trésor du Canada (SCT) nous a consultés concernant les outils qui permettent de surveiller et de déclarer les cas de COVID-19 dans l’ensemble de la fonction publique.
- L’Administration canadienne de la sûreté du transport aérien (ACSTA) nous a consultés concernant l’utilisation de registres de traçage des contacts dans ses bureaux pour ses employés ayant reçu un diagnostic de COVID-19.
- Élections Canada nous a consultés concernant des activités de traçage des contacts relativement à deux élections partielles dans la région de Toronto.
- L’Administration portuaire Vancouver Fraser nous a présenté une évaluation de la conformité en matière de protection de la vie privée concernant l’utilisation d’un système électronique de gestion des visiteurs par un tiers pour vérifier si les employés et les visiteurs ont des symptômes de la COVID-19 et alerter les intéressés en cas d’éclosion.
Pour chacune de ces initiatives, le Commissariat a souligné la nécessité de limiter les fins de la collecte des renseignements personnels à l’activité particulière de traçage des contacts. Nous avons aussi conseillé aux institutions de restreindre l’accès à tout registre contenant des renseignements personnels.
De plus, nous avons recommandé aux institutions de limiter dans le temps la collecte de renseignements personnels pour ces activités et d’y mettre fin quand ces renseignements ne sont plus nécessaires. Dans les cas où l’institution a eu recours à un fournisseur tiers pour contribuer aux efforts de traçage des contacts, le Commissariat a recommandé de prévoir dans le contrat avec celui-ci des dispositions strictes sur la protection de la vie privée, par exemple l’établissement de procédures claires à suivre en cas d’atteinte et l’évaluation des contrôles de sécurité des systèmes du fournisseur.
Pour en savoir davantage
On trouvera d’autres exemples d’activités relatives à la COVID-19 dans la section du présent rapport portant sur la coopération avec des autorités canadiennes et étrangères.
Outils de recrutement et d’embauche virtuels : VidCruiter
Les outils et activités d’embauche virtuels gagnent en popularité – en particulier dans le contexte d’une pandémie mondiale et de l’accélération du recours aux outils numériques.
Dans notre rapport annuel 2019-2020, nous avons fait état de consultations avec quatre institutions fédérales – ministère de la Justice, Agence spatiale canadienne, Santé Canada ainsi qu’Emploi et Développement social Canada – sur l’utilisation des services de VidCruiter.
VidCruiter est une entreprise canadienne qui offre des services de recrutement par vidéo et d’autres solutions en matière d’embauche, notamment le filtrage des candidats, la planification des entrevues, ainsi qu’une plateforme pour les entrevues en direct et enregistrées et la vérification des références.
Ce type de plateforme peut aider à surmonter des difficultés inhérentes au processus d’embauche qui sont liées à la disponibilité des candidats et à leur emplacement géographique. Son utilisation présente toutefois certains risques d’atteinte à la vie privée, que les institutions fédérales doivent prendre en compte avant de faire appel à des ressources externes pour leurs processus de dotation.
Plus précisément, nous avons recommandé que les institutions fédérales désireuses d’avoir recours à ces services effectuent une EFVP. Nous avons également publié un bulletin de la LPRP donnant des conseils en matière de protection de la vie privée à l’intention des institutions qui mènent des entrevues d’emploi par vidéo.
En 2020-2021, nous avons reçu six EFVP de la part d’institutions qui mettaient en œuvre VidCruiter : Emploi et Développement social Canada, l’Agence spatiale canadienne, Pêches et Océans Canada, l’Agence du revenu du Canada, Infrastructure Canada et Santé Canada.
Le Commissariat compte poursuivre ses discussions auprès des institutions qui ont recours à ce type d’initiative.
Pour en savoir davantage
- Entrevue d’emploi par vidéo et protection de la vie privée, le 13 février 2020
- Déclaration commune sur les attentes mondiales en matière de respect de la vie privée envers les entreprises de vidéoconférence, le 21 juillet 2020
Autres conseils et activités de sensibilisation à l’intention des institutions fédérales
Notre direction des services-conseils au gouvernement donne des conseils et formule des recommandations aux institutions fédérales sur la façon de cerner, d’évaluer et d’atténuer les risques liés à la collecte, à l’utilisation, à la conservation et à la communication de renseignements personnels pour les besoins d’activités et de programmes gouvernementaux. Elle le fait officiellement dans le cadre de l’examen des EFVP présentées par les institutions en vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée publiée par le SCT, et elle fournit des services-conseils dans un cadre plus officieux à mesure que leurs initiatives évoluent.
Nous encourageons les institutions fédérales à communiquer avec nous dès le début de l’élaboration des programmes qui pourraient susciter des préoccupations sur le plan de la vie privée. Si elles nous consultent d’entrée de jeu, nous pouvons les aider à adopter une approche de protection de la vie privée dès la conception et leur donner en temps opportun des conseils ciblés et pertinents. De plus, le fait que les institutions nous consultent au départ a des répercussions positives sur la qualité des EFVP que nous recevrons par la suite. Cette façon de procéder améliore le processus d’examen et contribue grandement à établir des relations solides entre le Commissariat et les institutions.
Nous constatons avec satisfaction que le nombre de demandes de consultation de la part d’institutions fédérales a augmenté en 2020-2021, notamment en ce qui concerne les programmes liés à la COVID-19 (dont nous avons déjà fait état dans la présente section) et les initiatives de sécurité nationale et d’application de la loi. Nous avons ouvert 109 dossiers de consultation, ce qui représente une hausse importante par rapport aux 66 dossiers de 2019-2020. Nous accueillons favorablement les possibilités supplémentaires de donner une rétroaction en temps opportun sur des activités et programmes nouveaux, en particulier dans le cas des activités de sécurité publique susceptibles de porter atteinte à la vie privée.
Nous avons aussi communiqué de façon proactive avec des institutions fédérales pour leur offrir nos services-conseils. Par exemple, nous avons proposé notre soutien au ministère de la Défense nationale (MDN) et aux Forces armées canadiennes (FAC) dans leur réponse aux recommandations du Comité des parlementaires sur la sécurité nationale et le renseignement, qui ont été présentées dans son rapport spécial d’information sur les citoyens canadiens (CANCIT). Dans ce rapport, le Comité examine la collecte, l’utilisation, la conservation et la communication de renseignements sur les Canadiens dans le contexte des activités de renseignement de défense du MDN et des FAC. Nous avons rencontré les représentants du MDN et des FAC à plusieurs reprises et leur avons donné une rétroaction sur la nouvelle directive fonctionnelle du Chef du renseignement de la Défense, intitulée Directive sur la protection et la gestion de l’information des citoyens canadiens, qui régit ces activités. Cette directive a été élaborée en réponse à des recommandations formulées dans le rapport CANCIT. Nos recommandations visaient principalement à apporter des précisions en ce qui a trait à l’application extraterritoriale de la Loi sur la protection des renseignements personnels, au fondement juridique pour la communication de certains renseignements personnels, ainsi qu’à la limitation de la collecte, aux mesures de protection et à la responsabilité.
Le MDN a pris en compte nos observations et s’est engagé à continuer de consulter le Commissariat sur la directive fonctionnelle. De plus, il a reconnu la nécessité de communiquer plus tôt avec le Commissariat pour le prochain examen de la directive.
EFVP et activités de consultation
Questions d’application de la loi
Nous avons observé une forte augmentation du nombre de consultations portant sur l’adoption et l’adaptation de nouvelles technologies dans le contexte de la sécurité publique et de l’application de la loi. Mentionnons notamment l’expansion des techniques d’identification biométrique comme la reconnaissance faciale, ainsi que l’adoption de nouveaux outils de surveillance et techniques d’analyse de données.
L’évolution et l’expansion de toutes ces technologies peuvent avoir de graves répercussions sur le droit à la vie privée.
Caméras corporelles – déploiement national et projet pilote au Nunavut
Le Commissariat travaille avec la GRC depuis 2010 sur des projets portant sur les caméras corporelles. Nous continuons d’examiner l’utilisation de ces caméras et les projets pilotes connexes, et de donner des conseils à ce sujet.
Les caméras corporelles sont en soi un outil portant atteinte à la vie privée. Les services policiers qui envisagent d’y avoir recours doivent prendre des mesures pour s’assurer que toute utilisation est autorisée par la loi et que les risques d’atteinte à la vie privée sont gérés de façon appropriée. Comme il est indiqué dans le document d’orientation que nous avons publié en 2015 conjointement avec des homologues provinciaux et territoriaux, cette atteinte doit être réduite autant que possible et compensée par des avantages appréciables et précis. Il est question dans ce document de plusieurs principes clés en matière de protection de la vie privée : nécessité et proportionnalité, minimisation des données, mesures de sécurité, conservation, droits d’accès et de recours, gouvernance, responsabilité et transparence.
Depuis plusieurs années, la GRC déploie partout au pays des caméras corporelles de façon discrétionnaire dans certaines situations, principalement lors de manifestations publiques où elle estime que le risque pour le maintien de l’ordre public justifie leur utilisation.
En juin 2020, dans le contexte du vaste mouvement de manifestations d’ampleur internationale dénonçant les interventions policières contre les personnes racisées et le racisme systémique, la GRC a indiqué qu’elle prévoyait déployer des caméras corporelles à la grandeur du pays pour les services généraux fournis par les policiers. Selon la GRC, le programme d’utilisation de ces caméras vise à renforcer la responsabilité ainsi que la transparence et à recueillir des éléments de preuve exacts.
Le Commissariat a communiqué avec la GRC pour lui indiquer qu’il faudrait mener un projet pilote avant de procéder à un déploiement à l’échelle nationale. Nous avons aussi discuté de l’initiative avec la commissaire à l’information et à la protection de la vie privée des Territoires du Nord-Ouest et du Nunavut alors en poste. Il a été question des préoccupations concernant les graves risques d’atteinte à la vie privée que peut poser l’utilisation de caméras corporelles, notamment la possibilité de détournement d’usage et d’érosion de la confiance du public en cas d’utilisation non appropriée des enregistrements. À notre avis, un projet pilote permettrait à la GRC d’effectuer une évaluation préliminaire des risques liés à ses politiques et procédures, et contribuerait à faire en sorte que des mesures de protection de la vie privée soient prévues dans la planification de tout déploiement à l’échelle nationale. La GRC a lancé en novembre 2020 un projet pilote de sept mois à Iqaluit, au Nunavut.
Nous avons rencontré les représentants de la GRC à plusieurs reprises pour discuter des répercussions sur la vie privée du projet pilote et du déploiement national prévu de caméras corporelles. Nous avons formulé des commentaires sur l’ébauche de sa politique nationale qui régira l’utilisation de caméras par les policiers dans l’exercice des fonctions relatives au maintien de l’ordre en général.
Entre autres choses, nous avons souligné que la GRC doit évaluer et atténuer les risques d’atteinte à la vie privée avant de déployer les caméras corporelles, notamment en effectuant une EFVP révisée pour cette activité et une nouvelle EFVP consacrée à la solution de stockage des enregistrements vidéo. Nous lui avons également fait plusieurs recommandations destinées à améliorer la clarté des objectifs de la politique pour indiquer clairement quand les policiers devront activer et désactiver leur caméra. Nous avons aussi recommandé à la GRC de revoir les périodes de conservation de façon à ne conserver que les enregistrements nécessaires. Enfin, nous avons formulé des recommandations pour réduire les risques – limitation de l’utilisation, caviardage des renseignements personnels, responsabilité, transparence et ouverture.
Pour en savoir davantage
- Document d’orientation pour l’utilisation de caméras corporelles par les organismes d’application de la loi, février 2015
- Document d’orientation préliminaire sur la protection de la vie privée à l’intention des services de police relativement au recours à la reconnaissance faciale, juin 2021
Loi de Clare
La GRC a consulté le Commissariat sur son projet visant à modifier la réglementation pour lui permettre de participer aux processus en application de la loi de Clare dans les provinces où ce type de législation a été adoptée et où la GRC agit en tant que service de police local.
La loi de Clare est une initiative de communication de renseignements sur la violence conjugale qui a d’abord été mise en œuvre en Angleterre et au Pays de Galles en 2014. Elle doit son nom à Clare Wood, une femme assassinée par un ex-conjoint dont le passé violent était connu des policiers. En vertu de la loi de Clare, la police peut communiquer à une victime potentielle ou à un tiers les renseignements qui dénotent un risque de violence interpersonnelle.
En adoptant la Interpersonal Violence Disclosure Protocol (Clare’s Law) Act en 2020, la Saskatchewan est devenue la première province canadienne à mettre en vigueur une version de la loi de Clare. Plusieurs autres provinces ont adopté par la suite une loi similaire ou envisagent de le faire. Au départ, la GRC ne participait pas aux régimes provinciaux de communication des renseignements sur le passé violent de conjoints.
La communication de renseignements sur les démêlés d’un individu avec les services de police, y compris les renseignements sur des plaintes n’ayant pas donné lieu à une accusation et sur des accusations n’ayant pas donné lieu à une condamnation, représente manifestement une atteinte à la vie privée de l’individu. En l’absence de limites clairement définies, elle pourrait avoir des répercussions considérables – en particulier si ces renseignements sont inexacts, utilisés à d’autres fins ou communiqués autrement.
Cependant, le droit à la vie privée n’est pas absolu et il fait l’objet d’exceptions prévues dans la loi. Nous reconnaissons que les gouvernements doivent prendre des mesures efficaces pour contribuer à enrayer les actes de violence interpersonnelle. Il est particulièrement important de s’attaquer à ce problème en temps de pandémie, alors que les victimes peuvent subir de la violence pendant un confinement.
Compte tenu de ces questions, nous estimons que dans la communication de renseignements sous le régime de la loi de Clare, il faut soupeser, d’une part, le droit à la vie privée des individus dont les renseignements sont communiqués et, d’autre part, l’impératif de protection d’une personne contre un risque de violence interpersonnelle.
Nous avons transmis à la GRC des observations et des conseils sur la façon dont elle pourrait communiquer des renseignements en vertu de la loi de Clare, tout en respectant les obligations qui lui incombent en vertu de la Loi sur la protection des renseignements personnels.
La GRC a alors modifié son règlement pour faciliter sa participation aux régimes provinciaux de la loi de Clare. Au moment de la rédaction du présent rapport, elle en était aux dernières étapes de l’élaboration d’une EFVP visant à évaluer les répercussions sur la vie privée de sa participation à des processus et à des protocoles sous le régime de la loi de Clare dans les provinces qui ont adopté ce type de loi.
Questions de sécurité nationale
Nous avons observé une augmentation du nombre de demandes de consultation émanant du milieu de la sécurité nationale et du renseignement. Le Commissariat voit d’un bon œil cette volonté accrue de collaborer avec nous. Il a d’ailleurs souligné que les activités de sécurité nationale et du renseignement doivent être équilibrées et proportionnées afin que les droits des Canadiens respectueux des lois ne soient pas mis indûment en péril.
La loi devrait établir des normes claires et raisonnables pour régir la communication, la collecte, l’utilisation et la conservation des renseignements personnels. De plus, la conformité à ces normes devrait faire l’objet de mécanismes d’examen indépendants et efficaces, y compris dans les tribunaux. L’absence de transparence publique associée par nécessité aux activités de sécurité nationale et du renseignement fait ressortir l’importance de ce type de mécanismes de surveillance.
Nous sommes heureux d’avoir la possibilité de collaborer avec l’Office de surveillance des activités en matière de sécurité nationale et de renseignement (OSSNR) sur des questions d’intérêt commun. Le Commissariat et cet organisme canadien formé d’experts indépendants chargés d’examiner toutes les activités dans le domaine ont conclu un protocole d’entente concrétisant leur volonté de travailler en collaboration.
Le Commissariat et l’OSSNR se consultent régulièrement pour discuter de questions d’intérêt commun et coordonner leurs activités d’examen afin d’éviter le double emploi et d’assurer des relations productives avec les institutions. Du point de vue de l’application de la loi, le protocole d’entente jette les bases nécessaires pour mener conjointement un examen de la conformité à la Loi sur la communication d’information ayant trait à la sécurité du Canada. Le rapport à cet égard sera déposé plus tard cette année.
Nos mandats sont étroitement liés, car le travail des organismes de sécurité nationale repose en grande partie sur les renseignements personnels.
Le travail du Commissariat peut bénéficier grandement de l’expertise de l’OSSNR en matière de sécurité nationale et de renseignement, tandis que ce dernier peut bénéficier de notre expertise en matière de protection de la vie privée. Le Parlement a d’ailleurs reconnu cet état de fait en apportant des modifications à la Loi sur la protection des renseignements personnels pour permettre au Commissariat de coordonner ses activités avec celles de l’OSSNR et de lui communiquer des renseignements.
Dans cette optique, les spécialistes en technologie du Commissariat ont établi un partenariat de partage des connaissances avec leurs pairs de l’OSSNR. Ce travail a donné lieu à des discussions sur la manière dont les analystes de la technologie des deux organismes peuvent s’entraider de façon efficace dans le cadre de leurs mandats qui se chevauchent pour renforcer la sécurité des Canadiens et la protection de leur vie privée. Le Commissariat a échangé des renseignements sur l’intelligence artificielle, les technologies de surveillance et sa recherche sur les effets des appareils de l’Internet des objets.
Sécurité publique Canada – mise à jour du Programme de protection des passagers
Le Programme de protection des passagers est un programme de sécurité aérienne destiné à empêcher l’embarquement des personnes susceptibles de menacer la sécurité aérienne ou de voyager par avion dans le but de commettre un acte terroriste. Ce programme contrôle les passagers qui voyagent à destination, en provenance ou à l’intérieur du Canada en fonction de la liste établie en vertu de la Loi sur la sûreté des déplacements aériens (LSDA), communément appelée « liste d’interdiction de vol ».
Depuis 2007, le Commissariat a examiné trois EFVP portant sur le Programme de protection des passagers et formulé des recommandations à ce sujet. Il a aussi procédé à une vérification du programme. Nous répétons depuis le lancement de ce programme que les activités de sécurité nationale doivent être menées dans le respect des droits des voyageurs.
Les modifications apportées récemment à la LSDA ont permis d’apporter des changements au Programme de protection des passagers. Mentionnons, par exemple, l’introduction du Numéro canadien de voyages, nouvel élément d’information qui prévient les retards pour les voyageurs ayant un nom identique ou semblable à celui d’un individu qui figure sur la liste d’interdiction de vol, et l’élaboration de la solution de contrôle centralisé sous le régime de la LSDA, qui relève de Sécurité publique Canada, avec l’aide de Transports Canada et de l’ASFC.
Le Commissariat a examiné les EFVP portant sur les deux programmes et formulé ses observations.
Dans le cadre du programme du Numéro canadien de voyages, les personnes qui ont de la difficulté à voyager parce qu’elles ont un nom identique ou semblable à celui d’un individu qui figure sur la liste d’interdiction de vol peuvent demander un numéro d’identification spécial leur permettant de réserver des vols à destination, en provenance ou à l’intérieur du Canada. Sécurité publique Canada collabore avec des institutions partenaires fédérales pour vérifier les renseignements concernant les demandeurs d’un Numéro canadien de voyages.
Nous avons recommandé à Sécurité publique Canada de mettre à jour le protocole d’entente qu’il a conclu avec ces institutions partenaires pour s’assurer que chaque institution protège adéquatement les renseignements personnels dont elle a la garde, et d’examiner régulièrement les registres de vérification pour surveiller et contrôler l’accès à ces renseignements personnels sensibles. Le Ministère a confirmé avoir mis à jour le protocole d’entente conformément à nos recommandations.
Grâce à la solution de contrôle centralisé, le gouvernement du Canada a davantage de pouvoir sur le processus de contrôle et de mise en correspondance, car les transporteurs aériens n’ont plus accès à la liste établie en vertu de la LSDA.
Les transporteurs aériens transmettent à l’ASFC les renseignements concernant les passagers. La solution informatique adoptée par l’ASFC aux fins du contrôle centralisé évalue ces renseignements pour déterminer s’il pourrait y avoir une correspondance avec la liste établie en vertu de la LSDA.
Nous avons recommandé de régulièrement mener des tests dans le système et de vérifier l’exactitude des données qu’il contient pour avoir l’assurance que les décisions sont prises de façon équitable et en fonction de renseignements aussi exacts et à jour que possible. En réponse, Sécurité publique Canada nous a fourni la preuve que le programme avait été vérifié sur le plan de l’exactitude. Le Ministère a aussi indiqué que tous les organismes partenaires surveilleront continuellement le programme pour s’assurer de régler les problèmes de qualité des données ou les erreurs dans l’information présentée.
Nous avons également recommandé à Sécurité publique Canada d’orienter les transporteurs aériens quant à l’information à inclure dans les avis de confidentialité présentés aux voyageurs qui réservent un vol commercial. Ces avis devraient indiquer clairement aux voyageurs que leurs renseignements personnels sont recueillis, utilisés et communiqués au gouvernement du Canada, et au sein même du gouvernement, et préciser les fins auxquelles ils sont recueillis. Sécurité publique Canada a bien accueilli notre recommandation et confirmé qu’il collabore avec les institutions partenaires pour s’assurer que les transporteurs aériens reçoivent une orientation à cet égard.
Surveillance des médias sociaux
Surveillance des médias sociaux par Immigration, Refugiés et Citoyenneté Canada
En 2020-2021, nous avons examiné une EFVP et mené un processus de consultation auprès d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) sur ses activités de surveillance des médias sociaux.
IRCC surveille les plateformes de médias sociaux pour recueillir des données sur les publications et les commentaires se rapportant à son mandat, à ses politiques et à ses activités. Cette surveillance ne vise pas à recueillir des renseignements concernant des individus ou des clients du Ministère. IRCC a indiqué utiliser des outils de surveillance pour déterminer si des renseignements inexacts sur les politiques et les pratiques d’immigration canadiennes sont diffusés sur les plateformes de médias sociaux et, au besoin, contrer cette désinformation au moyen de messages de communication.
Conformément aux recommandations formulées en 2013 par le Commissariat à l’issue d’une enquête portant sur la collecte par le gouvernement, dans les médias sociaux, de renseignements personnels au sujet d’une militante autochtone, nous avons recommandé à IRCC de s’assurer que des mesures sont en place pour limiter la collecte des renseignements personnels dans les sites de médias sociaux à ceux qui sont manifestement nécessaires pour les activités gouvernementales légitimes et les fins déclarées du programme. Nous lui avons aussi recommandé d’évaluer régulièrement son utilisation des outils de surveillance des médias sociaux pour déterminer si une utilisation continue est justifiée en tant qu’activité nécessaire, proportionnelle et efficace. Enfin, nous avons recommandé à IRCC de faire preuve de transparence envers le public concernant cette activité en affichant dans son site Web un avis de confidentialité clair, en publiant dans son fichier de renseignements personnels une description de l’utilisation des renseignements recueillis dans les sites de médias sociaux et en publiant un résumé de l’EFVP.
Nous avons donné des avis similaires à d’autres institutions, car le gouvernement manifeste un intérêt croissant pour la surveillance des médias sociaux. Nous rappelons à toutes les institutions que la Loi sur la protection des renseignements personnels protège ces renseignements même lorsque le public y a accès. Nous leur rappelons aussi qu’elles ne sont pas autorisées à recueillir des renseignements personnels n’ayant aucun lien direct avec leurs programmes ou activités. De plus, il leur incombe de s’assurer que les renseignements personnels utilisés pour prendre une décision touchant un individu sont aussi à jour et exacts que possible.
La Direction des services-conseils au gouvernement offre des séances de sensibilisation où elle aborde ces activités. Elle intervient auprès des institutions fédérales pour aider les fonctionnaires à comprendre les risques en la matière et à prendre les mesures d’atténuation qui s’imposent.
Communication pour des raisons d’intérêt public en vertu des sous-alinéas 8(2)m) (i) et (ii) de la Loi sur la protection des renseignements personnels et de l’article 37 de la Loi sur le ministère de l’Emploi et du Développement social
Conformément à l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels, la communication des renseignements personnels est autorisée dans les cas où, de l’avis du responsable de l’institution, des raisons d’intérêt public justifieraient nettement une éventuelle atteinte à la vie privée. La Loi autorise aussi leur communication dans les cas où l’individu concerné en tirerait un avantage certain. Il incombe au responsable de l’institution de déterminer si l’intérêt public l’emporte sur le droit à la vie privée. En vertu du paragraphe 8(5) de la Loi, le responsable de l’institution fédérale doit alors donner un préavis au commissaire à la protection de la vie privée. Par ailleurs, l’article 37 de la Loi sur le ministère de l’Emploi et du Développement social prévoit des autorisations similaires concernant la communication de renseignements personnels dans l’intérêt public ainsi que lorsque la communication profiterait nettement au particulier visé par les renseignements. Il impose aussi l’obligation de donner un préavis au commissaire.
En 2020-2021, le Commissariat a reçu 491 préavis de communication de renseignements personnels dans l’intérêt public, ou dans des situations où l’individu concerné en tirait un avantage, comparativement à 611 en 2019-2020.
Il s’agit d’une légère baisse, mais la tendance observée ces dernières années consiste en un grand nombre de communications dans l’intérêt public.
Comme au cours des exercices antérieurs, la majorité (74,5 %) des préavis reçus provenaient d’Emploi et Développement social Canada (EDSC). Par exemple, nous avons été avisés de cas où des clients en détresse de Service Canada avaient menacé de s’infliger des blessures ou proféré des menaces contre d’autres personnes. Ces renseignements sont communiqués aux services policiers locaux pour qu’ils vérifient le bien-être des personnes concernées ou assurent la sécurité d’autres personnes. EDSC aide aussi les services policiers à trouver des personnes disparues et à aviser les proches en cas de décès d’individus.
Outre EDSC, les préavis provenaient principalement du ministère de la Défense nationale (63), suivi d’IRCC (20) et de la GRC (18).
Questions de conformité
Application de la Loi sur la protection des renseignements personnels
En 2020-2021, nous avons accepté 827 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, ce qui représente une hausse de 8 % par rapport aux 761 plaintes acceptées en 2019-2020.
Comme au cours des exercices antérieurs, la majorité des plaintes que nous avons acceptées en 2020-2021 portaient sur l’accès aux renseignements personnels (28 % en 2020-2021 et en 2019-2020) ou mettaient en cause des institutions n’ayant pas donné suite à des demandes d’accès dans les délais prévus par la Loi (38 % en 2020-2021 contre 45 % en 2019-2020).
Améliorations apportées à la réception des plaintes
En ce qui concerne les plaintes présentées au Commissariat au moyen du formulaire en ligne, nous continuons de réduire le nombre d’étapes nécessaires pour la collecte d’information supplémentaire auprès des plaignants et des intimés. Nous y parvenons en orientant mieux les plaignants et en demandant l’information et les documents nécessaires dès le dépôt de la plainte.
Au début de la pandémie, nous avons reçu moins de plaintes. Par ailleurs, certaines institutions ont dû composer avec des priorités opérationnelles liées à la pandémie et n’ont pu collaborer avec nous dans le cadre d’enquêtes. Cette situation était temporaire, car les citoyens, le gouvernement et le Commissariat se sont adaptés par la suite à la nouvelle réalité.
En 2020-2021, nous avons fermé 855 plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, comparativement à 1 335 au cours de l’exercice précédent. Cette baisse est principalement attribuable à des modifications apportées à nos méthodes de calcul pour améliorer l’exactitude et l’uniformité.
Comme il est indiqué dans notre rapport annuel 2019-2020, nous avons ajusté notre manière de consigner les plaintes et les conclusions de nos enquêtes, et d’en rendre compte, pour présenter avec une plus grande exactitude le nombre de personnes qui soulèvent des préoccupations concernant la protection de la vie privée.
Depuis le 1er avril 2019, lorsqu’un individu dépose une plainte portant sur une infraction éventuelle à plusieurs articles de la Loi sur la protection des renseignements personnels ou sur plusieurs demandes d’accès présentées à une même institution, nous traitons le dossier comme une seule plainte. Cette façon de procéder donne un portrait plus cohérent de notre travail sous le régime de la Loi sur la protection des renseignements personnels et de la LPRPDE.
Arriéré de plaintes
En 2019, le Commissariat s’était engagé à réduire de 90 % l’arriéré des enquêtes menées sous le régime de la Loi sur la protection des renseignements personnels et de la LPRPDE. Nous nous sommes attachés en 2020-2021 à réduire notre arriéré de cas remontant à plus de 12 mois.
En dépit de difficultés opérationnelles en raison de la pandémie, nous avons atteint et même légèrement dépassé cet objectif en 2020-2021. Les efforts que nous avons déployés pour fermer les dossiers de l’arriéré expliquent pourquoi notre délai de traitement moyen est passé à 16,3 mois (comparativement à 12,4 mois au cours de l’exercice précédent).
Nous avons obtenu ces résultats en partie grâce à un financement temporaire reçu en 2019 ainsi qu’à l’amélioration de nos processus et au recours continu à des outils d’application de la loi efficaces, comme le mécanisme de règlement rapide.
Enquêtes portant sur des plaintes pour non-respect des délais : présomptions de refus
Par ailleurs, nous avons continué d’avoir recours à l’approche axée sur la présomption de refus dans les cas de plaintes pour non-respect des délais, comme nous l’expliquions dans nos rapports annuels de 2018-2019 et de 2019-2020.
Selon cette approche, si une institution fédérale ne permet pas à un plaignant d’avoir accès aux documents le concernant dans un certain délai, le Commissariat conclura qu’il y a présomption de refus, permettant ainsi que la Cour fédérale soit saisie de l’affaire. La procédure de présomption de refus se traduit en résultats favorables pour le droit à la vie privée, puisqu’elle incite les institutions à répondre aux demandes d'accès dans un délai plus raisonnable et donne aux plaignants le droit de porter l'affaire devant la Cour fédérale lorsqu'elles ne le font pas.
Ce processus demeure un moyen efficace de régler les plaintes. Notre approche axée sur la présomption de refus a considérablement réduit la durée des enquêtes relatives aux délais où nous faisions face à la résistance ou à l’inaction des institutions, ce qui donne l’assurance que l’enquête ne durera pas plus d’un an.
Exercice | Délai de traitement moyen, en mois |
---|---|
2020-2021 | 5,04 |
2019-2020 | 7,50 |
2018-2019 | 6,98 |
2017-2018 | 6,28 |
Règlement rapide
Notre direction des admissions, du règlement et de la conformité, dont fait partie l’équipe de la réception et du règlement rapide des plaintes, est chargée de s’assurer que les plaintes non complexes sont résolues aussi efficacement que possible.
Le mécanisme de règlement rapide s’applique dans les situations où un problème est réglé à la satisfaction du plaignant au début du processus d’enquête et sans que le Commissariat ait à présenter de conclusions. Le règlement rapide continue de faire partie intégrante de nos activités.
Soulignons que nous avons fermé en 2020-2021 plus de la moitié des plaintes par règlement rapide, ce qui constituait un record.
Exercice | Pourcentage des plaintes fermées par règlement rapide |
---|---|
2020-2021 | 52 % |
2019-2020 | 25 % |
2018-2019 | 32 % |
2017-2018 | 37 % |
En plus de maximiser le recours au mécanisme de règlement rapide pour traiter les plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, nous continuons d’avoir recours aux enquêtes sommaires pour conclure plus rapidement des dossiers peu complexes. À l’issue de ce type d’enquête, le Commissariat publie un bref rapport ou lettre de conclusions. Soulignons qu’au cours de l’exercice qui vient de s’écouler, nous avons apporté des changements à notre système de gestion de cas pour rendre compte des enquêtes sommaires, ce qui nous permettra de mieux mesurer le recours à de telles enquêtes.
Exemple de réussite − processus de règlement rapide
Services aux Autochtones Canada revoit les procédures de départ des employés et en rappelle les exigences pour prévenir le risque d’accès non approprié à leur compte de courriel professionnel
Un employé réaffecté de façon temporaire a formulé une plainte contre Services aux Autochtones Canada (SAC) en vertu de la Loi sur la protection des renseignements personnels après avoir appris que ses anciens collègues pouvaient avoir accès à son compte de courriel au sein du Ministère.
L’employé a déclaré l’incident à SAC et déposé la plainte auprès du Commissariat. Nous avons communiqué avec le plaignant, qui a accepté de participer à un processus de règlement rapide sans que le Commissariat n’ouvre une enquête officielle.
Lorsque nous l’avons avisé de la plainte, SAC a effectué un examen afin d’évaluer l’ampleur de l’incident et a pris des mesures correctives pour limiter l’accès aux courriels professionnels de l’employé. Il a notamment modifié le mot de passe de ce compte de courriel sur la recommandation de son service des technologies de l’information (TI).
SAC a indiqué que la demande d’accès au compte de courriel de l’employé avait été approuvée en suivant les processus établis. Le Ministère a fait valoir que les gestionnaires devaient avoir accès aux courriels pour recueillir de l’information sur les dossiers de travail que l’employé en question pourrait ne pas avoir enregistrés dans un dépôt central avant son départ. D’après SAC, il est pratique courante que les gestionnaires aient accès à la boîte de réception des courriels professionnels d’un employé absent pour une longue période. Il est toutefois inhabituel que d’autres employés du Ministère y aient accès. La boîte de réception des courriels du plaignant a été partagée uniquement avec son gestionnaire et non avec d’autres employés.
Le plaignant a demandé à SAC de revoir les politiques et les procédures de sécurité en ce qui concerne les courriels et d’en rappeler les exigences au personnel. La direction du Ministère a acquiescé à sa demande. Pour atténuer tout risque à l’avenir, l’équipe de direction de SAC a également rappelé les procédures de départ à tous les employés de la Direction et souligné l’importance de stocker toute information pertinente du gouvernement du Canada dans le dépôt de documents central de SAC.
Conformément à ces procédures, les fichiers enregistrés par les employés qui quittent le Ministère doivent être dirigés à des employés en service afin que SAC continue d’y avoir accès après leur départ. L’équipe de direction a aussi indiqué aux employés que les comptes de courriel gouvernementaux ne sont pas des comptes personnels et qu’ils devraient être utilisés uniquement pour le travail.
Grâce au processus de règlement rapide, SAC et le plaignant ont pu régler la situation. Il a aussi été possible d’atténuer le risque qu’un tel incident se reproduise en informant la direction et le personnel du problème et en leur donnant une formation sur les pratiques exemplaires en matière de courriel.
Unité de vérification de la conformité
Nous formulons souvent des recommandations aux institutions dans nos rapports de conclusions d’enquête, mais il incombe à ces dernières d’appliquer ces recommandations. Notre unité de vérification de la conformité intervient auprès des institutions fédérales pour vérifier si elles mettent en œuvre les recommandations que nous avons formulées à l’issue d’enquêtes clés menées en vertu de la Loi sur la protection des renseignements personnels. Nous pouvons ainsi déterminer si les institutions fédérales respectent les engagements qu’elles ont pris envers le Commissariat et les Canadiens.
En 2020-2021, dix plaintes ont été acheminées à l’unité de vérification de la conformité, entre autres des plaintes contre le MDN, le Service correctionnel du Canada (SCC), EDSC, l’ARC et la GRC.
Suivi auprès de Statistique Canada pour s’assurer du respect des principes de protection de la vie privée dans la restructuration de projets
En 2018, nous avons enquêté sur des allégations à propos de deux projets de Statistique Canada s’appuyant sur des données administratives dans le but de recueillir l’historique de crédit de citoyens et quantité de renseignements sur les transactions financières, ligne par ligne, auprès des banques, à l’insu des intéressés ou sans leur consentement.
Le Commissariat avait reçu plus de 100 plaintes concernant ces projets. Nous avons conclu que les préoccupations soulevées par des Canadiens étaient manifestement justifiées compte tenu de l’ampleur de la collecte proposée, de la nature très sensible des renseignements en jeu et du fait que ces renseignements porteraient atteinte à la vie privée des individus en présentant un portrait détaillé de leur mode de vie, de leurs choix de consommation et de leurs intérêts privés.
D’après notre enquête, si Statistique Canada était allé de l’avant avec la collecte de données sur les transactions financières, l’organisme aurait dépassé le pouvoir que lui confère la loi relativement à la collecte de renseignements personnels. Nous avons exprimé alors d’importantes préoccupations en matière de protection de la vie privée concernant la nécessité et la proportionnalité des deux projets.
Statistique Canada a accepté de suivre nos recommandations de ne pas mettre en œuvre les projets tels qu’ils avaient été conçus au départ et de collaborer avec nous pour les restructurer de manière à respecter les principes de nécessité et de proportionnalité.
L’organisme progresse dans cette voie. En particulier, il propose maintenant une approche en trois étapes pour les projets en question. La première étape consistera à tester la faisabilité pour orienter la forme que prendront les projets définitifs. Par ailleurs, Statistique Canada a réduit la quantité de renseignements personnels à recueillir au cours de cette étape.
Au fil de nos consultations, Statistique Canada a aussi mis en œuvre plusieurs mesures destinées à améliorer la protection des renseignements personnels. Par exemple, l’organisme a mis sur pied des comités d’éthique internes et externes et créé une initiative de recherche. Il pourra ainsi élaborer une échelle de sensibilité qui l’aidera à guider les gestionnaires appelés à recueillir des données pour les programmes statistiques. De plus, on trouve maintenant dans le site Web de Statistique Canada davantage d’information concernant la protection de la vie privée et la collecte des données.
Malgré les progrès accomplis, nous estimons que les plans de projet comportent encore certaines lacunes :
- Ses objectifs publics ne sont pas énoncés d’une façon explicite, précise et proportionnelle aux répercussions sur la vie privée.
- Statistique Canada n’a pas encore fait la preuve de l’efficacité des projets. On peut donc difficilement déterminer si l’organisme a pris suffisamment soin de déterminer si des moyens portant moins atteinte à la vie privée permettraient d’atteindre les mêmes fins.
- L’organisme n’a pas suffisamment pris en compte les répercussions sur la vie privée.
Nous avons formulé plusieurs recommandations à Statistique Canada pour remédier à la situation. Nous estimons que l’organisme peut encore rectifier le tir et lui avons demandé de nous soumettre à nouveau les plans de projet afin que nous les examinions.
Pour en savoir davantage
- Statistique Canada – Repenser les projets intrusifs de cueillette de données en tenant compte du respect de la vie privée, le 9 décembre 2019
Résumé des examens et enquêtes clés
Problèmes en milieu de travail
Une institution communique des renseignements personnels sensibles concernant une employée sans son autorisation
Nous avons enquêté sur une plainte déposée contre une institution fédérale par une employée alléguant avoir subi une atteinte à sa vie privée lorsque son employeur a communiqué le fait qu’elle était transgenre à son superviseur et à ses collègues, malgré une attente explicite de confidentialité.
La communication en question avait trait à une demande de mutation de la plaignante parce qu’elle avait été victime de harcèlement et de discrimination au travail relativement à son identité de genre.
La plaignante avait demandé que les raisons de sa mutation ne soient pas communiquées à ses nouveaux superviseurs ou collègues. Son employeur lui avait donné l’assurance que le dossier serait traité en toute discrétion et confidentialité compte tenu de sa nature sensible.
Néanmoins, lorsqu’elle est entrée en fonction dans son nouveau poste, il était évident aux yeux de la plaignante que son nouveau superviseur et plusieurs de ses nouveaux collègues savaient qu’elle était transgenre et connaissaient les raisons de sa mutation.
À l’issue de l’examen du dossier à l’interne, l’institution a déterminé que certains gestionnaires ayant participé au processus avaient communiqué à plusieurs membres du personnel les raisons à l’origine de la mutation parce qu’ils estimaient nécessaire de faire connaître cette information pour soutenir la plaignante et son nouveau superviseur. L’examen interne a révélé qu’il s’agissait d’une erreur et que le dossier n’avait pas été traité conformément aux politiques internes de l’institution.
Nous estimons que ces mesures allaient manifestement à l’encontre de l’attente explicite de confidentialité assurée par l’institution. D’ailleurs, l’institution n’a pas soutenu que la communication était autorisée en vertu de quelque exception que ce soit à la communication prévue au paragraphe 8(2) de la Loi.
Nous avons donc conclu que les renseignements personnels de la plaignante avaient été communiqués sans son consentement, en contravention du paragraphe 8(1) de la Loi.
En réponse à cette atteinte manifeste à la vie privée, l’institution a déclaré reconnaître la nécessité de mieux se conformer aux politiques et procédures, et de sensibiliser davantage son personnel à la réalité des personnes transgenres. Nous lui avons recommandé d’agir rapidement pour mettre à jour ses politiques et procédures afin d’éviter que la situation ne se reproduise. Elle a réagi en élaborant un nouveau document d’orientation pour soutenir ses employés transgenres et en mettant ce document à la disposition de tous ses employés pour les aider à mieux comprendre leur rôle ainsi que les considérations en matière de protection de la vie privée et de confidentialité des renseignements des employés transgenres.
En conséquence, nous estimons que cette plainte était fondée et qu’elle a été résolue.
Recoupements entre les secteurs public et privé
La ligne de démarcation entre les institutions gouvernementales et les entreprises du secteur privé devient de plus en plus floue en raison de l’interconnexion de l’économie numérique et de la facilité de produire, d’utiliser et de communiquer les renseignements.
Nous observons un nombre croissant d’enjeux qui touchent à la fois les secteurs public et privé. Cette situation soulève d’importantes questions concernant la protection de la vie privée, d’où la nécessité d’apporter une certaine uniformité dans les lois sur la protection des renseignements personnels qui seront modernisées. Par exemple, notre enquête sur la collecte de renseignements par la GRC auprès de Clearview AI a permis de mettre au jour ce type de recoupements.
Enquête sur le recours par la GRC à la technologie de reconnaissance faciale de Clearview AI
En juin 2021, le Commissariat a déposé un rapport spécial au Parlement pour communiquer ses conclusions à l’issue d’une enquête portant sur l’utilisation, par la GRC, d’une base de données faisant appel à la technologie de reconnaissance faciale de Clearview AI. Cette entreprise de technologie avait elle-même fait auparavant l’objet d’une enquête du Commissariat.
Comme il est expliqué dans une autre section du présent rapport, il avait été établi antérieurement que Clearview AI avait contrevenu aux lois fédérale et provinciales sur la protection des renseignements personnels dans le secteur privé au Canada en créant une banque de données qui renfermait plus de 3 milliards d’images prélevées dans des sites Web sans le consentement des utilisateurs.
À l’issue de notre enquête menée en vertu de la Loi sur la protection des renseignements personnels, nous avons conclu qu’aucune institution fédérale ne peut recueillir de renseignements personnels auprès d’un tiers si celui-ci les a recueillis illégalement.
Selon notre enquête, l’utilisation par la GRC de la technologie de reconnaissance faciale pour effectuer des centaines de recherches dans une base de données compilée illégalement par Clearview AI constitue une infraction à la Loi sur la protection des renseignements personnels.
Nous avons également constaté des lacunes graves et systémiques dans les politiques et les systèmes de la GRC concernant le suivi, l’identification, l’examen et le contrôle des nouvelles collectes de renseignements personnels au moyen de technologies innovantes.
La GRC a accepté de mettre en œuvre nos recommandations visant à améliorer ses politiques, ses systèmes et sa formation. Il s’agit notamment de réaliser des évaluations complètes des pratiques de collecte de données par des tiers afin de veiller à ce que tout renseignement personnel soit recueilli ou utilisé conformément à ce que prévoit la législation canadienne en matière de protection des renseignements personnels.
La GRC a aussi accepté de créer une nouvelle fonction de surveillance afin de s’assurer que le mode d’intégration des nouvelles technologies respecte le droit à la vie privée.
Il s’agit d’un autre exemple de la façon dont les relations contractuelles et les partenariats public-privé faisant intervenir des technologies numériques créent des complications et des risques supplémentaires sur le plan de la protection de la vie privée.
Le Commissariat soutient qu’il incombait à la GRC de s’assurer que la base de données utilisée avait été compilée légalement. Pour sa part, la GRC fait valoir qu’il s’ensuivrait une obligation déraisonnable et que la loi n’impose pas expressément l’obligation de confirmer le fondement juridique de la collecte de renseignements personnels par ses partenaires du secteur privé.
D’après le Commissariat, les activités des institutions fédérales doivent se limiter à celles que la loi leur permet d’exercer et doivent respecter le principe de la primauté du droit. Le commissaire a encouragé le Parlement à modifier la Loi sur la protection des renseignements personnels afin de préciser que les institutions fédérales ont l’obligation de s’assurer que les tiers auprès desquels elles recueillent des renseignements personnels ont agi conformément à la loi.
Dans le but de fournir des éclaircissements aux services de police qui se tournent de plus en plus vers la technologie de reconnaissance faciale pour résoudre des crimes ou retrouver des personnes disparues, le Commissariat, de concert avec ses homologues provinciaux et territoriaux, a produit une version préliminaire d’un document d’orientation. Ce document a pour objectif d’aider les services de police à s’assurer que toute utilisation de la technologie de reconnaissance faciale est conforme à la loi, limite les risques d’atteinte et respecte le droit à la vie privée.
Nous avons lancé une consultation publique pour nous aider à établir des règles plus claires et à déterminer si de nouvelles lois sont souhaitables.
La nature des risques liés à la technologie de reconnaissance faciale nous appelle à réfléchir collectivement aux limites d’une utilisation acceptable de cette technologie. Les Canadiens doivent être libres de participer aux activités courantes d’une société moderne, qui sont de plus en plus numériques, sans risquer que leurs activités ne soient systématiquement recensées, suivies et surveillées. Nous estimons aussi qu’il est nécessaire d’examiner attentivement les questions liées à la technologie de reconnaissance faciale alors même que le Canada cherche à moderniser les lois fédérales sur la protection des renseignements personnels.
Pour en savoir davantage
Engagement de la GRC à améliorer la protection de la vie privée dans le cadre de la vérification des antécédents en vue d’un travail auprès de personnes vulnérables
Trois personnes ont déposé des plaintes parce que la GRC avait utilisé des données de non-condamnation dans le cadre de la vérification de leurs antécédents en vue d’un travail auprès de personnes vulnérables. Ce type de vérification est parfois exigé lorsque des personnes postulent pour certains emplois ou pour des postes de bénévoles. La GRC a indiqué sur les formulaires de vérification en question qu’elle avait trouvé des « renseignements défavorables » au sujet des plaignants. Or, ces renseignements se rapportaient à des incidents pour lesquels les plaignants n’avaient été ni accusés ni reconnus coupables d’une infraction. Dans un cas, le plaignant s’était trouvé en situation de crise en raison de problèmes de santé mentale, et les services policiers étaient intervenus.
Nous avons conclu que dans deux des trois cas, la GRC avait omis d’obtenir un consentement éclairé des plaignants pour vérifier leurs antécédents. En particulier, le formulaire de consentement signé par les plaignants donnait à penser que les « renseignements défavorables » se limitaient à ceux concernant des suspects accusés d’une infraction – ce qui n’était pas le cas pour deux d’entre eux.
Nous avons également conclu que la question du consentement ne prend pas en compte tous les enjeux liés à la protection de la vie privée soulevés par les plaignants. Les candidats aux emplois ou aux postes de bénévoles auprès de personnes vulnérables, pour lesquels une vérification des antécédents est exigée, n’ont d’autre choix que d’accepter les modalités établies par la GRC. À notre avis, les données de non-condamnation peuvent être pertinentes pour les vérifications des antécédents dans ce contexte, et servir une fin légitime d’intérêt public dans certains cas. Toutefois, la politique de la GRC autorisant l’utilisation généralisée de ces données soulève aussi des préoccupations quant à la présomption d’innocence et à la stigmatisation entourant les problèmes de santé mentale.
Même s’il ne s’agit pas d’une exigence prévue par la loi, nous avons évalué les pratiques de la GRC en fonction des concepts de nécessité, d’efficacité, de proportionnalité et d’atteinte minimale. Nous reconnaissons que les données de non-condamnation peuvent dans certains cas être pertinentes et assez récentes pour justifier leur communication à un employeur éventuel ou à un organisme bénévole. Dans certaines situations, ces données peuvent être efficaces pour répondre au besoin important d’évaluer le risque que présenterait l’intéressé dans le cadre d’un travail auprès de personnes vulnérables.
Toutefois, nous n’étions pas convaincus que l’atteinte à la vie privée découlant de la politique de la GRC, qui consistait à déclarer de façon généralisée des données de non-condamnation − y compris des renseignements sur des incidents liés à la santé mentale − dans la vérification des antécédents, était proportionnée et représentait une atteinte minimale à la vie privée. Nous avons constaté que l’Alberta et l’Ontario avaient adopté des critères plus restrictifs pour l’utilisation de ces renseignements dans le cadre de ce type de vérification.
En réponse aux conclusions de notre enquête et à nos recommandations, la GRC a accepté de réviser, dans un délai de six mois, le formulaire de consentement qu’elle utilisait pour la vérification des antécédents en vue d’un travail auprès de personnes vulnérables. Elle donnera des précisions sur les types de renseignements qui seront pris en compte dans le cadre d’une telle vérification et informera les candidats de leur droit de demander un examen indépendant de la décision de déclarer les données de non-condamnation.
La GRC s’est également engagée à mettre en œuvre une politique selon laquelle les données de non-condamnation ne seront prises en compte que dans la mesure où elles remplissent certains critères particuliers pour une « communication exceptionnelle ». Cette politique précisera également que les incidents liés à la santé mentale ne devraient pas être pris en compte à moins qu’ils ne remplissent les critères établis pour la communication exceptionnelle. Nous surveillons la mise en œuvre de ces mesures par la GRC.
Par conséquent, nous estimons que cette plainte était fondée et qu’elle a été conditionnellement résolue.
Une enquête permet de conclure qu’il n’y a pas eu atteinte à la vie privée dans l’administration de la Bourse canadienne pour le bénévolat étudiant
EDSC a accordé des fonds à la fondation WE Charity (UNIS en français), par l’entremise d’une entente de contribution, afin de mettre en œuvre le programme de bourses canadiennes pour le bénévolat étudiant. L’entente de contribution avait été conclue avec WE Charity, mais elle autorisait d’autres organismes de bienfaisance WE (comme WE Charity Canada, la fondation WE Well-being et la fondation ME to WE) à participer à l’exécution du programme.
Ce programme de bourses, qui a été annulé, encourageait les jeunes à participer à des activités bénévoles pour acquérir une expérience professionnelle tout en contribuant à la réponse à la COVID-19.
Dans le cadre de l’administration du programme, WE Charity Canada a recueilli les renseignements personnels des étudiants qui ont présenté une demande. Ces renseignements n’ont pas été communiqués à EDSC.
Nous avons reçu à la fois des plaintes contre les organismes de bienfaisance WE (la fondation WE Charity, WE Charity, la fondation WE Well-being et la fondation ME to WE), en vertu de la LPRPDE, et des plaintes contre EDSC, en vertu de la Loi sur la protection des renseignements personnels. Selon les plaignants, il semblait que leurs renseignements personnels étaient stockés à l’extérieur du Canada et que les modalités publiées sur le site Web autorisaient leur communication à des partenaires pour des fins nébuleuses.
L’une des plaintes déposées contre EDSC mettait en cause la sous-traitance de l’utilisation et de la collecte des renseignements personnels des étudiants par les organismes de bienfaisance WE, sous les auspices d’une initiative gouvernementale, et faisait mention des répercussions potentielles sur la sécurité de ces renseignements et leur communication à des tiers.
D’après notre enquête, rien n’indique que les renseignements personnels ont été communiqués ou utilisés à des fins autres que l’administration du programme de bourses canadiennes pour le bénévolat étudiant. De plus, il n’y a aucune indication de quelque autre traitement inapproprié. Ni la LPRPDE ni la Loi sur la protection des renseignements personnels n’interdisent le stockage de ce type de renseignements personnels à l’extérieur du Canada.
En l’absence d’éléments indiquant un traitement inapproprié des renseignements personnels en question, nous avons mis fin à notre enquête en vertu de la LPRPDE et fermé celle en vertu de la Loi sur la protection des renseignements personnels. De cette façon, nous nous sommes abstenus de déterminer si la Loi sur la protection des renseignements personnels s’appliquait ou non à EDSC dans ce dossier. Nous avons toutefois noté qu’il peut y avoir d’importants risques d’atteinte à la vie privée des Canadiens, et des considérations connexes relatives à la Loi sur la protection des renseignements personnels, lorsque des activités financées par le gouvernement du Canada pour mettre en œuvre un programme fédéral entraînent la collecte, l’utilisation et la communication de renseignements personnels. Nous avons encouragé EDSC à examiner attentivement les risques d’atteinte à la vie privée lorsque ce ministère envisagera de conclure des ententes similaires à l’avenir et à consulter le Commissariat avant d’entreprendre ce type d’initiatives pour assurer le respect de l’esprit et de la lettre de la Loi sur la protection des renseignements personnels.
Examen législatif de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Le Commissariat a mené son quatrième examen bisannuel des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) en vue de protéger l’information qu’il reçoit ou recueille en application de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes. Cet examen visait à établir si le CANAFE avait mis en place des mesures de contrôle appropriées pour protéger les renseignements personnels reçus ou recueillis. Il a porté sur les pratiques de gouvernance, de gestion des risques et de contrôle pour la gestion de la sécurité des renseignements personnels au CANAFE. Le Commissariat a également évalué les progrès réalisés par le CANAFE en réponse aux recommandations figurant dans son rapport de 2017.
Bien que l’examen ait permis de déceler certains points forts, nous sommes préoccupés par le fait que plusieurs recommandations de notre rapport de 2017 demeurent en suspens, malgré l’engagement du CANAFE d’y donner suite. Les éléments qu’il reste à mettre en œuvre sont liés (i) à la collecte et à la conservation de renseignements personnels qui ne respectent pas les seuils de déclaration et (ii) à la surveillance des registres des activités pour cerner les risques pour la sécurité. Nous avons demandé au CANAFE de corriger ces lacunes en priorité.
Atteintes en vertu de la Loi sur la protection des renseignements personnels
Le Commissariat demeure préoccupé par les pratiques concernant la déclaration des atteintes à la vie privée dans le secteur public. Dans ce secteur, la déclaration des atteintes est obligatoire en vertu de politiques; dans le secteur privé, elle l’est en vertu de la loi.
Nous demeurons convaincus que le faible taux de déclaration par les organisations fédérales représente un problème systémique.
Nous avons observé en 2020-2021 une baisse de 18 % du nombre de déclarations reçues (soit 280 comparativement à 341 en 2019-2020).
EDSC est, à elle seule, à l’origine de 59 % des atteintes déclarées en 2020-2021. En fait, les atteintes déclarées par cette institution représentent au moins la moitié de toutes les atteintes déclarées dans le secteur public depuis 2017-2018. Il est évident qu’EDSC a investi dans la sensibilisation à la protection de la vie privée et a élaboré des procédures de déclaration des atteintes. Nous encourageons EDSC à poursuivre ses efforts dans cette voie et incitons les autres institutions à faire de même. Toutefois, bon nombre d’autres institutions gouvernementales qui traitent de grandes quantités de renseignements personnels ou des renseignements très sensibles ne déclarent aucune atteinte au Commissariat.
Comme nous l’indiquions dans notre rapport annuel 2019-2020, il est préoccupant de constater que plusieurs grandes institutions brillent par leur absence dans l’ensemble des rapports d’atteinte que nous recevons.
En outre, nous continuons de recevoir peu de déclarations d’atteinte mettant en cause des cyberattaques. Or, nous savons que les institutions fédérales – qui utilisent de plus en plus des outils numériques et fournissent de plus en plus de services en ligne pour lesquels il faut fournir des renseignements personnels – ne sont pas à l’abri de ces atteintes. Nous n’avons reçu que neuf déclarations de cette nature en 2020-2021, par rapport à cinq au cours de l’exercice précédent. Malgré cette augmentation, il nous semble préoccupant que le nombre d’atteintes déclarées au Commissariat qui mettent en cause des cyberattaques demeure faible. Cette situation parle d’elle-même si l’on établit une comparaison avec les déclarations d’atteinte en vertu de la LPRPDE : en 2020-2021, 42 % d’entre elles mettaient en cause des cyberattaques.
Il est à noter que nous enquêtons actuellement sur la cyberattaque menée contre le système cléGC utilisé par une trentaine de ministères et organismes fédéraux.
Rappelons que les déclarations d’atteinte constituent des outils importants – elles nous permettent de nous assurer que les organisations mettent en place les mesures qui s’imposent afin de réduire les risques pour les Canadiens à la suite d’une atteinte et de prévenir d’autres incidents. Précieuses sources d’information pour le Commissariat et d’autres intervenants, elles favorisent le traitement éclairé des risques d’atteinte à la vie privée.
Au fil des ans, le Commissariat a réclamé à maintes reprises la déclaration obligatoire des atteintes à la vie privée sous le régime de la Loi sur la protection des renseignements personnels afin de remédier au faible taux de déclaration, un problème systémique dans le secteur public fédéral. Nous constatons avec satisfaction que ce changement figure dans les propositions présentées par Justice Canada en vue de la modernisation de la Loi sur la protection des renseignements personnels.
Entre-temps, nous continuons de collaborer avec le SCT à la mise à jour de notre formulaire de déclaration des atteintes, afin d’accroître la clarté en ce qui concerne les pratiques de déclaration pour les institutions.
Atteinte à SPAC touchant près de 70 000 fonctionnaires
Services publics et Approvisionnement Canada (SPAC) nous a déclaré une atteinte liée à la communication de renseignements sur la paye touchant environ 70 000 fonctionnaires.
Dès la réception de plaintes à cet égard, nous avons lancé une enquête pour déterminer si la communication constituait une violation de la Loi sur la protection des renseignements personnels. Nous avons aussi vérifié comment SPAC avait réagi à cette atteinte.
Notre enquête a révélé que l’atteinte découlait d’une erreur évitable – et prévisible – commise au moment de la production des rapports sur les montants payés en trop aux fonctionnaires. L’erreur a engendré la production de données non concordantes dans une feuille de calcul, ainsi que la transmission à 61 institutions par SPAC de rapports où figuraient des renseignements sur des personnes d’autres ministères. Nous avons conclu que cette communication contrevenait aux obligations prévues par la Loi sur la protection des renseignements personnels.
En réponse, SPAC a mis en place des mesures pour empêcher la répétition de ce type d’atteinte. Entre autres, le Ministère vérifie dorénavant les données au moment de la production des rapports et il a retiré de certains rapports l’adresse du domicile des fonctionnaires.
La rapidité avec laquelle SPAC a réagi à l’atteinte, en transmettant des avis directement aux nombreux fonctionnaires touchés, est encourageante. Pour ce processus, SPAC s’en est remis à la collaboration des ministères et organismes d’attache des fonctionnaires en question et à celle des ministères et organismes ayant reçu les renseignements par erreur.
En conséquence, nous concluons que la plainte était fondée et qu’elle a été résolue.
Nous sommes satisfaits de la réaction de SPAC à cette atteinte. Néanmoins, il est préoccupant que ce ministère ne semble pas avoir appris, à la suite de notre enquête en 2017 sur le système de paye Phénix, à traiter les renseignements sur la paye avec toute la prudence requise.
Examen des pratiques de gestion des passeports par quatre institutions
Immigration, Réfugiés et Citoyenneté Canada (IRCC) est responsable du Programme des passeports, qui permet de délivrer les passeports canadiens en collaboration avec des institutions partenaires.
Tous les ans, des institutions fédérales signalent au Commissariat la perte ou le vol de passeports. C’est ce qui nous a amenés à examiner les mesures mises en place par IRCC pour protéger les passeports. Nous avons aussi examiné les pratiques de trois institutions partenaires participant à la délivrance des passeports, soit EDSC, Affaires mondiales Canada (AMC) et la Société canadienne des postes (SCP).
Nous avons constaté que, de façon générale, les quatre institutions avaient mis en place des mesures raisonnables pour prévenir la communication non autorisée des renseignements sur les passeports.
Nous avons cependant relevé quelques éléments à améliorer.
En ce qui a trait aux recours dont les individus peuvent se prévaloir, nous avons remarqué que la perte ou le vol d’un passeport n’était pas systématiquement considéré comme une atteinte « substantielle » à la vie privée (c’est-à-dire une atteinte assez grave pour être déclarée au Commissariat et au Secrétariat du Conseil du Trésor du Canada), malgré le risque persistant de vol d’identité qui peut en découler si un passeport tombe entre de mauvaises mains. Compte tenu des renseignements que renferme un passeport ainsi que de sa sensibilité et de son importance intrinsèques, nous considérons que la perte ou le vol de ce document constitue une atteinte substantielle qui devrait être déclarée au Commissariat et aux intéressés lorsque ceux-ci ne sont pas au courant de la situation.
Nous avons aussi constaté qu’il fallait compter plusieurs mois, en moyenne, avant que les personnes concernées soient informées en pareil cas, et que l’on ne leur offrait aucune aide concrète, par exemple la surveillance de leur crédit, pour les aider à gérer le risque de vol d’identité.
Pour remédier à cette lacune, nous avons recommandé à AMC, à IRCC et à EDSC d’établir et de fournir conjointement :
- des orientations écrites cohérentes sur la façon de déterminer si la perte ou le vol d’un passeport constitue une atteinte « substantielle »;
- des normes de service raisonnables afin que les parties touchées soient rapidement avisées de la perte ou du vol de passeports;
- des avis appropriés et des mesures d’atténuation constantes, par exemple la surveillance du crédit, pour contribuer à protéger les personnes touchées contre le risque de vol d’identité à long terme.
En ce qui concerne les leçons tirées de la perte ou du vol de passeports, nous avons constaté qu’IRCC surveille les incidents qui lui sont déclarés et qu’il les examine en cas d’écart important par rapport à la normale.
Toutefois, EDSC – ministère qui déclare le plus grand nombre d’atteintes dans ce domaine – ne pouvait faire la démonstration qu’il recueille de l’information dans le but de réduire le risque de récurrence d’incidents lorsque les passeports sont en transit avec Postes Canada. Il est donc difficile de savoir quelles données le Programme des passeports d’IRCC utilise pour analyser les incidents portant sur les passeports et comment les résultats sont communiqués aux intervenants concernés pour réduire le risque de communication non autorisée.
Afin de remédier à ce problème, nous avons recommandé à IRCC de renforcer ses processus actuels d’évaluation des incidents et d’enquête, et d’informer en conséquence les intervenants concernés.
La Loi sur la protection des renseignements personnels et les documents électroniques : rétrospective de l’exercice
Le travail accompli par le Commissariat en 2020-2021 a porté en grande partie sur les atteintes à la sécurité des données, présentées ci-après, qui lui ont été déclarées en plus grand nombre depuis l’entrée en vigueur de cette exigence législative. La tendance à la hausse du nombre d’atteintes à survenir dans le secteur privé dues à des attaques de rançongiciels nous préoccupe particulièrement. Pour faire face au nombre élevé de dossiers dans notre secteur chargé de la gestion des atteintes, nous avons lancé des solutions technologiques visant à permettre aux organisations de déclarer plus facilement des incidents au Commissariat. Dans le but d’assurer une efficacité constante, d’accroître la certitude pour les entreprises et de fournir un meilleur service aux Canadiens, nous avons eu recours à divers outils pour fermer les dossiers d’enquête aussi efficacement que possible, de sorte que nous avons fermé par règlement rapide plus de 70 % des dossiers sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Comme nous l’avons déjà indiqué, grâce au financement fédéral, nous avons atteint, voire surpassé nos objectifs de réduction de l’arriéré de 90 % (ce qui explique la raison pour laquelle le délai de traitement de certains dossiers est plus long cette année). De plus, nous prévoyons que l’investissement et les leçons apprises en matière d’efficacité permettront de réduire considérablement le délai de traitement à l’avenir. Comme nous l’avons fait dans le secteur public, nous étions heureux de pouvoir donner de façon proactive des conseils aux organisations afin qu’elles améliorent leurs pratiques en matière de protection des renseignements personnels.
L’année a été marquée par quelques collaborations importantes avec un large éventail de partenaires, notamment nos collègues des provinces et des territoires, avec lesquels nous avons mené un nombre record d’enquêtes conjointes. Il s’agissait aussi de la première fois qu’une enquête conjointe était menée par le commissariat fédéral et les commissariats des trois provinces dotées d’une loi essentiellement similaire. Nous souhaitons voir encore plus d’initiatives concertées de ce genre, qui généreront pour les Canadiens et les organisations des protections et des avantages accrus sur le plan du respect de la vie privée.
La section qui suit présente certaines des initiatives clés menées par le Commissariat en 2020-2021 sous le régime de la LPRPDE.
Pleins feux sur les atteintes
Les atteintes demeurent un important sujet de préoccupation pour le Commissariat. L’an dernier, nous avons reçu 782 déclarations d’atteintes touchant au moins neuf millions de comptes canadiens.
Le nombre de déclarations a augmenté de 15 % par rapport à l’exercice précédent. Depuis l’entrée en vigueur de la déclaration obligatoire des atteintes sous le régime de la LPRPDE, en 2018, le nombre de déclarations reçues par le Commissariat s’est accru de 600 %.
Le très grand nombre d’atteintes à la sécurité des données qui ne cessent de se produire et leurs répercussions à vaste échelle sont extrêmement préoccupants. Le vol de données et l’accès non autorisé aux renseignements personnels peuvent entraîner de graves préjudices, comme la fraude, la perte financière, l'atteinte à la réputation et le vol d'identité. Malgré la gravité des enjeux, trop de cas surviennent encore. Les fuites de données chez Desjardins et BMO, dont il sera question plus loin dans le présent rapport, en sont des exemples. Même de grandes organisations disposant de beaucoup de moyens, qui traitent de vastes quantités de renseignements très sensibles, n’ont pas réussi à mettre en place des mesures de sécurité de l'information qui protègent adéquatement les renseignements personnels qui leur sont confiés.
La majorité de ces déclarations demeurent attribuables aux trois mêmes grands secteurs de l’industrie, soit les secteurs des finances (22 %), des télécommunications (14 %) et de la vente et du commerce de détail (10 %). Cette répartition est constante depuis plusieurs années.
Secteur de l’industrie | 2017-2018 | 2018-2019 | 2019-2020 | 2020-2021 |
---|---|---|---|---|
Finances | 23 % | 22 % | 19 % | 22 % |
Télécommunications | 6 % | 17 % | 17 % | 14 % |
Vente et commerce de détail | 9 % | 18 % | 14 % | 10 % |
Assurances | 6 % | 8 % | 11 % | 9 % |
Services | 9 % | 5 % | 9 % | 6 % |
À hauteur de 64 %, les accès non autorisés constituent la principale cause des atteintes déclarées. Ce qui comprend notamment les acteurs externes qui ont eu accès à des systèmes au moyen de maliciels, de rançongiciels ou de piratage psychologique. Il est aussi question des cas où des employés ont consulté des renseignements sans autorisation et les ont utilisés à des fins inappropriées.
Nous avons aussi constaté que 28 % des atteintes étaient causées par des communications non autorisées, entre autres, en raison d’erreurs commises par les employés, telles que des communications mal acheminées ou des communications découlant d’une défaillance des mesures de protection techniques et des vulnérabilités des systèmes.
Le Commissariat continue d’observer une proportion élevée d’incidents mettant en cause des cyberattaques, puisque 328 des atteintes déclarées (soit 42 %) en 2020-2021 étaient associées à divers types de cybermenaces – maliciels, rançongiciels, attaques visant des mots de passe, attaques par bourrage d’identifiants, etc. Les attaques par rançongiciel et par bourrage d’identifiants que nous expliquons plus loin dans la présente section, sont particulièrement préoccupantes.
Type d’atteinte | 2017-2018 | 2018-2019 | 2019-2020 | 2020-2021 |
---|---|---|---|---|
Communication non autorisée | 29 % | 26 % | 21 % | 28 % |
Accès non autorisé | 52 % | 57 % | 59 % | 64 % |
Vol | 16 % | 9 % | 9 % | 5 % |
Perte | 3 % | 9 % | 11 % | 3 %* |
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre à 100. |
Attaques par rançongiciel et autres
Les méthodes employées pour commettre des cyberattaques sont en constante évolution. Il est donc important que les organisations demeurent vigilantes et qu’elles instaurent des mesures de protection contre les menaces en ligne courantes et émergentes, comme les rançongiciels ou le bourrage d'identifiants.
Les attaques par rançongiciel surviennent lorsque des acteurs malveillants ont accès au système d’une organisation et chiffrent les données. Ceux-ci demandent ensuite une rançon à l’organisation pour lui redonner accès à son système. Souvent, ils menacent de diffuser les données dans le Web caché si la rançon ne leur est pas versée.
Le versement de la rançon ne garantit pas que les fichiers seront déchiffrés ou récupérés. Dans certains cas, les pirates informatiques demandent davantage d’argent sans rien donner en contrepartie. De plus, le paiement de la rançon encourage les cybercriminels à continuer d’infecter des appareils au moyen de rançongiciels – ce qui contribue à faire la preuve que ce cybercrime est payant pour les acteurs malveillants.
Même si ses dossiers sont déchiffrés, l’organisation doit tout de même gérer l’atteinte à la sécurité des données. Le pirate informatique, qui a eu accès aux fichiers, en a probablement fait une copie et pourrait les divulguer ou s’en servir pour tenter d’avoir accès à d’autres comptes en ligne exposés.
Les attaques par rançongiciel sont en hausse partout dans le monde. Les cybercriminels continuent de tirer parti de l’utilisation accrue des transactions numériques et des nouvelles plateformes commerciales en ligne, en particulier depuis le début de la pandémie.
En 2020-2021, nous avons commencé à recueillir de l’information concernant ces types d’attaques. Le nombre d’attaques signalées au Commissariat reflète la tendance mondiale, et les 101 attaques par rançongiciel qui nous ont été déclarées représentent 20 % de toutes les atteintes liées à un accès non autorisé.
Il semble qu’aucun secteur ne soit à l’abri. Le secteur sans but lucratif et le secteur professionnel ont été durement frappés, mais ces attaques ont aussi touché les secteurs des finances, des transports, de la fabrication et du commerce de détail, qui représentent 27 % de toutes les déclarations d’atteinte que nous avons reçues par suite d’attaques par rançongiciel. Ces attaques ont mis en péril des renseignements personnels sensibles, par exemple des numéros d’assurance sociale ainsi que des renseignements financiers et de l’information sur le crédit. Elles ont touché 54 962 comptes canadiens. Dans un cas, un pirate informatique a réussi à accéder au système d’une organisation, à le chiffrer et à en extraire les renseignements personnels liés à environ 12 000 comptes canadiens.
Les attaques par bourrage d’identifiants sont également en hausse à l’échelle mondiale. Elles surviennent lorsque des acteurs malveillants se servent d’identifiants valides (noms d’utilisateur et mots de passe) obtenus dans le cadre d’atteintes non apparentées, puis vendus, souvent dans le Web caché. Les pirates informatiques utilisent ensuite ces identifiants pour accéder à des comptes d’utilisateur dans d’autres sites en ligne. Ces attaques sont rendues possibles lorsque des individus choisissent un nom d’utilisateur ou un mot de passe identique ou similaire pour plusieurs services en ligne. Elles peuvent aussi se produire lorsque des organisations n’exigent pas des utilisateurs de créer des mots de passe forts et complexes ou qu’elles n’évoluent pas au même rythme que les nouvelles technologies en ce qui concerne l’authentification des utilisateurs, comme l’authentification multifacteur.
Lorsque les pirates informatiques réussissent leur attaque, ils peuvent prendre le contrôle de comptes personnels ou de comptes d’organisations. Si des comptes personnels sont en cause, cela peut entraîner le vol d’identité, puisque des renseignements d’identification sont à la portée d’acteurs malveillants. La fraude, les pertes financières et l’atteinte à la réputation figurent parmi les préjudices les plus courants observés à la suite d’une attaque par bourrage d’identifiants. Si des comptes d’organisations sont en cause, ces attaques peuvent compromettre les renseignements personnels et ouvrir la voie à des rançongiciels et à des fuites de données.
En raison de la gravité du préjudice pouvant résulter des attaques par bourrage d’identifiants, nous estimons que ce type d’attaque atteint la norme correspondant à un risque réel de préjudice grave. Le critère sur ce plan, qui est établi dans la LPRPDE, donne lieu à l’obligation de déclarer l’atteinte au Commissariat et d’en aviser les intéressés.
Le Commissariat a commencé à recevoir des déclarations d’atteinte mettant en cause des attaques menées au moyen d’identifiants. Ces déclarations émanent de divers secteurs, notamment ceux du commerce de détail, des finances et des télécommunications. Ce type d’attaque a touché plus de 60 000 Canadiens et mis en péril des renseignements personnels très sensibles, par exemple des numéros d’assurance sociale, des dates de naissance et des renseignements bancaires. Le Commissariat continue de surveiller cette tendance. Il a d’ailleurs produit des documents d’orientation à cet égard à l’intention des entreprises et des consommateurs.
En raison des préoccupations suscitées à l’échelle mondiale par le bourrage d’identifiants, une initiative concertée axée sur la conformité a été lancée par l’entremise du Groupe de travail sur la coopération internationale en matière d’application de la loi de l’Assemblée mondiale pour la protection de la vie privée, qui est présidé par le Commissariat. Cette initiative vise à mener des recherches sur les attaques par bourrage d’identifiants et à élaborer des orientations pour permettre aux organisations et au public de prévenir ou de réduire le risque de telles attaques.
Le bourrage d’identifiants n’est pas la seule façon pour les acteurs malveillants de causer des préjudices. Un vol d’identité peut se produire lorsque des employés malintentionnés utilisent délibérément des renseignements personnels à mauvais escient, ou encore dans un contexte où les mesures de protection technologiques sont insuffisantes pour pouvoir surveiller et détecter adéquatement les menaces. Comme l’illustrent les résumés d’enquête présentés plus loin, les organisations doivent concevoir et appliquer de solides mesures de protection administratives − en instaurant des politiques ou en offrant de la formation par exemple − et adopter des mesures de protection techniques pour protéger les renseignements personnels de leurs clients.
Déclaration des atteintes et réforme législative
Dans le secteur privé, la loi impose la déclaration des atteintes. Notre expérience concernant cette exigence nous a aidés à formuler des recommandations éclairées à ce chapitre dans notre mémoire sur le projet de loi C-11.
Nous avons demandé que la loi renferme de nouvelles dispositions prévoyant un délai pour la déclaration des atteintes. Le Commissariat a besoin d’obtenir des renseignements opportuns et exacts provenant des organisations pour évaluer le niveau de risque que présente une atteinte particulière et s’assurer que les mesures d’atténuation appropriées sont appliquées.
Nous constatons toutefois que le délai de déclaration des atteintes continue de poser problème. Il n’est pas rare que l’atteinte soit déclarée longtemps après sa détection.
Le nombre de déclarations d’atteintes reçues par le Commissariat plus de trois mois après la détection de l’atteinte est passé d’environ 31 % en 2019 à 40 % en 2020.
Certains retards observés en 2020-2021 pourraient être imputables à la pandémie, mais le problème des déclarations tardives est préoccupant. Plus tôt le Commissariat est avisé d’une atteinte, plus tôt il peut s’assurer que celle-ci est adéquatement maîtrisée et gérée et que les mesures d’atténuation appropriées sont prises.
Dans notre mémoire sur le projet de loi C-11, nous avons recommandé d’établir une norme selon laquelle les atteintes doivent être déclarées au Commissariat dans les meilleurs délais, mais aussi au cours d’une période définie. En général, ce délai peut varier, par exemple, de 72 heures (Union européenne [en vertu du RGPD], Égypte, Philippines et Uruguay) à cinq jours (Costa Rica) et même jusqu’à 14-15 jours (Indonésie, Colombie). Nous avons recommandé un juste milieu : lui déclarer les atteintes dans les meilleurs délais, mais au plus tard dans les sept jours civils.
Amélioration de l’efficacité de nos processus de gestion des atteintes
Le Commissariat s’est efforcé de mettre en œuvre plusieurs mesures pour simplifier ses processus de manière à faciliter la déclaration des atteintes et à accélérer leur examen, ce qui lui permet de donner plus rapidement une rétroaction aux institutions.
Dans la dernière année, le Commissariat a lancé un portail sécurisé pour la déclaration des atteintes, qui permet aux entreprises de soumettre facilement leurs rapports d’atteintes et de recevoir instantanément un numéro de dossier pour faciliter les communications au sujet de la déclaration.
À la suite de la publication d’un rapport sur ses premières inspections des registres d’atteintes à la vie privée en 2019, le Commissariat a publié de nouvelles ressources pour aider les entreprises à gérer les atteintes à la vie privée et à respecter la déclaration obligatoire et les autres exigences liées au stockage sécurisé des renseignements personnels. Il a également réalisé une nouvelle série de vidéos faciles à comprendre pour aider les entreprises à entamer une discussion avec leur personnel sur ce qu’elles devraient faire pour protéger les renseignements personnels des clients et de leurs propres employés et pour s’assurer qu’elles sont prêtes en cas d’atteinte.
Les organisations assujetties à la LPRPDE sont tenues de déclarer au commissaire à la protection de la vie privée du Canada les atteintes aux mesures de sécurité qui ont trait à des renseignements personnels qui présentent un risque réel de préjudice grave (RRPG) pour les intéressés. Afin de nous aider à évaluer la conformité aux exigences de déclaration obligatoire, nous avons entrepris de mettre au point un outil novateur, fondé sur la science du risque, pour évaluer les préjudices liés aux atteintes. Cet outil, dont le lancement est prévu en 2021-2022, prend en compte des facteurs comme le degré de sensibilité des renseignements personnels en cause et la probabilité que ces renseignements aient été ou soient mal utilisés ou encore qu’ils soient sur le point de l’être.
Pour en savoir davantage
- Inspections des registres d’atteintes à la vie privée 2019, septembre 2020
- Série de vidéos pour votre entreprise sur les atteintes, septembre 2020
Enquêtes sur les atteintes
Des lacunes en matière de sécurité à la Banque de Montréal entraînent une importante atteinte à la vie privée
Le Commissariat a reçu des plaintes de deux clients de la Banque de Montréal (BMO). Ceux-ci prétendaient que l’institution n’avait pas protégé adéquatement leurs renseignements personnels et que, à la suite d’une atteinte à la sécurité des systèmes de la BMO, leurs renseignements personnels ont été obtenus par des acteurs malveillants et ont été affichés en ligne.
Entre juin 2017 et janvier 2018, une vulnérabilité dans l’application de services bancaires en ligne de la BMO a permis à des pirates informatiques de contourner les mesures de sécurité, de s’emparer de comptes bancaires en ligne de particuliers et d’extraire les renseignements personnels associés à ces comptes. Ces atteintes sont survenues en deux vagues.
Au cours de la première vague, de juin à novembre 2017, les pirates informatiques ont réussi à voler des renseignements personnels liés à environ 36 000 comptes dans les systèmes de la BMO. Ces atteintes sont alors passées inaperçues.
La BMO a pris connaissance de la vulnérabilité uniquement après la deuxième vague survenue en décembre 2017. Dans le cadre de cette cyberattaque majeure contre ses systèmes, un pirate a pris le contrôle d’un nombre considérable de comptes (environ 76 000).
Toutefois, même après avoir cerné la vulnérabilité et y avoir remédié, la BMO n’était pas pleinement consciente de l’ampleur de la cyberattaque. Ce n’est qu’en mai 2018, lorsqu’elle a reçu une lettre réclamant une rançon, que l’institution a compris qu’un grand nombre de comptes avaient été piratés et que des renseignements personnels avaient été volés.
Au total, cette atteinte a touché environ 113 000 clients de la BMO. Les pirates informatiques ont recueilli divers renseignements personnels, dont les coordonnées des clients ainsi que leur historique bancaire. Ils ont eu accès au numéro d’assurance sociale et à la date de naissance de plus de la moitié d’entre eux. Après que la BMO eut refusé de verser une rançon, les pirates ont publié les renseignements personnels de plus de 3 000 clients dans divers sites Web publics.
Notre enquête a révélé des lacunes importantes dans les mesures et les dispositifs de sécurité de la BMO. Ces lacunes comprenaient les éléments suivants :
- une mise à l’essai et une évaluation inadéquates de la part des développeurs du logiciel – l’application bancaire en ligne déployée comportait une très grande vulnérabilité présentant un risque élevé;
- une gestion inadéquate des vulnérabilités – la vulnérabilité est passée inaperçue pendant environ six mois et les répercussions sur les renseignements personnels des clients sont demeurées inconnues pendant six autres mois;
- une supervision et une surveillance inadéquates – les graves lacunes dans les systèmes de surveillance et de détection de la BMO sont en cause dans l’exposition de longue durée, les retards dans la détection d’une cyberattaque majeure et l’incompréhension, par l’institution, de la portée de l’attaque pendant plusieurs mois.
Nous avons constaté qu’une surveillance appropriée aurait permis de détecter et d’atténuer la première vague de vols de données et de remédier à la vulnérabilité beaucoup plus tôt. La BMO aurait ainsi pu éviter l’accès non autorisé à environ 76 000 comptes supplémentaires en décembre 2017. De plus, l’institution ne disposait d’aucune solution de gestion pour interrompre les attaques de robots, un type de cyberattaque courant, si bien qu’elle était vulnérable à l’attaque survenue en décembre 2017.
La BMO était responsable de renseignements personnels très sensibles, notamment des renseignements que des acteurs malveillants pouvaient utiliser pour commettre des vols d’identité. Les mesures de sécurité de la BMO auraient donc dû être plus efficaces. La banque a ainsi manqué à la mise en œuvre de mesures de sécurité adaptées.
Au cours de notre enquête, la BMO a apporté diverses modifications importantes à ses politiques, à ses procédures, à ses ressources ainsi qu’à ses mesures de sécurité techniques afin d’améliorer la sécurité et de prévenir les atteintes. Nous avons conclu que ces améliorations ont permis de remédier aux lacunes que nous avions cernées. Par conséquent, nous estimons que la plainte est fondée et résolue.
Un ensemble de lacunes a donné lieu à la fuite massive de données chez Desjardins
En décembre 2020, nous avons publié avec la Commission d’accès à l’information du Québec les résultats de notre enquête sur Desjardins. Nous avons constaté qu’un ensemble de lacunes administratives et technologiques avaient permis à un employé malveillant de consulter ou d’extraire de façon inappropriée les renseignements personnels d’environ 9,7 millions de clients. Il s’agit de la plus importante atteinte à la sécurité des données survenue à ce jour dans le secteur des services financiers canadiens.
Les nom et prénom, la date de naissance, le numéro d’assurance sociale, l’adresse résidentielle, le numéro de téléphone, l’adresse courriel et l’historique des transactions font partie des renseignements personnels compromis.
Cette atteinte, qui s’est échelonnée sur une période d’au moins 26 mois, a soulevé la question de savoir si les mesures de sécurité de Desjardins étaient appropriées et si la responsabilité de l’institution financière à l’égard des renseignements personnels qu’elle traite était assurée.
Notre enquête a révélé que Desjardins avait manqué à plusieurs des obligations qui lui incombent en vertu de la LPRPDE, par exemple :
- Desjardins n’avait pas pris les mesures nécessaires pour assurer la mise en œuvre de ses politiques et procédures concernant la gestion des renseignements personnels.
- La formation et la sensibilisation des employés faisaient défaut, compte tenu de la sensibilité des renseignements personnels détenus par l’organisation.
- Desjardins n’avait pas mis en place de délais de conservation ni de procédures concernant la destruction des renseignements personnels.
- Sur le plan technologique, les contrôles d’accès et la séparation logique des bases de données et répertoires étaient insuffisants.
Au terme de notre enquête, Desjardins a accepté de mettre en œuvre nos recommandations visant à mettre à niveau son programme de sécurité de l’information et de protection des renseignements personnels, y compris ses pratiques de destruction des données. Elle s’est engagée à fournir au Commissariat des rapports d’étapes tous les six mois. L’institution financière s’est également engagée à retenir les services de vérificateurs externes pour évaluer et attester ce programme et à soumettre un rapport d’évaluation au Commissariat. En ce qui a trait à nos recommandations portant sur le calendrier de rétention et la destruction des données personnelles, Desjardins a proposé un plan s’échelonnant sur 18 mois, qui doit se terminer en juin 2022. Le Commissariat surveille les progrès réalisés par l’institution financière et continuera de le faire jusqu’à ce qu’elle ait fait la preuve de la mise en œuvre des recommandations formulées dans le rapport de conclusions final.
Pour en savoir davantage
- Enquête sur la conformité à la LPRPDE de Desjardins suite à l’atteinte aux mesures de sécurité des renseignements personnels entre 2017 et 2019, le 14 décembre 2020
Application de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
Statistiques et tendances générales concernant les plaintes et les enquêtes
En 2020-2021, le Commissariat a accepté 309 plaintes déposées en vertu de la LPRPDE, ce qui représente une hausse de 7 % par rapport aux 289 plaintes acceptées au cours de l’exercice précédent.
Tout comme en 2019-2020, la plupart des plaintes ont été déposées contre des entreprises des secteurs des finances (24 %), des services (15 %) et des télécommunications (10 %). De même, comme c’était le cas l’année dernière, les plaintes déposées par les individus portaient en grande partie sur l’accès à leurs renseignements personnels (34 %). Viennent ensuite l’utilisation et la communication des renseignements personnels (23 %), les mesures de sécurité (14 %) et la collecte des renseignements personnels (14 %).
Comme nous l’avons déjà souligné, nous continuons de réaliser des gains d’efficacité dans le traitement des plaintes qui sont présentées au moyen de notre formulaire en ligne. Nous dirigeons mieux les plaignants dans le processus et leur demandons dès le début les documents et les renseignements nécessaires, ce qui réduit les échanges avec ceux-ci et avec les intimés.
Comme dans le cas des plaintes déposées en vertu de la Loi sur la protection des renseignements personnels, le nombre de plaintes en vertu de la LPRPDE a diminué au début de la pandémie. Cette situation était toutefois temporaire, car les individus, les entreprises et le Commissariat se sont ensuite adaptés à la situation.
Le Commissariat a fermé 296 plaintes en 2020-2021, ce qui représente une baisse de 7 % par rapport aux 318 plaintes fermées en 2019-2020.
Règlement rapide
Comme en témoigne son utilisation dans la législation applicable au secteur public, le processus de règlement rapide demeure un précieux outil pour traiter en peu de temps les plaintes simples. En règle générale, les plaignants obtiennent un résultat en quelques mois, alors que le délai est beaucoup plus long pour un processus d’enquête officielle. De nombreuses organisations collaborent avec le Commissariat pour traiter les dossiers dès le début, à la satisfaction mutuelle de toutes les parties concernées, sans qu’il soit nécessaire de mener une enquête approfondie.
En 2020-2021, nous avons fermé 71 % des plaintes déposées en vertu de la LPRPDE (ce qui représente 210 plaintes), soit la plus forte proportion jamais enregistrée.
En plus de maximiser le recours au processus de règlement rapide, nous continuons de mener des enquêtes sommaires pour conclure les dossiers peu complexes.
Exercice | Pourcentage des plaintes fermées par règlement rapide |
---|---|
2020-2021 | 71 % |
2019-2020 | 69 % |
2018-2019 | 63 % |
2017-2018 | 66 % |
Exemples de réussite − processus de règlement rapide
Une entreprise de commerce électronique corrige des lacunes dans le processus d’acheminement des plaintes relatives à la protection de la vie privée
Une entreprise de commerce électronique n’a pas répondu aux préoccupations exprimées par un individu dans le cadre d’un processus d’acheminement des plaintes. Le plaignant a demandé accès à ses renseignements personnels, mais l’entreprise n’a pas accusé réception de cette demande et n’y a pas répondu dans le délai prévu par la loi.
Le plaignant a exprimé des préoccupations parce qu’il ne pouvait se soustraire à la collecte de renseignements prouvant son identité que réclamait l’entreprise. De plus, l’individu ne pouvait fermer le compte marchand en ligne qu’il avait récemment ouvert à moins de fournir les renseignements personnels en question.
Lorsque nous avons communiqué avec l’entreprise au sujet de cette plainte, elle a agi rapidement pour répondre à toutes les préoccupations soulevées concernant la protection de la vie privée et résoudre la situation. Elle s’est aussi engagée à prendre des mesures pour examiner et corriger les lacunes signalées dans le processus d’acheminement des plaintes afin d’accuser réception de toutes les demandes de clients se rapportant aux renseignements personnels et d’y donner suite de façon plus rapide et efficace.
Mise à jour des formulaires par une entreprise de services financiers pour éliminer la collecte du numéro d’assurance sociale des bénéficiaires
Une personne a déposé une plainte auprès du Commissariat concernant les formulaires d’une entreprise de services financiers pour la désignation de tiers bénéficiaires.
L’entreprise, qui devait transférer le contrat du régime d’épargne-retraite d’un individu par suite d’une fusion, a demandé au plaignant de remplir un formulaire afin de désigner un bénéficiaire. Le formulaire contenait un champ obligatoire dans lequel il fallait entrer le numéro d’assurance sociale du bénéficiaire désigné.
Nous avons constaté qu’aucune exigence juridique ou opérationnelle n’obligeait l’entreprise à recueillir le numéro d’assurance sociale du bénéficiaire. Nous lui avons fait part de cette préoccupation et lui avons transmis notre document d’orientation Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé. Par suite de notre intervention, l’entreprise a retiré de son formulaire la section demandant le numéro d’assurance sociale.
Par ailleurs, il y a eu des échanges entre l’entreprise et notre Direction des services-conseils à l’entreprise, laquelle donne des avis aux entreprises du secteur privé et participe à des activités de sensibilisation et de mobilisation destinées à favoriser la conformité à la LPRPDE. Ces discussions ont été fructueuses car l’entreprise a accepté nos recommandations. Le plaignant s’est réjoui du dénouement du dossier et de la rapidité avec laquelle nous nous étions attaqués au problème. Nous considérons qu’il s’agit d’une plainte fermée par règlement rapide.
Enquêtes
Accès répété de fraudeurs à des comptes par suite du non-respect des politiques par des employés d’une société de télécommunications
Un client de Fido a déposé une plainte auprès du Commissariat contre l’entreprise après que des fraudeurs eurent accès aux renseignements personnels associés à son compte et les eurent modifiés. Cette plainte faisait suite à des appels répétés à l’entreprise pendant plusieurs jours, même après que le client eut ajouté un numéro d’identification personnel et des questions secrètes pour son compte.
Nous avons écouté l’enregistrement de cinq appels téléphoniques entre les fraudeurs et des représentants du service à la clientèle. Dans chaque cas, les fraudeurs, qui se faisaient passer pour le plaignant, ont obtenu l’accès au compte de ce dernier même si l’authentification avait échoué malgré les protocoles mis en place par Fido.
Dans sa réponse à nos demandes d’information, la société mère de Fido, Rogers, a affirmé qu’elle avait mis en place diverses mesures de protection pour empêcher les accès non autorisés.
À notre avis, les manquements répétés de plusieurs représentants du service à la clientèle témoignent d’un problème systémique dans les mesures de protection.
Fido avait adopté des protocoles obligeant les employés à confirmer l’identité des appelants selon des méthodes à plusieurs facteurs d’authentification, mais il s’avère que tous les représentants du service à la clientèle qui ont traité avec le plaignant pendant la période visée ont contourné ces protocoles.
Selon nos Lignes directrices en matière d’identification et d’authentification, pour assurer l’efficacité des mesures d’authentification, les employés doivent connaître et respecter les politiques établies de manière à empêcher un accès non autorisé aux renseignements personnels des clients. Il est important que les organisations mettent en place des mesures pour s’assurer que leurs processus sont bien suivis, en particulier dans les cas où des employés pourraient avoir des motifs susceptibles de les inciter à contourner les protocoles, par exemple pour atteindre des cibles de vente.
Fido a accepté de mettre en œuvre nos recommandations visant à donner l’assurance que le personnel comprend et suit les protocoles d’authentification. Nous lui avons notamment recommandé d’informer le personnel des conséquences du non-respect de ces protocoles.
Nous avons conclu que l’aspect de la plainte concernant les mesures de protection était fondé et qu’il avait été conditionnellement résolu.
Le plaignant alléguait également que Fido avait omis de lui donner accès à la transcription des appels entre les fraudeurs et l’entreprise.
Nous estimons que Fido n’était pas tenue de fournir l’information au sujet de ces appels sous forme de transcriptions. Toutefois, en raison de la très mauvaise qualité sonore des enregistrements des appels qu’elle a fait entendre au plaignant, nous avons conclu que l’entreprise avait omis de donner accès à ces renseignements sous une forme généralement compréhensible.
À terme, Fido a accepté de fournir au client la transcription des appels. Nous avons donc conclu que l’aspect de la plainte concernant l’accès était fondé et qu’il avait été résolu.
Pour en savoir davantage
Risque d’atteinte à la vie privée d’utilisateurs en raison du paramètre « rester connecté » par défaut sur une plateforme de courriel
Le Commissariat a fait enquête sur une plainte déposée contre Yahoo Canada alléguant qu’un paramètre faisait en sorte que les utilisateurs de Yahoo Courriel restaient connectés par défaut au service de courriel, ce qui soulevait des préoccupations sur le plan de la vie privée si l’on accédait aux courriels sur un ordinateur public ou partagé. Notre enquête portait sur les mesures de protection et le consentement liés au paramètre « rester connecté » de Yahoo. Nous sommes d’avis que les courriels d’une personne peuvent contenir des renseignements très sensibles, et que la communication de ces renseignements à un étranger sur un ordinateur public ou à un membre de la famille sur un ordinateur partagé pourrait causer un grave préjudice à l’intéressé. Nous n’avons pas accepté l’affirmation de Yahoo selon laquelle une personne raisonnable comprendrait que ce paramètre est activé par défaut.
Nous n’avons pas accepté non plus son affirmation selon laquelle les mesures de protection supplémentaires en place étaient adéquates pour réduire le risque d’atteinte à la vie privée d’un utilisateur qui reste par inadvertance connecté sur un ordinateur public ou partagé. Ces mesures consistent en un algorithme destiné à désactiver le paramètre « rester connecté » sur les ordinateurs publics et un moyen de fermer un compte de courriel à distance.
Nos tests ont révélé que l’algorithme censé protéger les utilisateurs de Yahoo Courriel sur les ordinateurs publics ne fonctionnait pas. En outre, la fonction permettant de fermer une session ouverte sur Yahoo Courriel en modifiant le mot de passe à partir d’un autre appareil ne fonctionnait pas pour les abonnés de Rogers. Quoi qu’il en soit, un utilisateur aurait accès à cette fonction uniquement après s’être rendu compte qu’il était resté connecté involontairement. Or, en pareil cas, il est possible que ses renseignements aient déjà été exposés.
Sur la question du consentement, en raison des risques pour les utilisateurs, nous estimons que le mécanisme de consentement implicite était inadéquat. Yahoo devait obtenir un consentement explicite pour son paramètre « rester connecté ».
Nous avons également constaté que Yahoo avait omis d’obtenir un consentement valable. En effet, au moment où les utilisateurs devaient décider de rester connectés ou non, elle ne leur avait pas indiqué clairement que toute personne qui se rendrait par la suite sur son site au moyen du même appareil pourrait avoir accès à tous les renseignements potentiellement sensibles contenus dans leurs courriels antérieurs.
À la suite de nos recommandations, Yahoo s’est engagée à modifier le paramètre « rester connecté » pour passer du consentement implicite au consentement explicite et à afficher bien en vue des renseignements clairs pour mieux informer les utilisateurs des répercussions du consentement explicite à l’égard de ce paramètre. Le Commissariat a également eu des échanges avec Rogers pour avoir l’assurance que les abonnés de cette entreprise qui utilisent Yahoo Courriel auront, comme les autres utilisateurs de cette plateforme, un moyen de fermer une session s’ils restent connectés sur un ordinateur public ou partagé. Le Commissariat estime donc que cette plainte était fondée et qu’elle a été conditionnellement résolue.
Au moment de la publication du présent rapport, nous poursuivions notre travail auprès de Yahoo sur la mise en œuvre finale de nos recommandations. Nous comptons aussi nous adresser à d’autres fournisseurs de services de courriel afin de leur faire part de notre position à cet égard et de les encourager à revoir et à changer, le cas échéant, leurs propres pratiques en fonction des recommandations formulées dans notre rapport.
Une entreprise de prêt sur salaire oblige les emprunteurs à fournir le mot de passe de leurs services bancaires en ligne
Le ministère des Services gouvernementaux et des Services aux consommateurs de l’Ontario a informé le Commissariat que CashHere, une entreprise de prêt à court terme, exigeait que les demandeurs de prêt lui fournissent le mot de passe, le nom d’utilisateur ainsi que les questions de sécurité et les réponses correspondantes de leurs services bancaires en ligne.
Notre enquête ouverte à l’initiative du commissaire a déterminé que CashHere recueillait et utilisait les identifiants associés aux services bancaires de ses clients à une fin qu’une personne raisonnable n’estimerait pas acceptable.
Nous comprenons que les identifiants en ligne peuvent aider l’entreprise à valider l’identité du demandeur et à obtenir un historique de ses revenus pour décider si elle lui accordera un prêt et gérer les remboursements. Toutefois, il existe des moyens portant beaucoup moins atteinte à la vie privée de parvenir à ces fins. Par exemple, un prêteur pourrait examiner des relevés bancaires caviardés sur support papier ou confirmer le revenu auprès de l’employeur.
De plus, à notre avis, si CashHere obtient l’historique complet des relevés bancaires des demandeurs de prêt et qu’elle a toute la latitude de faire des opérations dans leurs comptes bancaires, il pourrait en résulter des atteintes à la vie privée hors de proportion avec les avantages commerciaux obtenus par l’entreprise de prêt.
Au cours de notre enquête, CashHere a cessé de répondre au Commissariat et a mis en vente son site Web.
Or, nous avons découvert qu’une entreprise avait commencé à exercer ses activités à partir d’un site Web différent sous le nom de MoneyHome. Celle-ci utilisait la même application en ligne que CashHere et demandait également les identifiants liés aux services bancaires. MoneyHome indiquait sur son site Web la même adresse municipale que CashHere et affichait le certificat de licence de prêt de cette dernière. Malgré tout, MoneyHome a nié tout lien avec CashHere.
Nous considérons donc que la plainte était fondée et qu’elle n’a pas été résolue.
À l’issue de cette enquête, nous avons transmis nos conclusions à MoneyHome en précisant que nous nous attendions à ce qu’elle cesse de recueillir les identifiants associés aux services bancaires en ligne de ses clients, mais nous n’avons reçu aucune réponse. Nous avons remarqué que le site Web est maintenant à vendre. Après avoir fait part de nos préoccupations au ministère responsable des services aux consommateurs de l’Ontario, nous avons constaté que ce dernier avait ajouté MoneyHome sur la Liste des mises en garde pour les consommateurs.
Consommateur stupéfait de constater que le centre d’assistance d’une entreprise de services informatiques puisse accéder à distance à son nouvel ordinateur portable
Un individu qui avait acheté un ordinateur portable auprès d’une entreprise de services informatiques doté d’un centre d’assistance a déposé une plainte auprès du Commissariat. Selon ses allégations, un technicien du centre d’assistance avait utilisé pendant un rendez-vous un logiciel d’accès à distance préinstallé dans son nouvel ordinateur pour y accéder sans son consentement.
À notre avis, la fonction d’accès à distance donnait aux techniciens la possibilité de consulter des renseignements personnels sur les ordinateurs des clients, y compris des renseignements sensibles. C’est pourquoi l’entreprise aurait dû obtenir un consentement explicite avant d’accéder à l’appareil du plaignant.
L’entreprise de services informatiques a fait valoir que le technicien avait obtenu verbalement le consentement explicite du client pour utiliser le logiciel d’accès à distance. Or, le plaignant affirmait le contraire et l’entreprise n’était pas en mesure de prouver ses dires.
Le plaignant s’est ensuite demandé si l’entreprise de services informatiques protégeait adéquatement ses propres renseignements personnels et ceux des autres clients contre un accès non autorisé. L’entreprise a souligné l’existence de mesures de sécurité préventive, mais nous avons estimé que celles-ci n’étaient pas adéquates.
L’entreprise a déclaré que le technicien devait obtenir auprès du client un code d’identification unique pour avoir accès à son ordinateur à distance. D’après ce que nous avons observé, une fois que le technicien connaissait ce code, lequel avait été fourni par l’entreprise au moment de l’achat, il pouvait être utilisé à plusieurs reprises.
L’entreprise a également soutenu que les techniciens ne pouvaient avoir accès à l’ordinateur du client à moins que l’appareil soit sous tension et branché à Internet, si bien que le client s’en apercevrait le cas échéant. Or, les utilisateurs laissent parfois leur ordinateur fonctionner sans surveillance et ne remarquent pas forcément un accès à distance.
L’entreprise a également déclaré que le logiciel d’accès à distance ne permettait pas aux techniciens de copier ou d’enregistrer des renseignements personnels. Cependant, nous avons constaté qu’un technicien pouvait copier des renseignements, par exemple en utilisant la caméra d’un téléphone cellulaire.
Nous avons soulevé que l’entreprise aurait pu utiliser un autre type de dispositif d’accès à distance obligeant l’utilisateur à confirmer activement, sur son ordinateur, qu’il acceptait qu’un tiers y ait accès. Elle s’est plutôt limitée à obtenir un consentement verbal, ce qu’elle n’a pas été en mesure de prouver.
Dans ce contexte, nous avons conclu que l’entreprise de services informatiques n’avait pas obtenu un consentement valable et qu’elle n’avait pas pris de mesures de protection appropriées correspondant au degré de sensibilité des renseignements en cause.
Au cours de notre enquête, l’entreprise a fait l’objet d’une restructuration et aboli son centre d’assistance, si bien qu’elle a cessé d’utiliser le logiciel d’accès à distance. Nous estimons donc que la plainte était fondée et qu’elle a été résolue.
Correction des vulnérabilités de sécurité par une entreprise de logiciels éducatifs
Une enquête menée à la suite d’une plainte déposée par un parent a révélé qu’une entreprise canadienne de technologie d’éducation ne disposait pas d’un cadre global de sécurité de l’information pour protéger adéquatement les renseignements personnels sensibles de centaines de milliers d’élèves.
Le plaignant avait découvert des vulnérabilités de sécurité dans une application logicielle utilisée par le conseil scolaire de l’école fréquentée par ses enfants.
Le logiciel d’application, appelé « Edsby », appartient à CoreFour Inc., qui traite les renseignements personnels de centaines de milliers d’enfants de partout au Canada et de l’étranger. Les renseignements personnels sensibles confiés à cette entreprise de Richmond Hill, en Ontario, sont les notes des élèves ainsi que des renseignements sur leurs absences, leurs troubles d’apprentissage et leur état de santé, par exemple en ce qui concerne les allergies et la médication. Ces renseignements devraient être protégés par des mesures de sécurité accrues proportionnelles à leur volume et à leur sensibilité.
Selon les conclusions de l’enquête, CoreFour avait mis en place certaines pratiques de sécurité efficaces, mais elle ne s’était pas munie d’un solide cadre global de sécurité de l’information.
Ce type de cadre aurait peut-être permis d’éviter les vulnérabilités de sécurité relevées par le plaignant et confirmées par le Commissariat à l’issue de tests. En particulier, l’enquête a fait ressortir la faiblesse des exigences en matière de mot de passe pour certains comptes parentaux d’Edsby et des mesures de sécurité inadéquates pour empêcher l’accès sans autorisation aux vignettes figurant dans le profil des élèves. Elle a également fait ressortir la nécessité de détecter les maliciels lors du téléversement de contenu dans Edsby à partir d’applications tierces.
CoreFour a collaboré avec le Commissariat, remédié aux vulnérabilités cernées dans les mesures de protection et accepté de mettre en œuvre toutes nos recommandations.
Il s’agissait de la première enquête menée par le Commissariat dans le domaine des technologies de l’éducation, lesquelles se sont grandement répandues en raison de l’apprentissage à distance pendant la pandémie.
L’enquête a permis de souligner l’importance, particulièrement pour les petites et moyennes entreprises, de mettre en place des cadres de sécurité de l’information et de gestion de la protection de la vie privée qui s’adaptent à la croissance d’une organisation, afin de protéger adéquatement les renseignements personnels et de respecter les exigences de la législation.
Durant l’enquête, nous avons communiqué de l’information au Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario, qui menait une enquête connexe en vertu de la Loi sur l’accès à l’information municipale et la protection de la vie privée de cette province. Son enquête portait sur une plainte déposée contre un conseil scolaire utilisant l’application Edsby pour gérer l’assiduité des élèves.
Pour en savoir davantage
- Enquête sur la conformité de CoreFour Inc. à la LPRPDE, le 29 mars 2021
Mise à jour sur la Loi canadienne anti-pourriel
Les principales dispositions de la Loi canadienne anti-pourriel (LCAP) sont entrées en vigueur en 2014 pour protéger les consommateurs et les entreprises contre une mauvaise utilisation des technologies numériques, notamment les pourriels et les autres menaces électroniques. Cette loi vise également à aider les entreprises à demeurer concurrentielles dans un marché numérique mondial. Le Commissariat partage avec le Conseil de la radiodiffusion et des télécommunications canadiennes et le Bureau de la concurrence la responsabilité de l’application de la LCAP.
En novembre 2020, ces trois organismes ont lancé leur première initiative tripartite axée sur la conformité à la LCAP en publiant une lettre conjointe adressée à 36 entreprises de l’industrie canadienne des applications mobiles dans le but de les sensibiliser à leurs obligations.
Cette lettre rappelait aux entreprises les obligations qui leur incombent en vertu de la LCAP et relativement à la promotion, à l’installation et à l’utilisation des applications mobiles en vertu de LPRPDE et de la Loi sur la concurrence.
Elle les encourageait également à prendre des mesures pour prévenir les activités qui suscitent des préoccupations, entre autres :
- les applications qui recueillent ou utilisent des renseignements personnels, comme les adresses électroniques, sans consentement;
- les applications qui sont conçues pour envoyer des pourriels aux amis et contacts de l’utilisateur;
- les applications qui donnent des indications fausses ou trompeuses pour promouvoir un produit, un service ou un intérêt commercial;
- les applications qui ne présentent pas de manière appropriée leurs fonctions (comme celles qui permettent de communiquer avec d’autres ordinateurs ou de télécharger automatiquement d’autres programmes sur l’appareil d’un utilisateur) afin d’obtenir un consentement éclairé de l’utilisateur avant l’installation.
Ces activités exposent les Canadiens notamment à la fraude, au vol d’identité et à des pertes financières. Les entreprises d’applications mobiles sont donc mieux placées que quiconque pour détecter et prévenir ces pratiques et, le cas échéant, les empêcher de porter préjudice aux consommateurs.
Nous avons encouragé les entreprises à revoir leurs pratiques et à prendre des mesures préventives et correctives au besoin.
En 2020-2021, deux plaintes concernant des courriels de marketing non sollicités et des fonctions de désabonnement ont été fermées par règlement rapide. Un défaut de compétence était en cause. Par ailleurs, deux autres dossiers pouvant être liés aux responsabilités qui incombent au Commissariat sous le régime de la LCAP étaient en traitement au moment de la rédaction du présent rapport.
Le Centre d’information du Commissariat a reçu 37 demandes de particuliers et d’entreprises concernant la LCAP en 2020-2021. La plupart des demandes de particuliers se rapportaient à la collecte et à l’utilisation de leur adresse de courriel sans leur consentement ou à l’absence d’une option de désabonnement dans des courriels qu’ils avaient reçus. Les demandes des entreprises, quant à elles, concernaient l’obtention et l’utilisation de listes d’adresses électroniques.
Nous avons de nouveau produit un encart sur la LCAP, qui a été posté par l’Agence du revenu du Canada en avril et en mai 2020 à l’intention de 477 350 entreprises au Canada. Cet encart donnait de l’information sur les obligations qui incombent aux entreprises dans le domaine du cybermarketing.
En lien avec la LCAP, le Commissariat a aussi donné régulièrement des conseils pratiques et de l’information sur ces questions dans les médias sociaux, en particulier en mars 2021 dans le cadre du Mois de la prévention de la fraude.
Pour en savoir davantage
- Lettre conjointe des organismes fédéraux d’application de la loi pour rappeler les obligations relatives à la Loi canadienne anti-pourriel à l’industrie des applications, le 26 novembre 2020
Laboratoire d’analyse des nouvelles technologies
Les avancées technologiques créent constamment de nouveaux risques d’atteinte à la vie privée et le Commissariat se doit de suivre le rythme des nouveautés. Cette année, nous avons évalué notre laboratoire d’analyse des technologies en vue d’établir si nous disposions des outils nécessaires pour nous adapter à l’évolution rapide des technologies.
À l’issue de cette évaluation, nous avons conclu qu’il fallait améliorer l’infrastructure de notre laboratoire. Nous avons alors mis à niveau l’ensemble de l’infrastructure des technologies de l’information (TI) et acquis de nouveaux outils à la fine pointe afin de pouvoir mieux analyser les composants de diverses technologies.
L’ajout de ces nouveaux outils nous a notamment permis de mieux analyser la technologie sous-jacente d’une plateforme médicale novatrice, faisant appel à l’intelligence artificielle, dans le cadre d’un projet de recherche mené en partenariat avec le Conseil national de recherches Canada.
Par ailleurs, le Commissariat déménage actuellement son laboratoire dans des locaux qui permettront de répondre aux besoins de l’heure et aux besoins futurs. Ce laboratoire offrira la souplesse nécessaire pour pouvoir s’adapter aux avancées technologiques, qui sont en constante évolution, grâce à une configuration multizone diversifiée. Il sera ainsi possible d’analyser plus efficacement les maliciels, les composants matériel, les applications mobiles et les appareils de l’Internet des objets, et de faire des analyses de criminalistique numérique plus poussées. De plus, cette nouvelle configuration nous permettra d’étendre nos capacités d’analyse des technologies émergentes et de collaborer avec plus d’efficacité avec divers ministères et organismes fédéraux.
Conseils et activités de sensibilisation à l’intention des entreprises
La Direction des services-conseils à l’entreprise aide les entreprises à évaluer les répercussions de leurs pratiques et de leurs initiatives sur la vie privée – et à mieux se conformer à la LPRPDE lorsqu’elles adoptent de nouvelles technologies et des modèles d’affaires novateurs.
En prenant en compte les questions de protection de la vie privée dès le début, on réduit les risques d’atteinte à la vie privée et on assure une certaine prévisibilité de la réglementation qui est utile aux organisations à mesure qu’elles innovent et prennent de l’expansion. Qui plus est, les Canadiens peuvent alors tirer parti de l’innovation en toute confiance.
Les entreprises assujetties à la LPRPDE peuvent s’adresser au Commissariat pour demander de leur propre chef des services-conseils, et nous pouvons aussi offrir ces services de façon proactive aux organisations, individuellement ou en groupe.
En 2020-2021, la Direction de l’analyse de la technologie a aussi mené une initiative visant à donner des conseils en matière de protection de la vie privée à une entreprise de Toronto qui développe une plateforme logicielle axée sur l’intelligence artificielle pour améliorer les soins aux personnes ayant des troubles du développement.
Une entreprise demande conseil sur le perfectionnement d’un appareil améliorant la vision des personnes malvoyantes
Une PME (petite ou moyenne entreprise) canadienne a sollicité des services-conseils concernant son dispositif portable d’amélioration de la vision à l’intention des personnes malvoyantes. Cet appareil, conçu et fabriqué au Canada, améliore la qualité de vie et le niveau fonctionnel des utilisateurs au quotidien.
L’entreprise a décidé de perfectionner son appareil pour offrir des caractéristiques supplémentaires, ce qui permettra d’en accroître la fonctionnalité. Elle a alors demandé des conseils sur la protection de la vie privée relativement à la version la plus numériquement évoluée et connectée de son produit de quatrième génération.
Cette démarche proactive lui a permis d’obtenir des conseils pour respecter les exigences de protection de la vie privée dans un large éventail de domaines connexes et d’innover en s’appuyant sur une certaine prévisibilité de la réglementation, ce qui permettra de réduire les coûts de réingénierie à l’avenir. L’entreprise proposera des versions plus avancées de ses produits à ses clients canadiens et étrangers, et créera des emplois bien rémunérés au Canada, à mesure qu’elle accroîtra ses activités dans le respect de la vie privée.
Une entreprise de média numérique demande conseil sur un produit faisant appel à la technologie d’analyse vidéo destiné aux détaillants
Une organisation qui fournit des services numériques a communiqué avec la Direction des services-conseils à l’entreprise pour demander de son propre chef des conseils concernant son service d’analyse vidéo anonyme afin de se conformer à la LPRPDE. Cette demande faisait suite à la publication des conclusions de l’enquête du Commissariat sur La Corporation Cadillac Fairview limitée. L’organisation a établi des distinctions entre sa technologie et son application et celles utilisées dans ce dossier, et a demandé conseil pour s’assurer de respecter la LPRPDE.
Après avoir analysé l’information présentée par l’organisation, nous avons formulé des recommandations pour améliorer la conformité et la protection de la vie privée à certains égards, par exemple en ce qui concerne la responsabilité, la finalité, le consentement, la limitation de la collecte et de l’utilisation de renseignements personnels, et les mesures de protection.
L’entreprise a remercié le Commissariat de lui avoir offert l’occasion de pouvoir discuter de ce sujet de façon proactive et de lui avoir donné de précieux conseils pour mieux respecter les exigences en matière de protection de la vie privée, et ainsi éviter des problèmes dans ce domaine.
Pour en savoir davantage
Solutions innovatrices Canada
Depuis deux ans, nous nous efforçons d’établir des partenariats de recherche technique axés sur la collaboration avec des pairs d’autres institutions fédérales. Ces efforts nous ont permis d’établir un partenariat de recherche fructueux entre des membres de la Direction de l’analyse de la technologie et le Centre de recherche sur les dispositifs médicaux (CRDM) du Conseil national de recherches Canada.
Nos collaborateurs au CRDM nous ont invités à participer à une analyse technique conjointe d’une innovation financée par le programme Solutions innovatrices Canada mis sur pied par Innovation, Sciences et Développement économique Canada.
L’innovation en question – le Reveal d’Awake Labs – est une plateforme logicielle axée sur l’intelligence artificielle qui vise à améliorer les soins offerts aux personnes ayant une déficience intellectuelle ou des troubles du développement, y compris l’autisme.
Reveal fait appel à une montre intelligente et à une application pour téléphone mobile afin d’aider les gens ayant une déficience intellectuelle à gérer le stress. En plus de donner en temps réel une rétroaction sur le niveau de stress, elle comporte une fonction de prise de notes pour aider à retracer les éléments qui pourraient influer sur le niveau de stress.
Nous avons soumis la plateforme Reveal à des tests de cybersécurité axés sur la protection de la vie privée en mettant l’accent sur les dix principes relatifs à l’équité dans le traitement de l’information énoncés dans la LPRPDE. Entre autres tests, nous avons analysé la circulation sur le réseau, procédé à des tests de vulnérabilité et évalué la conception de l’interface.
En plus de permettre aux membres de la Direction de l’analyse de la technologie de se familiariser avec un nouvel écosystème d’outils, cette recherche a contribué au processus de développement du produit d’Awake Labs en cernant plusieurs problèmes de sécurité et de protection de la vie privée, auxquels l’entreprise s’est rapidement attaquée.
Élaboration d’orientations
Un volet important de notre travail consiste à élaborer des orientations pour aider les organisations à respecter leurs obligations prévues par la LPRPDE.
En août 2020, nous avons publié un document d’orientation à l’intention des fabricants d’appareils de l’Internet des objets qui recueillent des renseignements personnels – sonnettes de porte, alarmes, téléviseurs, appareils électroménagers, jouets, dispositifs de suivi de la santé, etc.
Ces types d’appareils, qui gagnent rapidement en popularité, font partie d’un écosystème complexe et souvent opaque dans lequel de nombreux composants et acteurs – comme les plateformes de médias sociaux, les applications tierces et les fournisseurs de services – sont susceptibles de recueillir, d’utiliser et de communiquer des renseignements personnels.
Le document d’orientation donne de l’information pratique pour aider les fabricants à faire en sorte que leurs appareils de l’Internet des objets (IO) et leurs pratiques commerciales respectent la vie privée et soient conformes à la LPRPDE.
Nous avons aussi publié un document d’accompagnement pour aider les utilisateurs à comprendre comment protéger leur vie privée, tout en bénéficiant des avantages que procurent les appareils intelligents.
Pour en savoir davantage
- Document d’orientation sur la protection de la vie privée à l’intention des fabricants d’appareils de l’Internet des objets, août 2020
- Les appareils intelligents et la protection de la vie privée, août 2020
Programme des contributions
Le Programme des contributions du Commissariat finance la recherche indépendante et les initiatives connexes d’application des connaissances sur la protection de la vie privée.
Chaque automne, le Commissariat lance un appel de propositions pour financer ce type de travaux et d’initiatives. Les établissements d’enseignement supérieur et les organismes à but non lucratif (notamment les associations industrielles et professionnelles, les organismes de protection des consommateurs, les organismes bénévoles et les organismes de défense des droits) sont admissibles au financement. Ce programme, dont le budget annuel s’élève à 500 000 $, a pour objet d’appuyer la recherche indépendante et sans but lucratif sur la protection de la vie privée, de favoriser l’élaboration de politiques dans le domaine et de promouvoir la protection des renseignements personnels au Canada dans le secteur privé. Depuis sa création en 2004, il a permis d’allouer environ 7 millions de dollars à quelque 160 projets.
Dans le cadre de son appel de propositions pour 2020-2021, le Commissariat souhaitait principalement financer des projets de recherche portant sur l’intelligence artificielle (IA) et ses répercussions sur le droit à la vie privée. De plus, il souhaitait financer l’organisation d’un symposium Parcours de protection de la vie privée.
Après avoir évalué en fonction de leur mérite les 43 propositions reçues, nous avons retenu 11 projets pour un financement. Nous avons attribué un montant pouvant atteindre 50 000 $ par projet, jusqu’à concurrence de 100 000 $ par organisation. Les projets financés portent sur des sujets variés, comme l’IA et l’apprentissage machine, les répercussions de l’IA sur la vie privée des enfants et des jeunes, la protection des renseignements sur la santé dans le contexte de l’IA ainsi que l’examen de l’IA dans la perspective des consommateurs et de l’éthique.
Dans nos appels à une réforme législative dans le secteur public, nous avons réclamé un mandat particulier pour la recherche et la sensibilisation du public (un tel mandat est prévu par la LPRPDE). Cela permettrait d’élargir la portée du Programme des contributions au-delà des questions de protection de la vie privée dans le secteur privé.
Pour en savoir davantage
Conseils au Parlement
Comparutions et mémoires
Chaque année, le Commissariat communique avec le Parlement par divers moyens. Les parlementaires nous consultent principalement dans le cadre de comités pour obtenir des conseils sur des lois qui pourraient avoir une incidence sur la vie privée des Canadiens ou encore pour faire appel à notre expertise dans le contexte d’études portant sur des enjeux relatifs à la protection de la vie privée. Nos comparutions devant des comités ont été moins nombreuses en 2020-2021 qu’au cours des exercices antérieurs en raison de la pandémie de COVID-19.
La pandémie a cependant fait ressortir de nombreux facteurs à prendre en compte pour la protection des renseignements personnels dans un environnement numérique. Ces facteurs ont donné lieu à des échanges avec le Parlement.
Le commissaire a comparu devant le Comité permanent de l’industrie, des sciences et de la technologie dans le cadre de l’étude sur la réponse canadienne à la pandémie de COVID-19. Il s’est alors concentré sur les applications de traçage de contacts.
Devant le Comité, M. Therrien a déclaré que des applications de traçage bien conçues pourraient protéger à la fois la santé publique et la vie privée. Il a souligné qu’une bonne conception d’outils technologiques, comme les applications de traçage, passe par le respect des principes clés énoncés dans le cadre d’évaluation des initiatives en réponse à la pandémie ayant une incidence importante sur la vie privée. Le commissaire a également insisté sur l’importance d’adopter des lois qui permettent aux technologies de procurer des avantages dans l’intérêt public sans créer de risques de violation des droits fondamentaux, comme le droit à la vie privée.
En outre, nous avons comparu devant le Comité permanent de la procédure et des affaires de la Chambre dans le cadre de l’étude sur la façon dont les députés peuvent le mieux exercer leurs fonctions parlementaires pendant la pandémie de COVID-19. Nous avons alors parlé de questions liées à la protection de la vie privée dans l’utilisation de plateformes de vidéoconférence Web. Nous avons souligné qu’il y a souvent un lien entre, d’une part, les préoccupations concernant la protection de la vie privée et, d’autre part, les vulnérabilités et les risques pour la cybersécurité sur ces plateformes. Nous avons formulé plusieurs recommandations pour protéger la vie privée lors de l’utilisation d’une plateforme de vidéoconférence Web pour des réunions publiques. Entre autres suggestions, nous avons indiqué qu’il faut examiner soigneusement les politiques de confidentialité et les modalités d’utilisation des services envisagés et que la prudence s’impose lorsque l’on utilise les fonctions de messagerie privée. De plus, l’hôte d’une réunion devrait utiliser les mécanismes de contrôle qui sont souvent à sa disposition.
En plus de ces interventions en soutien aux travaux des parlementaires fédéraux, nous avons participé aux initiatives de modernisation de deux lois provinciales sur la protection des renseignements personnels.
Comme nous en avons fait état dans un chapitre précédent portant sur la réforme législative, le commissaire a comparu devant un comité de l’Assemblée nationale du Québec au sujet du projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Le commissaire a alors souligné que des lois modernes sur la protection des renseignements personnels devraient donner l’assurance que les nouvelles technologies sont utilisées d’une manière qui protège la vie privée. Le point de départ d’une réforme devrait consister à s’assurer que ces lois respectent le caractère fondamental de ce droit et le mettent en œuvre de façon moderne et durable.
Le commissaire a fait remarquer que plusieurs éléments du projet de loi 64 vont dans le sens des propositions détaillées pour la réforme des lois fédérales présentées par le Commissariat l’an dernier. Par exemple, le projet de loi prévoit des dispositions encadrant le profilage et protégeant le droit à la réputation. En outre, il assujettit les partis politiques aux dispositions de la loi sur le secteur privé. D’après le commissaire, le projet de loi C-11 pourrait être amélioré en empruntant certaines approches adoptées dans le projet de loi 64.
Le Commissariat a aussi participé à la consultation publique menée par le comité spécial chargé de l’examen de la Personal Information Protection Act de la Colombie-Britannique.
Dans notre mémoire, nous avons appuyé les recommandations formulées par le commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique et fait part de notre propre expérience et de notre point de vue au sujet de certaines mesures législatives proposées par ce dernier. Par exemple, nous sommes convaincus que la pandémie fait ressortir davantage la nécessité de lois rigoureuses, qui doivent être adaptées aux réalités de l’ère numérique. Dans notre mémoire, nous soulignons aussi l’importance de la déclaration obligatoire des atteintes à la vie privée et affirmons que les organismes de réglementation de la protection des données doivent absolument avoir le pouvoir d’imposer des sanctions administratives pécuniaires.
Coopération avec des autorités canadiennes et étrangères
La pandémie mondiale a mis en évidence l’interconnectivité de notre monde comme jamais auparavant. Le virus de la COVID-19 a fait le tour de la planète, tout comme les connaissances scientifiques et technologiques qui ont permis, par exemple, de développer des vaccins contre la COVID-19 et de commencer à les distribuer en l’espace d’une année.
En parallèle, nous avons vu des problèmes de protection de la vie privée similaires survenir partout au Canada et ailleurs dans le monde alors que les gouvernements cherchaient à arrêter la propagation du virus et que les personnes et les organisations se tournaient vers la technologie pour assurer le maintien d’activités essentielles comme l’éducation, le travail et la socialisation.
La pandémie a fait ressortir l’importance de la collaboration avec des homologues canadiens et étrangers pour protéger efficacement le droit à la vie privée des Canadiens.
Au cours de la dernière année, cette collaboration s’est avérée essentielle pour continuer de protéger le droit à la vie privée des Canadiens dans une société sans frontières. Alors que la pandémie frappait durement la production économique et les échanges commerciaux à l’échelle mondiale, les personnes et les entreprises sont devenues de plus en plus tributaires des technologies de l’information et des communications. Par ailleurs, le commerce international a continué de reposer sur la circulation transfrontalière des renseignements personnels, et les risques d’atteinte à la vie privée en général ont persisté.
Le Commissariat s’est tourné vers le télétravail pendant cette période et a pu continuer à collaborer de manière fluide avec ses homologues canadiens et étrangers.
Grâce à nos interactions soutenues avec nos partenaires, au pays et ailleurs dans le monde, nous avons pu mettre en commun des pratiques exemplaires, apprendre des autres et tirer parti de leur expérience et de leur expertise pour orienter et renforcer les activités que nous menons au Canada. En adoptant des positions communes sur les questions qui ont une incidence considérable sur la protection de la vie privée et en les faisant connaître, nous parlons d’une seule voix et exerçons une plus grande influence sur les entreprises et les gouvernements.
Plusieurs de nos initiatives de collaboration au cours de la dernière année portaient sur des questions touchant la pandémie, mais nous avons aussi continué à collaborer avec nos partenaires dans d’autres dossiers.
Coopération avec des autorités canadiennes
Collaborations fédérales-provinciales-territoriales
La réunion annuelle des commissaires à l’information et à la protection de la vie privée fédéral, provinciaux et territoriaux a été annulée en 2020 en raison de la pandémie, mais les membres du groupe ont continué de travailler de concert de différentes façons tout au long de l’année.
En mai 2020, les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée ont publié une déclaration commune, intitulée Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires. Dans cette déclaration, ils ont demandé aux gouvernements de s’assurer que les applications de traçage des contacts respectent les grands principes de protection de la vie privée.
Nous avons insisté sur la nécessité d’une application souple des lois sur la protection des renseignements personnels. Nous avons aussi indiqué que si l’on porte l’attention voulue aux principes de protection de la vie privée et si l’on veille à assurer une bonne conception en ce sens, il est possible de maintenir le respect des droits des citoyens et la confiance du public, tout en faisant progresser en parallèle d’importants objectifs de santé publique.
Leur déclaration commune a servi de rappel : la pandémie a accéléré la tendance générale à la numérisation au sein des gouvernements, mais les choix que l’on fera dans ce contexte façonneront l’avenir de notre pays. C’est pourquoi les commissaires ont vivement encouragé les gouvernements à prendre en compte les grands principes dans l’utilisation d’applications de traçage des contacts, dont les suivants : le consentement, une assise juridique claire, la nécessité et la proportionnalité, la finalité, la transparence et la responsabilité. Ils ont également souligné l’importance d’avoir recours à des mesures de protection techniques (par exemple la désidentification, l’agrégation de données et les mesures de sécurité), et de renforcer la confiance du public à l’égard de ces initiatives en vue d’appuyer la santé publique.
En mai 2021, les commissaires fédéral, provinciaux et territoriaux à la protection de la vie privée ont pu se réunir virtuellement. Ils ont alors adopté et publié une déclaration commune sur les questions de protection de la vie privée se rapportant aux passeports vaccinaux relatifs à la COVID-19. En juin 2021, ils ont publié une résolution conjointe sur l’accès à l’information et le droit à la vie privée pendant et après la reprise des activités dans la foulée de la pandémie.
Dans leur déclaration, les commissaires ont demandé aux gouvernements et aux entreprises de veiller à ce que l’on privilégie la protection de la vie privée au moment d’envisager le recours au passeport vaccinal pour aider les Canadiens à reprendre le cours normal de leur vie.
Ils ont aussi précisé que les passeports vaccinaux devraient être élaborés et mis en œuvre dans le respect des lois applicables sur la protection des renseignements personnels. De plus, ces passeports devraient intégrer les pratiques exemplaires en la matière pour assurer le niveau de protection le plus élevé en fonction de la sensibilité des renseignements personnels sur la santé qui seront recueillis, utilisés ou communiqués.
Le groupe a également souligné l’importance de respecter les principes fondamentaux de protection de la vie privée dans l’élaboration des passeports vaccinaux. En particulier, il faut établir la nécessité, l’efficacité et la proportionnalité de ces passeports pour chaque contexte particulier dans lequel ils seront utilisés.
De plus, le groupe a souligné qu’il faudra détruire tous les renseignements personnels sur la santé recueillis pour les passeports vaccinaux et mettre ces passeports hors service une fois que les responsables de la santé publique auront déclaré la fin de la pandémie ou s’il s’avère, à tout moment, que les passeports ne représentent plus une mesure nécessaire, efficace ou proportionnelle pour atteindre les objectifs de santé publique.
Enfin, les commissaires ont profité de l’occasion pour exhorter leurs gouvernements respectifs à faire preuve de leadership et à appliquer les principes fondamentaux dans la mise en œuvre et la modernisation nécessaire des régimes de gouvernance relatifs à l’accès à l’information et à la protection de la vie privée.
Dans la résolution conjointe publiée à l’issue de leur réunion de juin 2021, les commissaires ont souligné que l’accès aux renseignements gouvernementaux et le respect de la vie privée sont essentiels pour tenir les gouvernements responsables de leurs actions et de leurs décisions, et préserver la confiance à l’égard de la prise de décisions. D’après eux, cette mesure est propre à maintenir le bien-être et la confiance du public en temps de crise généralisée.
Leur résolution fait ressortir la nécessité d’intégrer les principes de protection de la vie privée dès la conception afin que les initiatives d’intervention d’urgence et de reprise des activités, soutenues par l’innovation, la technologie et le numérique, témoignent de la transparence et du respect des droits des individus.
Pour en savoir davantage
- Appuyer la santé publique et bâtir la confiance des Canadiens : principes de protection de la vie privée et des renseignements personnels pour les applications de traçage des contacts et autres applications similaires, le 7 mai 2020
- La vie privée et les passeports vaccinaux relatifs à la COVID-19, le 19 mai 2021
- Renforcer le droit à la vie privée et à l’accès à l’information pendant et après une pandémie, le 2 juin 2021
Collaboration avec des homologues provinciaux et territoriaux pour l’application de la loi
Le Forum national de collaboration sur l’application de la loi vise à favoriser la coopération fédérale-provinciale et facilite les démarches à cet égard. Il réunit des représentants du Commissariat à la protection de la vie privée du Canada, qui en assure la présidence, et des homologues de l’Alberta, de la Colombie-Britannique et du Québec. Au sein de ce forum, nous cernons les nouvelles plaintes ou atteintes à la sécurité des données susceptibles de donner lieu à de possibles collaborations, et présentons des mises à jour et des avis stratégiques sur les enquêtes conjointes en cours. De plus, nous discutons de techniques d’enquête et mettons en commun les leçons apprises et les pratiques exemplaires. Le forum offre aussi la possibilité de discuter de stratégies d’application de la loi dans le secteur public; nous remplissons un mandat similaire dans ce secteur, mais supervisons un groupe distinct d’organismes gouvernementaux.
En 2020-2021, nous avons collaboré avec nos collègues des provinces et des territoires dans un nombre d’enquêtes sans précédent. Nous avons continué d’accroître notre collaboration avec nos partenaires provinciaux en menant à terme trois enquêtes conjointes ou coordonnées, en lançant une nouvelle enquête conjointe et en partageant régulièrement de l’information avec nos homologues provinciaux.
En octobre 2020, les commissariats à la protection de la vie privée du Canada, de la Colombie-Britannique et de l’Alberta ont publié les conclusions de leur enquête sur l’utilisation par Cadillac Fairview de caméras intégrées dans ses bornes d’orientation numériques – ces caméras avaient recueilli 5 millions d’images de clients et utilisé la technologie de reconnaissance faciale pour estimer leur âge et leur sexe.
En décembre 2020, nous avons publié conjointement avec nos homologues de la Commission d’accès à l’information (CAI) du Québec les conclusions de nos enquêtes distinctes, mais coordonnées, portant sur une atteinte à la vie privée chez Desjardins. Il s’agissait de la première fois que le Commissariat et la CAI collaboraient à une enquête.
En février 2021, nous avons annoncé les conclusions d’une enquête sur l’application de reconnaissance faciale de Clearview AI, menée conjointement avec les commissaires de l’Alberta, de Ia Colombie-Britannique et du Québec. Signalons que cette enquête a été la première menée conjointement par ces trois provinces en vertu de la législation sur la protection des renseignements personnels dans le secteur privé.
À noter qu’en juin 2020, avec ces trois commissariats provinciaux, nous avions lancé une enquête conjointe sur une application mobile de Tim Hortons à la suite de reportages dans les médias qui soulevaient des préoccupations quant à la manière dont cette application pouvait recueillir et utiliser les données sur les déplacements des personnes vaquant à leurs activités quotidiennes. Cette enquête était en cours au moment de la rédaction du présent rapport.
Comme nous l’avons déjà déclaré, dans un esprit de collaboration avec nos collègues des provinces et des territoires, nous avons aussi communiqué de l’information à nos homologues du Bureau du commissaire à l’information et à la protection de la vie privée de l’Ontario dans le cadre de notre enquête portant sur une plateforme technologique dans le domaine de l’éducation.
Coopération recoupant plusieurs régimes réglementaires
Dans plusieurs enquêtes récentes, nous avons cerné des recoupements entre des enjeux soulevés auprès du Commissariat et le mandat d’autres organismes de réglementation au Canada, par exemple les autorités ou organismes provinciaux de protection des consommateurs, le Bureau du surintendant des institutions financières et la Commission canadienne des droits de la personne.
Toutefois, notre capacité de collaborer et d’échanger de l’information avec ces entités est limitée, si bien que nous n’avons pu pleinement explorer ces recoupements ni collaborer dans le cadre d’enquêtes sur des questions qui se trouvent à l’intersection de plusieurs champs de compétence réglementaire.
Le travail que nous effectuons au sein de l’Assemblée mondiale pour la protection de la vie privée (Global Privacy Assembly), dont il est question plus loin dans le présent rapport, illustre bien les efforts déployés à l’échelle mondiale et les changements que nous réclamons afin de faire progresser concrètement la coopération dans l’application des lois lorsque plusieurs régimes réglementaires se recoupent.
Table ronde de la société civile
Depuis plus de 10 ans, des représentants du Commissariat se réunissent chaque année avec un groupe représentatif des associations et des organismes canadiens de défense du droit à la vie privée, des droits des consommateurs et de divers intérêts. Ces réunions regroupent des représentants de plusieurs organisations : Association canadienne des libertés civiles, Coalition pour la surveillance internationale des libertés civiles, British Columbia Civil Liberties Association, British Columbia Freedom of Information and Privacy Association, Clinique d’intérêt public et de politique d’Internet du Canada Samuelson-Glushko, Ligue des droits et libertés, Centre pour la défense de l’intérêt public, Right to Know, OpenMedia, Consumer Interest Alliance et Association des consommateurs du Canada.
Le Commissariat organise ce forum pour offrir aux représentants d’organisations de la société civile une tribune où ils peuvent échanger des idées et discuter d’enjeux d’intérêt commun. Il fait aussi le point sur ses travaux, consulte le groupe sur divers enjeux et recueille de l’information importante sur de nouveaux enjeux partout au Canada, ce qui éclaire sa réflexion.
Les réunions de l’exercice 2020-2021 ont eu lieu en avril et en juin 2020. Les discussions ont porté sur la protection de la vie privée et la réponse à la pandémie, les applications de traçage des contacts, les tests médicaux pour les employés, les technologies de reconnaissance faciale, l’utilisation de caméras corporelles par les policiers et la réforme des lois sur la protection des renseignements personnels.
Coopération internationale
En 2020-2021, la collaboration avec nos partenaires internationaux s’est encore une fois révélée essentielle pour protéger le droit à la vie privée des Canadiens dans un monde sans frontières. Alors que la pandémie frappait durement la production économique et les échanges commerciaux à l’échelle mondiale, les personnes et les entreprises sont devenues de plus en plus tributaires des technologies de l’information et des communications. Par ailleurs, non seulement le commerce international a continué de reposer sur la circulation transfrontalière des renseignements personnels, mais aussi les risques d’atteinte à la vie privée en général ont persisté. Grâce à nos interactions soutenues avec nos partenaires ailleurs dans le monde, nous avons mis en commun des pratiques exemplaires, appris des autres et tiré parti de leur expérience et de leur expertise pour orienter et renforcer les activités que nous menons au Canada. En unissant nos forces sur le front de la conformité et en adoptant des positions communes concernant des questions qui ont une incidence considérable sur la protection de la vie privée, nous avons pu renforcer notre capacité collective d’application des lois ainsi que notre efficacité à l’échelle mondiale.
Pendant la pandémie, la plupart des forums internationaux sur la protection de la vie privée ont continué de se réunir, mais en mode virtuel. Le Commissariat a participé activement à ces discussions en ligne.
Assemblée mondiale pour la protection de la vie privée
L’Assemblée mondiale pour la protection de la vie privée (AMVP – Global Privacy Assembly) a tenu sa première réunion en 1979. Elle s’appelait alors « Conférence internationale des commissaires à la protection des données et de la vie privée ». L’organisme, qui regroupe plus de 130 autorités de protection des données et de la vie privée du monde entier, s’est donné pour mission d’assurer un leadership dans ce domaine au niveau international.
L’AMVP joue un rôle de premier plan en favorisant la collaboration et la mise en commun des pratiques exemplaires dans le milieu mondial de la protection de la vie privée. Le Commissariat participe activement à ses travaux par divers moyens, notamment en faisant partie de groupes de travail ainsi qu’en participant à la rédaction de résolutions et en les parrainant. Nous accordons une grande priorité aux travaux de l’AMVP et continuerons d’appuyer ses efforts.
Aperçu de la séance à huis clos tenue en 2020 par l’AMVP
L’AMVP a tenu sa 42e réunion, entièrement en mode virtuel, du 13 au 15 octobre 2020. Les membres et observateurs y ont discuté de questions importantes touchant la protection des données et de la vie privée. La réunion avait pour thème l’importance accrue de cette protection pendant la pandémie de COVID-19. Pendant trois jours, les membres se sont penchés sur la protection de la vie privée des enfants, la reconnaissance faciale et l’avenir de la conférence de l’AMVP.
Le groupe de travail sur la COVID-19, mis sur pied par l’AMVP, a donné aux membres un aperçu de ses activités, présenté son recueil de pratiques exemplaires (qui a été adopté par les membres de l’AMVP) et proposé une résolution (qui a également été adoptée) pour poursuivre ses travaux en 2021.
Au cours de la conférence, les membres de l’AMVP ont adopté quatre autres résolutions, dont celles portant sur le recours à la technologie de reconnaissance faciale, le développement éthique de l’intelligence artificielle et le rôle de la protection des données dans l’aide au développement international. Le Commissariat a appuyé et coparrainé toutes les résolutions.
Groupe de travail sur la COVID-19
En avril 2020, nous nous sommes joints au Groupe de travail sur la COVID-19 mis sur pied par l’AMVP. Sous la présidence du commissaire à la protection de la vie privée des Philippines, ce groupe réunit plus de 40 commissariats à la protection des données et organisations non gouvernementales (à titre d’observateurs) du monde entier. Il a facilité un échange d’information essentiel et la présentation de mises à jour par les pays touchés, organisé des réunions pour discuter de nouveaux enjeux touchant la protection de la vie privée en contexte de pandémie et mené diverses recherches.
Par ailleurs, nous avons transmis au groupe notre cadre pour la protection de la vie privée dans le contexte des initiatives en réponse à la COVID-19. Peu après, le Groupe de travail a créé un répertoire public des orientations, des déclarations et des évaluations similaires produites par ses membres. Tous les organismes de réglementation et responsables des politiques du monde entier peuvent maintenant consulter ce répertoire.
En mars 2021, ce groupe de travail a rédigé une déclaration conjointe concernant l’utilisation des renseignements sur la santé pour les besoins des déplacements intérieurs ou internationaux. Il a présenté au Comité exécutif de l’AMVP cette déclaration, qui traitait de la question largement débattue des passeports vaccinaux.
Le Commissariat a formulé des recommandations au Commissariat à l’information du Royaume-Uni, principal auteur de cette déclaration. La déclaration de l’AMVP a été transmise à un large éventail d’organismes internationaux qui s’intéressent aux questions des tests subis par les voyageurs et de la certification de la vaccination, comme l’Organisation mondiale de la santé (OMS), l’Association du transport aérien international (ATAI), l’Organisation de coopération et de développement économiques (OCDE) ainsi que le Conseil de l’Europe. Ces organismes figurent parmi les principaux responsables des politiques et intervenants qui orientent la réglementation des voyages et des déplacements.
Groupe de travail international sur la protection de la vie privée et les droits de la personne
Nous avons entamé en 2021 notre deuxième année à la présidence du Groupe de travail sur la stratégie de politiques (volet 3) de l’AMVP. Mis sur pied dans le cadre de la stratégie de politiques 2019-2020 de l’AMVP, ce groupe réunissait plus de 40 personnes représentant une vingtaine d’autorités de protection des données de toutes les régions du monde. Il a produit un rapport narratif qui explore et met en évidence les liens entre la protection de la vie privée, la protection des données, d’autres droits fondamentaux et les droits démocratiques et politiques.
Ce rapport vise à appuyer les membres de l’AMVP dans leur appel à la reconnaissance de la protection de la vie privée et de celle des données en tant que droits fondamentaux. Le commissaire Therrien et ses prédécesseurs ont insisté sur la nécessité d’assurer cette reconnaissance dans la modernisation des lois sur la protection des renseignements personnels. Le rapport narratif en question a été présenté à la conférence annuelle de l’Assemblée mondiale en octobre 2021.
Groupe de travail sur le citoyen et le consommateur numérique
Le groupe de travail sur le citoyen et le consommateur numérique est présidé conjointement par le Commissariat à l’information de l’Australie et le Commissariat à la protection de la vie privée du Canada. Son mandat pour 2019-2021 consiste principalement à explorer et à mieux comprendre le recoupement complexe de la protection de la vie privée et des mesures antitrust. Ce groupe évalue en profondeur les importants éléments complémentaires et les sources de tension entre ces deux domaines de réglementation. Il a notamment commandé une étude universitaire indépendante et réalisé des entrevues avec des autorités de réglementation de la concurrence partout dans le monde. Enfin, il veille à suivre et à faciliter la coopération entre plusieurs régimes réglementaires, tout en faisant connaître la question en communiquant avec d’autres réseaux d’application de la loi sur la protection de la vie privée et la concurrence. Il s’agit d’un sujet qui présente un grand intérêt dans ces deux domaines de réglementation. Compte tenu du recoupement de la protection de la vie privée et de la concurrence, le Commissariat a représenté le Groupe de travail et présenté ses travaux dans le cadre de nombreuses activités tenues au Canada et à l’étranger.
Groupe de travail sur la coopération internationale en matière d’application de la loi
Le Commissariat a coprésidé le Groupe de travail sur la coopération internationale en matière d’application de la loi avec le Commissariat à l’information du Royaume-Uni et la Federal Trade Commission des États-Unis.
Le mandat de ce groupe consiste à favoriser une coopération proactive et pratique en matière d’application de la loi sur des questions d’actualité essentielles présentant un intérêt mutuel pour les membres du milieu international de l’application des lois sur la protection des renseignements personnels.
En 2020-2021, le groupe de travail a animé plusieurs réunions virtuelles où les autorités de protection de la vie privée ont discuté de questions comme les applications de traçage de la COVID-19, la technologie de reconnaissance faciale et le bourrage d’identifiants (type de cyberattaque de plus en plus répandu). Ces séances ont donné lieu à la réalisation d’activités de conformité en collaboration, par exemple l’initiative mondiale sur les vidéoconférences dont il est question ci-après.
Le groupe a aussi déployé des efforts pour améliorer les outils pratiques existants, comme un répertoire en ligne destiné à faciliter la mise en commun des connaissances et de l’expérience portant sur l’application de la loi, ainsi que le guide de coopération en matière d’application de la loi, qui donne une orientation aux autorités de protection des données qui souhaitent collaborer dans ce domaine.
Les coprésidents ont adopté une stratégie de mobilisation pour inciter de nouveaux membres à se joindre au groupe de travail afin d’assurer une diversité régionale, culturelle et linguistique. Au moment de la rédaction du présent rapport, le groupe de travail était composé de 26 membres issus notamment de l’Afrique, du Moyen-Orient et de l’Amérique latine.
Initiative mondiale sur les vidéoconférences
Par suite de notre déclaration commune sur les attentes mondiales envers les entreprises de vidéoconférence concernant le respect de la vie privée, qui a été publiée en juillet 2020 et dont nous avons fait état dans notre rapport annuel précédent, le Commissariat et cinq autres membres du Groupe de travail sur la coopération internationale en matière d’application de la loi ont pris l’initiative de s’adresser directement à Microsoft, Cisco, Google et Zoom.
Chacune de ces entreprises a répondu à notre lettre ouverte en soulignant les pratiques exemplaires, les mesures et les outils variés destinés à assurer la sécurité et à protéger les données qui ont été mis en œuvre ou intégrés dans ses services de vidéoconférence.
Nous avons poursuivi les échanges avec ces entreprises – en mode virtuel, ce qui était fort à propos – pour discuter de leurs plateformes de vidéoconférence et mieux comprendre leurs pratiques de protection de la vie privée.
Autres groupes de travail de l’AMVP
Le Commissariat participe aussi régulièrement à plusieurs autres groupes de travail de l’AMVP.
En 2020-2021, dans le cadre du Groupe de travail sur la protection des données et l’éthique dans le domaine de l’intelligence artificielle, nous avons contribué à l’élaboration d’une résolution sur la responsabilisation et l’intelligence artificielle.
Le nouveau Groupe de travail sur la technologie de reconnaissance faciale a lancé un projet visant à élaborer et à promouvoir une série de principes et d’attentes auxquels les développeurs et les utilisateurs de ce type de technologie devraient se conformer pour favoriser l’utilisation des renseignements personnels dans le respect de la vie privée.
Nous avons continué de participer activement au Groupe de travail sur l’éducation numérique, qui a rédigé un mémoire présenté dans le cadre d’une consultation publique menée par le Comité des droits de l’enfant des Nations Unies. La consultation portait sur la façon dont on devrait mettre en œuvre la Convention relative aux droits de l’enfant dans l’environnement numérique. Le mémoire précise que les enfants sont particulièrement vulnérables dans l’environnement en ligne, surtout dans les situations où le profilage, la prise de décisions automatisée et la publicité comportementale entrent en jeu.
De plus, nous avons participé au Groupe de travail sur le futur de la conférence, qui vise à jeter les bases de l’AMVP elle-même, en élaborant des plans pour la doter d’un secrétariat stable bénéficiant d’un financement. Le groupe s’est penché sur les modèles de financement d’autres réseaux internationaux et a étudié la création d’un secrétariat en tant qu’entité distincte.
Pour en savoir davantage
- Résolution sur la responsabilisation dans le développement et l'utilisation de l'intelligence artificielle, octobre 2020
Global Privacy Enforcement Network
Le Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois pour la protection de la vie privée) est une plateforme qui permet aux autorités d’application des lois sur la protection des renseignements personnels de mettre en commun leurs connaissances, leur expérience et leurs pratiques exemplaires sur les aspects pratiques de leur coopération et de l’application de ce type de lois. Il dirige aussi la coordination d’initiatives conjointes d’application de la loi pour favoriser une plus grande conformité aux lois sur la protection des renseignements personnels à l’échelle mondiale.
Le Commissariat est membre du comité exécutif du GPEN. Il héberge le site Web de ce réseau, principale tribune servant à l’échange d’information entre les membres.
En mars 2021, le GPEN a organisé, en collaboration avec le Réseau international de contrôle et de protection des consommateurs (ICPEN), le tout premier atelier conjoint sur les pratiques exemplaires. Cette activité virtuelle réunissait des responsables de l’application de la loi issus des deux domaines de réglementation de partout dans le monde. En plus de discuter du recoupement considérable entre la protection de la vie privée et la protection des consommateurs, les participants ont étudié des stratégies afin de faire progresser concrètement la coopération dans l’application des lois lorsque plusieurs régimes réglementaires se recoupent. Mentionnons la nécessité de faire pression en faveur de changements législatifs pour permettre une plus grande coopération en pareil cas, d’établir des relations avec d’éventuels partenaires dans ces domaines de réglementation et de rechercher des possibilités de participer à d’autres efforts de coopération dans ce contexte (notamment entre les deux réseaux).
Nous constatons avec satisfaction que la toute première activité de conformité axée sur la collaboration entre le GPEN et l’ICPEN – où le GPEN a approuvé une lettre de 2019 émanant de 27 organismes membres de l’ICPEN adressée à Apple et à Google – a amené ces deux entreprises à apporter des modifications afin d’améliorer l’information fournie par des applications aux utilisateurs concernant la collecte et l’utilisation des renseignements.
Les membres du GPEN restent en contact grâce à diverses initiatives, notamment des téléconférences mensuelles. Par exemple, en réponse à la pandémie de COVID-19, le GPEN a organisé une table ronde virtuelle, puis a mené un sondage sur une « nouvelle conception de la protection de la vie privée » (resetting privacy). Cette initiative visait à évaluer les répercussions de la pandémie sur les activités des autorités de protection des données et à mettre en commun les approches utilisées pour l’application de la loi pendant la pandémie et immédiatement après.
Forum des autorités de protection de la vie privée de l’Asie-Pacifique
En participant au Forum des autorités de protection de la vie privée de l’Asie-Pacifique, le Commissariat contribue à renforcer la capacité internationale pour la collaboration dans cette région grâce à la mise en commun de l’expertise pertinente et des conclusions d’enquête entre les membres.
Tout en respectant les limites de nos ententes d’échange de renseignements confidentiels concernant les enquêtes dans le secteur public, nous faisons état des conclusions de nos enquêtes dans les secteurs public et privé, et profitons des leçons tirées des enquêtes menées par d’autres autorités.
Le Commissariat a également transmis à ses collègues de l’Asie-Pacifique des orientations et des résultats de recherche en réponse à la pandémie de COVID-19. Lors du webinaire sur la COVID-19 tenu en 2020 par le Forum, le Commissariat a fait une présentation sur les techniques qu’il emploie pour tirer parti des outils virtuels et poursuivre notre collaboration dans le cadre du Groupe de travail sur la coopération internationale en matière d’application de la loi pendant la pandémie.
Groupe de travail de l’OCDE sur la gouvernance des données et la vie privée
Le Commissariat participe aux réunions du Groupe de travail sur la gouvernance des données et la vie privée de l’OCDE en tant que membre de la délégation canadienne. En 2020-2021, à titre de membre du groupe spécial de 60 experts, il a aussi participé à l’examen des Lignes directrices (de l’OCDE) régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel effectué par ce groupe de travail.
Le groupe d’experts en question a contribué à orienter les efforts déployés par le Groupe de travail pour examiner les lignes directrices, par exemple en aidant à cerner les enjeux sur le plan de la protection de la vie privée à l’heure actuelle. En 2020, le Groupe de travail a tenu deux réunions virtuelles où les participants ont discuté de l’examen proprement dit ainsi que de questions touchant la nature et la fréquence des demandes présentées par les gouvernements pour avoir accès aux données personnelles détenues par des organisations du secteur privé.
À l’invitation du gouvernement du Canada, le Commissariat a aussi participé à des tables rondes virtuelles organisées par l’OCDE portant sur la localisation des données et à des séances d’information sur des enjeux qu’étudie cet organisme, par exemple la portabilité des données et les « bacs à sable réglementaires ».
Organisation internationale de normalisation
Le Commissariat utilise souvent des normes bien établies de l’Organisation internationale de normalisation (ISO), entre autres quand il fait enquête sur des atteintes à la vie privée qui mettent en cause un manquement à la sécurité ou à la protection de la vie privée. Il encourage les organisations à s’inspirer de ces normes en tant que pratiques exemplaires.
Nous avons aussi participé activement aux efforts déployés par l’ISO pour élaborer des normes. Nous avons principalement pris part aux activités du Groupe de travail sur la gestion d’identité et les technologies de domaine privé (SC 27/WG5), qui se concentre sur l’élaboration de normes et de lignes directrices portant sur certains aspects de la sécurité : gestion d’identité, biométrie et protection de la vie privée.
Notre intérêt pour les technologies de renforcement de la protection de la vie privée a amené nos spécialistes de la Direction de l’analyse de la technologie à proposer, avec l’aide d’autres pays, un cadre normatif sur la désidentification fondé sur les pratiques exemplaires. Ce cadre vise à protéger les renseignements personnels figurant dans des ensembles de données partagés et publiés.
Le cadre normatif donnerait une orientation pour l’évaluation et la réduction des risques de réidentification tout au long du cycle de la désidentification. En 2020-2021, les spécialistes techniques du Commissariat ont continué de participer activement en tant que corédacteurs à l’élaboration du cadre normatif, en collaboration avec plusieurs autorités de protection des données et spécialistes internationaux de la protection de la vie privée. Nous espérons que cette initiative aboutira à la publication d’une norme efficace et universellement acceptée qui renforcera la protection de la vie privée à l’échelle internationale et à l’élaboration d’un code de pratique éventuel.
Devant les tribunaux
Dossiers auxquels le Commissariat a participé
Renvoi visant Google (T-1779-18)
Il s’agit d’une demande présentée aux termes de l’article 18.3 de la Loi sur les Cours fédérales par le commissaire à la protection de la vie privée du Canada, qui renvoie deux questions pour audition et jugement :
- Dans l’exploitation de son service de moteur de recherche, est-ce que Google LLC (Google) recueille, utilise ou communique des renseignements personnels dans le cadre d’activités commerciales, au sens de l’alinéa 4(1)a) de la LPRPDE, lors de l’indexation de pages Web et de la présentation des résultats de recherches concernant le nom d’un individu?
- L’exploitation du service de moteur de recherche de Google est-elle exclue du champ d’application de la partie 1 de la LPRPDE, selon les termes de l’alinéa 4(2)c) de la LPRPDE, parce que par une telle exploitation Google recueille, utilise et communique des renseignements personnels à des fins journalistiques, artistiques ou littéraires et à aucune autre fin?
Ces questions ont été soulevées dans le contexte d’une plainte déposée par un individu alléguant que Google contrevient à la LPRPDE en continuant d’afficher de manière visible des liens menant à des articles de presse en ligne le concernant dans les résultats de recherches lorsque l’on fait une recherche à partir de son nom au moyen du service de moteur de recherche de l’entreprise. Le plaignant a demandé à Google de retirer les articles en question des résultats de recherches concernant son nom.
Dans sa réponse initiale à la plainte, Google a soutenu, entre autres, ne pas être assujettie à la LPRPDE dans les circonstances. Avant de poursuivre l’enquête, le commissaire a voulu déterminer si la LPRPDE s’applique à l’exploitation par Google de son moteur de recherche. C’est pourquoi il a d’abord renvoyé à la Cour fédérale pour jugement les deux questions susmentionnées portant sur sa compétence.
Après avoir statué sur plusieurs requêtes interlocutoires, la Cour fédérale a entendu les questions de renvoi les 26 et 27 janvier 2021. Le Commissariat à la protection de la vie privée, Google LLC, le Procureur général du Canada et le plaignant ont participé à l’audience en tant que parties. La Société Radio-Canada et la Clinique d’intérêt public et de politique d’Internet du Canada y ont participé en tant qu’intervenants.
Le 8 juillet 2021, la Cour fédérale a rendu sa décision sur les mérites des questions du renvoi. Elle s’est dite d’accord avec la position du Commissariat selon laquelle la LPRPDE s’applique au service de moteur de recherche de Google.
La Cour a répondu par l’affirmative à la première question : lorsqu’elle exploite son service de moteur de recherche, Google recueille, utilise et communique des renseignements personnels dans le cadre d’activités commerciales.
Elle a conclu que l’entreprise recueille des renseignements personnels lorsqu’elle utilise ses robots de collecte pour parcourir en continu des pages Web auxquelles le public a accès, copier leur contenu, y compris des renseignements personnels, et le transmettre à ses serveurs aux fins d’indexation. De plus, Google utilise des renseignements personnels et a besoin d’un maximum de renseignements afin que ses recherches soient aussi exhaustives et aussi utiles que possible pour les utilisateurs, et par conséquent pour les annonceurs. Enfin, l’entreprise communique ces renseignements. Elle a le contrôle des fragments de code (extraits textuels générés automatiquement à partir des sites Web qu’elle indexe) et de l’ordre dans lequel figurent les renseignements dans les résultats des recherches obtenus au moyen de son moteur de recherche.
La Cour a rejeté les arguments selon lesquels le service de moteur de recherche de Google ne constitue pas une activité commerciale du fait qu’il est offert gratuitement et que rien ne prouve que des publicités s’affichent à côté des résultats des recherches faites à partir du nom du plaignant.
La Cour a conclu que tous les composants du service de moteur de recherche de Google représentent une activité commerciale au sens de la LPRPDE. Elle a souligné que l’entreprise a un intérêt commercial manifeste dans l’établissement de liens entre les utilisateurs et les fournisseurs de contenu Web. En échange des renseignements affichés dans les résultats de recherches, les utilisateurs fournissent divers renseignements personnels (entre autres leur emplacement, leurs intérêts et leurs habitudes de consommation). Google utilise alors ces renseignements à des fins lucratives, car elle tire de la publicité la majeure partie de ses recettes, et ses recettes publicitaires sont générées principalement par son moteur de recherche et d’autres services en ligne.
La Cour a répondu par la négative à la deuxième question : l’exploitation du service de moteur de recherche de Google n’est pas exclue du champ d’application de la LPRPDE et n’est pas admissible à l’exception prévue à l’alinéa 4(2)c) de cette loi, car l’entreprise ne l’exploite pas à des fins journalistiques, et certainement pas strictement à de telles fins.
La Cour a souligné que cette notion, selon le sens ordinaire donné au terme « journalisme », englobe la création de contenu et le contrôle de contenu, comme en témoigne le critère utilisé par la Cour fédérale dans A.T. c. Globe24h.com pour établir si une activité constitue une forme de journalisme. Selon ce critère, une activité devrait être qualifiée de journalistique uniquement 1) lorsque son objectif est d’informer la collectivité sur des questions qui l’intéressent, 2) qu’elle concerne un élément de la production originale, et 3) qu’il s’agit d’une « autodiscipline visant à présenter une description exacte et juste des faits, des opinions et des débats d’une situation ».
En appliquant ce critère à Google, la Cour a statué, premièrement, que l’entreprise assure l’accès de tous aux renseignements, pratique qui a une portée plus vaste que le fait d’informer une collectivité sur des questions qui l’intéressent; deuxièmement, qu’elle ne crée ni ne produit rien et affiche seulement les résultats de recherches; et troisièmement, qu’elle ne déploie aucun effort pour s’assurer que ces résultats sont équitables ou exacts. La responsabilité de l’exactitude du contenu figurant dans les résultats de recherches incombe aux éditeurs Web et non à Google.
La Cour a reconnu que le moteur de recherche de l’entreprise facilite l’accès à l’information, mais elle estime qu’il ne possède aucune autre caractéristique déterminante du journalisme. L’objectif principal de ce service consiste à indexer et à présenter les résultats de recherches. Même si ces résultats renferment certains éléments journalistiques, ils vont manifestement au-delà du journalisme.
Au cours de l’audience, Google a demandé à la Cour de trancher une troisième question, à savoir si le tribunal devrait s’abstenir de répondre aux questions du renvoi ou rejeter le renvoi parce qu’il était impossible ou qu’il n’y avait pas lieu de répondre à ces questions sans établir si une obligation éventuelle de retirer les liens de ses résultats de recherches contreviendrait à l’alinéa 2b) de la Charte canadienne des droits et libertés ou que le dossier de preuve déposé à la Cour était inadéquat.
La Cour a opposé un refus en faisant valoir qu’il y avait une contradiction dans la question proposée par Google, car le tribunal devrait en fait s’abstenir de se pencher sur des questions constitutionnelles en l’absence d’un dossier de preuve adéquat. Le traitement de ces questions revient au Commissariat, qui disposera d’un dossier de preuve complet et sera mieux placé pour établir si la LPRPDE peut s’appliquer de la façon que souhaite le plaignant, sans que son application contrevienne aux valeurs de la Charte. Lorsque le Commissariat reprendra son enquête, il devra examiner la question du droit de désindexer les renseignements inexacts ou périmés. Google a confirmé à la fin septembre 2021 qu’elle interjettera appel de la décision de la Cour.
Commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (T-190-20) (Cour fédérale) (Facebook 1); Facebook, Inc. c. Commissaire à la protection de la vie privée du Canada (T-473-20) (Cour fédérale) (Facebook 2)
Le litige entre le Commissariat et Facebook s’est poursuivi cette année.
Dans l’affaire Facebook 1, le commissaire à la protection de la vie privée du Canada a présenté, en février 2020, une demande au titre de l’alinéa 15a) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) en vue d’obtenir une ordonnance, à la suite d’une enquête et la production d’un rapport de conclusions concernant une plainte relative aux pratiques de traitement des renseignements personnels de l’intimée, Facebook, Inc.
Une enquête conjointe menée en 2019 par le Commissariat à la protection de la vie privée du Canada et le Bureau du commissaire à l’information et à la protection de la vie privée de la Colombie-Britannique a révélé de graves lacunes dans les pratiques du géant des médias sociaux en matière de traitement des renseignements personnels. Facebook a contesté les conclusions de l’enquête et refusé de donner suite aux recommandations pour corriger les lacunes relevées.
Le commissaire à la protection de la vie privée du Canada a alors déposé auprès de la Cour fédérale un avis de demande en vue d’obtenir une déclaration selon laquelle Facebook avait contrevenu à la LPRPDE, ainsi que diverses autres réparations. La Cour fédérale a le pouvoir, entre autres, de rendre des ordonnances exécutoires exigeant qu’une organisation revoie ou modifie ses pratiques et qu’elle se conforme à la loi.
On trouvera dans le Rapport annuel 2018-2019 du Commissariat des précisions à propos de cette enquête et du rapport de conclusions publié en avril 2019.
Par ailleurs, le Rapport annuel 2019-2020 du Commissariat résume l’avis de demande que nous avons déposé et les réparations qui ont été sollicitées.
En mars 2020, le Commissariat a signifié à Facebook sa preuve par affidavit à l’appui de la demande. Facebook a depuis présenté une motion en radiation de certaines parties de l’affidavit.
En avril 2020, Facebook a également déposé un avis de demande de contrôle judiciaire de notre rapport de conclusions en vertu de l’article 18.1 de la Loi sur les Cours fédérales (Facebook 2). L’entreprise demande le contrôle judiciaire de notre décision d’enquêter et de continuer d’enquêter ainsi que du processus d’enquête et cherche à faire annuler le rapport de conclusions qui en a résulté.
En réponse, le Commissariat a présenté une motion pour demander d’exclure l’avis de demande de contrôle judiciaire de Facebook, au motif que Facebook avait présenté cette demande en retard pour ce type de contestation et qu’elle disposait d’un autre recours adéquat pour exercer son droit de répondre à la demande en cours du Commissariat présentée en vertu de l’article 15 de la LPRPDE (Facebook 1).
La Cour fédérale a entendu ces deux motions les 19 et 21 janvier 2021 et rendu sa décision le 15 juin 2021. En ce qui concerne la motion de Facebook visant à faire radier de grandes parties de l’affidavit du Commissariat, la Cour n’a pas été convaincue que la preuve par affidavit du Commissariat était inadmissible. Elle a conclu que seuls quelques paragraphes de l’affidavit et pièces déposées en preuve devaient être radiés. La Cour a également rejeté notre demande visant à exclure l’avis de demande de contrôle judiciaire déposé par Facebook. Elle a statué qu’il y avait à tout le moins une question discutable quant à savoir si Facebook disposait d’un autre recours adéquat sous le régime de la LPRPDE, si bien que les arguments de Facebook n’étaient pas dénués de toute chance de justifier l’exclusion de la demande à cette étape.
Pour la suite, les parties doivent convenir d’un échéancier pour faire progresser à la fois la demande en vertu de l’article 15 et la demande de contrôle judiciaire.
Cain c. Canada (ministre de la Santé) (T-645-20 et T-641-20) et Hayes c. Canada (ministre de la Santé) (T-637-20)
Sous réserve de certaines conditions et à la suite de leur inscription auprès de Santé Canada, les utilisateurs de cannabis médical peuvent produire eux-mêmes leur cannabis ou désigner quelqu’un qui le produira pour eux. Santé Canada a reçu des demandes d’information concernant ces inscriptions au titre de la Loi sur l’accès à l’information, notamment des demandes de renseignements comme les trois premiers caractères du code postal des producteurs à des fins personnelles qui sont inscrits. Selon la position adoptée par ce ministère, il devrait communiquer uniquement le premier caractère des codes postaux, car l’utilisation d’une portion plus complète de ces codes conjointement avec d’autres éléments d’information accessibles accroîtrait de façon inacceptable le risque de communication de renseignements concernant des individus identifiables.
Lorsque des renseignements concernent un individu identifiable, ils sont considérés comme des renseignements personnels et ne peuvent être communiqués, à moins que certaines exceptions ne s’appliquent. Les renseignements sont considérés comme des renseignements personnels lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources. (Gordon c. Canada [ministre de la Santé], 2008 CF 258, paragraphe 34).
La commissaire à l’information du Canada était en désaccord avec la position de Santé Canada. Au nom des plaignants, elle a demandé la publication des trois premiers caractères du code postal des producteurs à des fins personnelles inscrits et des personnes désignées inscrites lorsqu’il n’y a pas de fortes probabilités que les individus puissent être identifiés.
Le Commissariat intervient dans cette affaire afin de recommander un cadre pour la mise en œuvre du critère visant à déterminer s’il y a de fortes probabilités d’identification des individus.
Banque Capital One (succursale canadienne)
Cette procédure porte sur une requête contre la banque Capital One (succursale canadienne) par suite de la publication d’un rapport de conclusions du Commissariat concernant une plainte déposée contre cette banque. La demanderesse souhaite obtenir réparation de Capital One sous la forme de dommages-intérêts.
Le Commissariat n’est pas désigné comme partie dans ce dossier, mais la demanderesse souhaite obtenir notre dossier d’enquête à l’appui de sa requête en vertu de la règle 317 des Règles des Cours fédérales. Cette règle autorise toute partie à « demander la transmission des documents ou des éléments matériels pertinents quant à la demande, qu’elle n’a pas mais qui sont en la possession de l’office fédéral dont l’ordonnance fait l’objet de la demande […] ». Le Commissariat s’est opposé à la demande en vertu de la règle 317, faisant valoir que la requête de la demanderesse constitue une demande d’audience en vertu de l’article 14 de la LPRPDE, contre Capital One, en vue d’obtenir des dommages-intérêts à l’égard d’infractions prétendues à la LPRPDE. Il a souligné qu’il ne s’agit pas d’un contrôle judiciaire portant sur son rapport de conclusions ou d’enquête et que la règle 317 ne s’applique donc pas. La demanderesse a réagi en déposant une motion pour demander au Commissariat de produire le dossier d’enquête.
En août 2020, un protonotaire de la Cour fédérale a rendu une ordonnance rejetant la motion déposée par la demanderesse en vue d’obliger le Commissariat à produire son dossier d’enquête. Il a conclu que la requête consistait en une demande d’audience de novo en vertu de l’article 14 de la LPRPDE et qu’elle n’était pas assujettie à la règle 317. La demanderesse a par la suite interjeté appel de l’ordonnance du protonotaire. Le 21 mai 2021, la Cour fédérale a rejeté la motion déposée par la demanderesse en vue d’interjeter appel de l’ordonnance du protonotaire. Elle a conclu que le protonotaire n’avait commis aucune erreur susceptible de révision en rejetant la motion en vertu de la règle 317. Par la suite, la demanderesse a interjeté appel de la décision de la Cour fédérale devant la Cour d’appel fédérale. Ce dernier appel était en instance au moment de la rédaction du présent rapport.
Dossiers que le Commissariat a suivis avec intérêt
En plus des dossiers auxquels il a participé activement à titre de partie ou d’intervenant, le Commissariat a suivi avec intérêt plusieurs affaires devant les tribunaux touchant des questions de protection de la vie privée. Deux décisions rendues par la Cour d’appel fédérale figurent parmi les affaires qui ont retenu son attention.
Constitutionalité de la Loi canadienne anti-pourriel
Dans 3510395 Canada c. Canada (Procureur général), 2020 CAF 103, la Cour d’appel fédérale a rejeté la contestation constitutionnelle intentée par l’appelante contre la Loi canadienne anti-pourriel (LCAP). Elle a conclu que cette loi – tout particulièrement les règles applicables à la transmission de messages électroniques commerciaux – résulte d’un exercice valide par le Parlement de son pouvoir général en matière de trafic et de commerce. La Cour a souligné que le commerce électronique a infiltré l’économie canadienne et que la loi intéresse donc le commerce dans son ensemble, ce qui constitue un fondement valide pour l’adoption de cette loi.
La Cour suprême du Canada a refusé d’entendre l’appel interjeté dans cette affaire.
Ce dossier présentait un intérêt particulier pour le Commissariat en raison de son rôle sous le régime de la LCAP.
Décision clarifiant les règles entourant les applications de l’article 41
Canada (Ministre de la Sécurité publique et de la Protection civile) c. Gregory, 2021 CFA 33, portait sur une requête en vertu de l’article 41 de la Loi sur la protection des renseignements personnels. L’intimé a déposé une plainte auprès du Commissariat après que la Gendarmerie royale du Canada (GRC) eut omis de lui donner accès à une vidéo qu’il avait demandée dans le délai de 30 jours prescrit par cette loi. Après avoir fait enquête, le Commissariat a publié un rapport de conclusions indiquant que la plainte était fondée.
Sur réception de notre rapport, l’intimé a déposé une requête en vertu de l’article 41 de la Loi sur la protection des renseignements personnels.
Toutefois, peu après le dépôt de cette demande, la GRC a réagi à la demande initiale d’accès à la vidéo. Elle a alors refusé de communiquer cette vidéo en invoquant une exception prévue à l’article 22 de la Loi sur la protection des renseignements personnels.
La Cour d’appel fédérale a conclu que le Commissariat à la protection de la vie privée devait déposer un rapport portant expressément sur la validité de l’exception demandée par la GRC afin que la Cour fédérale ait compétence dans ce dossier.
Ainsi, dans une requête en vertu de l’article 41, la Cour fédérale ne peut se prononcer sur l’application de toute exception relative à l’accès invoquée en vertu de la Loi sur la protection des renseignements personnels avant que le Commissariat n’ait fait enquête et présenté un rapport sur l’exception demandée.
R. v. Canfield, 2020 ABCA 383 (Fouilles d’appareils électroniques à la frontière)
Cette affaire concerne deux individus ayant été condamnés pour possession de pornographie juvénile. Les éléments de preuve déposés contre eux comprenaient des photos et des vidéos que des agents de l’Agence des services frontaliers du Canada (ASFC) avaient trouvées en fouillant leurs appareils électroniques personnels (respectivement un téléphone cellulaire et un ordinateur portable) à l’aéroport international d’Edmonton.
Ces deux individus ont été renvoyés à l’aire d’inspection secondaire à leur retour au Canada. Leurs appareils électroniques ont été fouillés en vertu de l’alinéa 99(1)a) de la Loi sur les douanes, qui confère aux agents de l’ASFC le pouvoir d’examiner toutes « marchandises » importées au Canada. Le juge de première instance a conclu que l’alinéa 99(1)a) de la Loi sur les douanes était applicable, que les éléments de preuve recueillis dans les appareils électroniques étaient admissibles et qu’ils n’avaient pas été obtenus en violation de la Charte canadienne des droits et libertés.
En appel, la Cour d’appel de l’Alberta a conclu que l’alinéa 99(1)a) de la Loi sur les douanes était inconstitutionnel puisqu’il n’impose aucune limite à la fouille des appareils électroniques personnels à la frontière et qu’il n’est pas justifié par l’article 1 de la Charte. La Cour a déclaré que la définition de « goods » (marchandises) énoncée à l’article 2 de la Loi sur les douanes est inopérante dans la mesure où elle englobe le contenu des appareils électroniques personnels pour l’application de l’alinéa 99(1)a). Dans sa décision, la Cour a reconnu que la fouille d’un téléphone cellulaire ou d’un ordinateur peut constituer une importante atteinte à la vie privée. Pour que ce type de fouille soit jugé raisonnable, il doit donc répondre à des exigences minimales en fonction d’une norme établie.
La Cour a reconnu que les intérêts du Canada en matière de sécurité nationale dans le contexte de la surveillance de ses frontières et de l’application de la Loi sur les douanes et d’autres lois à la frontière constituent des objectifs importants. Elle a toutefois conclu qu’il n’était pas clair que ces objectifs n’auraient pu être atteints grâce à des mesures supplémentaires destinées à protéger les individus contre toute fouille inutilement envahissante de leurs appareils électroniques personnels. La Cour estime que le Parlement devrait déterminer la norme appropriée, qu’il s’agisse d’un soupçon raisonnable ou d’un motif moins sérieux ayant trait à la nature unique en son genre de la frontière.
La Cour a suspendu la déclaration d’invalidité pour une période d’un an afin de donner au Parlement la possibilité de modifier la législation. La Cour suprême du Canada a refusé de statuer sur un appel dans cette affaire. Le Parlement a donc jusqu’en octobre 2021 (un an après la décision rendue par la Cour d’appel) pour modifier la législation en conséquence.
En 2019, le Commissariat a publié un rapport sur des plaintes qu’il avait reçues d’individus dont les appareils électroniques personnels avaient été fouillés à la frontière. Dans notre rapport, nous avons recommandé de mettre à jour la Loi sur les douanes afin de reconnaître que les appareils électroniques personnels renferment des renseignements personnels sensibles et qu’il ne s’agit donc pas de simples « marchandises » au sens de la Loi sur les douanes. Nous avons aussi recommandé de modifier la Loi de manière à définir clairement le cadre législatif pour l’examen des appareils numériques à la frontière et à rehausser la norme requise pour cet examen de façon à exiger des « motifs raisonnables de soupçonner » une infraction à la Loi.
Annexes
Annexe 1 : Définitions
Types de plaintes
- Accès
- À la suite d’une demande officielle d’accès à l’information, l’institution ou l’organisation aurait refusé à une ou à plusieurs personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.
- Avis de prorogation
- En vertu de la LPRP, l’institution n’aurait pas donné une justification appropriée pour la prorogation, aurait fait la demande de prorogation après le délai initial de 30 jours ou aurait fixé l’échéance à plus de 60 jours après la date de réception de la demande.
- Collecte
- L’institution ou l’organisation aurait recueilli des renseignements personnels non nécessaires ou les aurait recueillis par des moyens inéquitables ou illicites.
- Consentement
- En vertu de la LPRPDE, une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement valable de la personne en cause ou, pour le motif qu’elle fournit un bien ou un service, a exigé que la personne consente à une collecte, à une utilisation ou à une communication déraisonnable de renseignements personnels.
- Conservation et retrait
- L’institution ou l’organisation n’aurait pas conservé des renseignements personnels selon le calendrier de conservation pertinent – les renseignements auraient été détruits trop rapidement ou conservés trop longtemps.
- Correction ou annotation (accès)
- L’institution ou l’organisation n’aurait pas corrigé des renseignements personnels ou, en cas de désaccord avec les corrections demandées, n’aurait pas annoté le dossier pour en faire état.
- Correction ou annotation (délais)
- En vertu de la LPRP, l’institution n’aurait pas corrigé les renseignements personnels ou n’aurait pas annoté le dossier en conséquence dans les 30 jours suivant la réception de la demande de correction.
- Délais
- L’institution n’aurait pas répondu à une demande dans les délais prescrits par la LPRP.
- Détermination des fins de la collecte des renseignements
- En vertu de la LPRPDE, une organisation n’a pas déterminé les fins de la collecte de renseignements personnels avant la collecte ou au moment de celle-ci.
- Exactitude
- L’institution ou l’organisation n’aurait pas pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés sont exacts, à jour et complets.
- Frais
- L’institution ou l’organisation aurait exigé indûment des frais pour répondre à une demande d’accès à des renseignements personnels.
- Langue
- En réponse à une demande présentée en vertu de la LPRP, l’institution n’aurait pas fourni les renseignements personnels dans la langue officielle choisie par le demandeur.
- Mesures de protection
- En vertu de la LPRPDE, une organisation n’a pas protégé par des mesures de protection appropriées les renseignements personnels qu’elle détient.
- Possibilité de porter plainte
- En vertu de la LPRPDE, une organisation n’a pas mis en place des procédures ou des politiques permettant à une personne de porter plainte à l’égard du non-respect de la Loi ou elle a enfreint ses propres procédures et politiques.
- Répertoire
- InfoSource (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur le même sujet – qu’elle possède) ne décrirait pas de façon adéquate le fonds de renseignements personnels d’une institution.
- Responsabilité
- En vertu de la LPRPDE, une organisation ne s’est pas acquittée de ses responsabilités à l’égard des renseignements personnels en sa possession ou sous sa garde ou elle n’a pas désigné une personne responsable de s’assurer qu’elle se conforme à la Loi.
- Transparence
- En vertu de la LPRPDE, une organisation n’a pas rendu facilement accessibles aux demandeurs des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
- Utilisation et communication
- L’institution ou l’organisation aurait utilisé ou communiqué des renseignements personnels sans le consentement de la personne en cause ou les aurait utilisés ou communiqués de façon non conforme aux usages et aux communications prévus par la loi.
Décisions
- Fondée
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE.
- Fondée et résolue
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE, mais elle a par la suite pris des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
- Fondée et conditionnellement résolue
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE. L’institution ou l’organisation s’est engagée à mettre en œuvre des mesures correctives satisfaisantes approuvées par le Commissariat.
- Non fondée
- L’enquête n’a pas mis au jour des éléments de preuve suffisants pour conclure que l’institution ou l’organisation a enfreint une loi sur la protection des renseignements personnels.
- Résolue
- En vertu de la LPRP, l’enquête a révélé que la plainte découle essentiellement d’une mauvaise communication, d’un malentendu, etc., entre les parties, et/ou l’institution a accepté de prendre des mesures pour remédier à la situation à la satisfaction du Commissariat.
- Réglée
- Le Commissariat a aidé à négocier en cours d’enquête une solution satisfaisante pour toutes les parties en cause et n’a publié aucune conclusion.
- Abandonnée
- En vertu de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que le plaignant ne veuille plus poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’il fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.
En vertu de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE. - Hors du champ d’application
- On a déterminé qu’aucune loi fédérale sur la protection des renseignements personnels ne s’applique à l’institution ou à l’organisation ou ne régit l’objet de la plainte. Par conséquent, le Commissariat ne produit aucun rapport.
- Règlement rapide (RR)
- La situation a été réglée à la satisfaction du plaignant dès le début du processus d’enquête. Le Commissariat n’a publié aucune conclusion.
- Refus d’enquêter
- En vertu de la LPRPDE, le commissaire a refusé d’amorcer l’examen d’une plainte, car il estime :
- que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement offerts;
- que la plainte pourrait avantageusement être instruite selon d’autres procédures prévues par le droit fédéral ou provincial; ou,
- que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, comme le prévoit l’article 12(1) de la LPRPDE.
- Retrait
- En vertu de la LPRPDE, le plaignant a retiré sa plainte volontairement ou ne pouvait plus être joint dans les faits. Le Commissariat ne publie aucun rapport.
Annexe 2 : Tableaux statistiques
Tableaux relatifs à la LPRP
Tableau 1 - Décisions sur les plaintes relatives à l’accès et à la protection des renseignements personnels en vertu de la LPRP, par institution fédérale
Intimé | Abandonnée |
Hors du champ d’application |
Non fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Règlement rapide |
Total |
---|---|---|---|---|---|---|---|---|---|---|
Administration canadienne de la sûreté du transport aérien |
1 | 1 | ||||||||
Affaires mondiales Canada | 1 | 5 | 1 | 1 | 4 | 12 | ||||
Agence canadienne d’inspection des aliments |
2 | 1 | 1 | 4 | ||||||
Agence de la santé publique du Canada |
1 | 1 | ||||||||
Agence des services frontaliers du Canada |
1 | 11 | 1 | 5 | 4 | 27 | 49 | |||
Agence du revenu du Canada |
1 | 6 | 1 | 1 | 1 | 1 | 1 | 21 | 33 | |
Agriculture et Agroalimentaire Canada |
1 | 1 | 2 | |||||||
Anciens Combattants Canada | 5 | 1 | 10 | 16 | ||||||
Banque du Canada | 1 | 1 | ||||||||
Bureau du Conseil privé | 1 | 1 | 2 | |||||||
Centre d’analyse des opérations et déclarations financières du Canada |
1 | 1 | ||||||||
Centre de la sécurité des télécommunications |
1 | 1 | 1 | 3 | ||||||
Comité externe d’examen de la Gendarmerie royale du Canada |
1 | 1 | 2 | |||||||
Commissariat à l'intégrité du secteur public du Canada |
1 | 1 | ||||||||
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
1 | 2 | 3 | |||||||
Commission d’examen des plaintes concernant la police militaire du Canada |
31 | 31 | ||||||||
Commission de l’immigration et du statut de réfugié du Canada |
2 | 2 | ||||||||
Commission de la fonction publique |
2 | 1 | 4 | 7 | ||||||
Commission des libérations conditionnelles du Canada |
1 | 3 | 4 | |||||||
Commission des relations de travail et de l’emploi dans le secteur public fédéral |
1 | 1 | ||||||||
Conseil de recherches en sciences humaines |
2 | 1 | 3 | |||||||
Défense nationale | 4 | 1 | 1 | 2 | 3 | 2 | 6 | 19 | ||
École de la fonction publique du Canada |
1 | 1 | 2 | |||||||
Élections Canada / Bureau du directeur général des élections |
1 | 1 | ||||||||
Emploi et Développement social Canada |
5 | 1 | 2 | 15 | 23 | |||||
Environnement et Changement climatique Canada |
1 | 1 | ||||||||
Exportation et développement Canada |
1 | 1 | ||||||||
Gendarmerie royale du Canada | 2 | 26 | 1 | 2 | 6 | 42 | 79 | |||
Immigration, Réfugiés et Citoyenneté Canada |
2 | 1 | 22 | 25 | ||||||
Innovation, Sciences et Développement économique Canada |
2 | 2 | ||||||||
Ministère de la Justice | 1 | 2 | 2 | 5 | ||||||
Office des transports du Canada |
1 | 1 | ||||||||
Patrimoine canadien | 1 | 1 | ||||||||
Pêches et Océans Canada | 1 | 2 | 3 | |||||||
Régie de l’énergie du Canada |
1 | 1 | ||||||||
Relations Couronne- Autochtones et Affaires du Nord Canada |
8 | 3 | 11 | |||||||
Santé Canada | 3 | 1 | 5 | 9 | ||||||
Secrétariat du Conseil du Trésor du Canada |
1 | 1 | ||||||||
Sécurité publique Canada | 8 | 1 | 1 | 1 | 3 | 3 | 17 | |||
Service Canada | 1 | 1 | 2 | |||||||
Service canadien d’appui aux tribunaux administratifs |
3 | 1 | 4 | |||||||
Service canadien du renseignement de sécurité |
7 | 1 | 8 | 16 | ||||||
Service correctionnel Canada | 9 | 1 | 1 | 2 | 23 | 36 | ||||
Service des poursuites pénales du Canada |
1 | 1 | ||||||||
Services aux Autochtones Canada |
1 | 5 | 6 | |||||||
Services publics et Approvisionnement Canada |
2 | 2 | 2 | 73 | 79 | |||||
Société canadienne d’hypothèques et de logement |
1 | 1 | ||||||||
Société canadienne des postes |
2 | 1 | 2 | 8 | 13 | |||||
Statistique Canada | 6 | 6 | ||||||||
Transports Canada | 2 | 1 | 3 | |||||||
Total | 37 | 1 | 123 | 11 | 6 | 7 | 17 | 33 | 313 | 548 |
Tableau 2 - Délais de traitement des plaintes en vertu de la LPRP – Règlement rapide, par type de plainte
Type de plainte | Nombre | Délai de traitement moyen en mois |
---|---|---|
Protection des renseignements personnels |
185 | 3,51 |
Exactitude | 2 | 0,75 |
Collecte | 29 | 2,44 |
Conservation et retrait | 4 | 0,57 |
Utilisation et communication | 150 | 3,83 |
Accès | 128 | 5,74 |
Accès | 119 | 5,95 |
Correction ou annotation | 9 | 2,89 |
Délais | 129 | 1,00 |
Avis de prorogation | 2 | 4,62 |
Délais | 127 | 0,94 |
Total | 442 | 3,42 |
Tableau 3 - Délais de traitement des plaintes en vertu de la LPRP – Enquêtes officielles, par type de plainte
Type de plainte | Nombre | Délai de traitement moyen en mois |
---|---|---|
Protection des renseignements personnels |
107 | 28,79 |
Collecte | 17 | 32,20 |
Conservation et retrait | 11 | 39,03 |
Utilisation et communication | 79 | 26,63 |
Accès | 128 | 21,65 |
Accès | 119 | 21,63 |
Correction ou annotation | 5 | 29,98 |
Refus d’accès | 4 | 11,72 |
Délais | 178 | 5,04 |
Correction – Délais | 1 | 22,75 |
Avis de prorogation | 2 | 0,74 |
Délais | 175 | 4,99 |
Total | 413 | 16,34 |
Tableau 4 - Délais de traitement des plaintes en vertu de la LPRP* – Tous les dossiers fermés, par décision
Type de plainte | Nombre | Délai de traitement moyen en mois |
---|---|---|
Règlement rapide | 441 | 3,41 |
Enquêtes officielles | 414* | 16,32 |
Abandonnée | 43 | 38,38 |
Hors du champ d’application | 1 | 2,79 |
Non fondée | 125 | 18,38 |
Résolue | 13 | 7,73 |
Réglée | 6 | 24,53 |
Fondée | 10 | 14,46 |
Fondée et conditionnellement résolue | 45 | 16,96 |
Fondée - Présomption de refus | 68 | 7,02 |
Fondée et résolue | 103 | 11,39 |
Total | 855 | 9,66 |
* Les données statistiques sur le nombre total de plaintes fermées en 2020-2021 sont moins élevées que celles des exercices précédents en raison du changement que le Commissariat a fait en 2019-2020 dans la façon de compter le nombre de plaintes. Comme il est indiqué dans le rapport annuel de l’an dernier. Nous avons ajusté notre manière de consigner et de rendre compte des plaintes et des conclusions de nos enquêtes. Depuis le 1er avril 2019, une plainte déposée par un individu portant sur une contravention éventuelle à plusieurs articles de la LPRP, ou portant sur plusieurs demandes d’accès présentées à une même institution, est traitée comme une seule plainte. |
Tableau 5 - Atteintes en vertu de la LPRP, par institution
Intimé | Nombre |
---|---|
Administration de pilotage des Grands Lacs |
1 |
Affaires mondiales Canada | 8 |
Agence de la santé publique du Canada |
2 |
Agence des services frontaliers du Canada |
3 |
Agence du revenu du Canada | 5 |
Anciens Combattants Canada | 1 |
Autorité du Pont Windsor-Detroit | 1 |
Biens non publics et Personnel des fonds non publics, Forces canadiennes |
1 |
Bureau du Conseil privé | 1 |
Centre de recherches pour le développement international |
1 |
Commission de la fonction publique | 9 |
Conseil des arts du Canada | 1 |
Défense nationale | 4 |
Développement économique Canada pour les régions du Québec |
1 |
École de la fonction publique du Canada |
1 |
Emploi et Développement social Canada |
164 |
Environnement et Changement climatique Canada |
1 |
Gendarmerie royale du Canada |
13 |
Immigration, Réfugiés et Citoyenneté Canada |
6 |
Instituts de recherche en santé du Canada |
2 |
Ministère de la Justice | 1 |
Musée canadien pour les droits de la personne |
1 |
Office d’investissement des régimes de pensions du secteur public |
1 |
Régie de l’énergie du Canada | 5 |
Santé Canada | 1 |
Service canadien du renseignement de sécurité |
1 |
Service correctionnel Canada | 40 |
Services partagés Canada | 1 |
Société canadienne des postes | 1 |
Statistique Canada | 1 |
Transports Canada | 1 |
Total | 280 |
Tableau 6 - Plaintes et atteintes en vertu de la LPRP
Catégorie | Total |
---|---|
Acceptées | |
Protection des renseignements personnels | 281 |
Accès | 234 |
Délais | 312 |
Total des plaintes acceptées | 827 |
Fermées à la suite d’un règlement rapide | |
Protection des renseignements personnels | 185 |
Accès | 128 |
Délais | 128 |
Total | 441 |
Fermées à la suite d’une enquête officielle | |
Protection des renseignements personnels | 107 |
Accès | 128 |
Délais | 179 |
Total | 414 |
Total des dossiers fermés | 855 |
Atteintes signalées | |
Communication non autorisée* | 126 |
Perte | 105 |
Vol | 9 |
Accès non autorisé | 40 |
Total des atteintes signalées | 280 |
* Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRP. Ce terme a été remplacé par « communication non autorisée », conformément aux Lignes directrices sur les atteintes à la vie privée du SCT, mais le sens demeure le même. |
Tableau 7 - Plaintes en vertu de la LPRP acceptées, par type de plainte
Type de plainte | Règlement rapide | Enquête officielle | Nombre total | Pourcentage total** |
||
---|---|---|---|---|---|---|
Nombre | Pourcentage* | Nombre | Pourcentage* | |||
Accès | ||||||
Accès | 180 | 34 % | 41 | 14 % | 221 | 27 % |
Correction ou annotation | 12 | 2 % | 12 | 1 % | ||
Refus d’accès | 1 | 0 % | 1 | 0 % | ||
Délais | ||||||
Correction – Délais | 1 | 0 % | 1 | 0 % | ||
Avis de prorogation | 2 | 0 % | 2 | 1 % | 4 | 0 % |
Délais | 128 | 24 % | 179 | 59 % | 307 | 37 % |
Protection des renseignements personnels | ||||||
Exactitude | 3 | 1 % | 3 | 0 % | ||
Collecte | 34 | 6 % | 13 | 4 % | 47 | 6 % |
Conservation et retrait | 7 | 1 % | 7 | 1 % | ||
Utilisation et communication | 158 | 30 % | 66 | 22 % | 224 | 27 % |
Total | 525 | 100 % | 302 | 100 % | 827 | 100 % |
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués. |
Tableau 8 - Les 10 institutions fédérales visées par le plus grand nombre de plaintes acceptées en vertu de la LPRP
Intimé | Protection des renseignements personnels |
Accès | Délais | Total | |||
---|---|---|---|---|---|---|---|
Règlement rapide |
Enquête officielle |
Règlement rapide |
Enquête officielle |
Règlement rapide |
Enquête officielle |
||
Agence des services frontaliers du Canada | 9 | 2 | 15 | 4 | 4 | 14 | 48 |
Agence du revenu du Canada | 9 | 5 | 10 | 2 | 9 | 5 | 40 |
Anciens Combattants Canada | 9 | 2 | 3 | 2 | 3 | 1 | 20 |
Défense nationale | 5 | 5 | 11 | 2 | 12 | 16 | 51 |
Emploi et Développement social Canada | 12 | 5 | 15 | 2 | 4 | 3 | 41 |
Gendarmerie royale du Canada | 25 | 10 | 44 | 10 | 52 | 45 | 186 |
Immigration, Réfugiés et Citoyenneté Canada | 22 | 2 | 11 | 7 | 5 | 47 | |
Service correctionnel Canada | 25 | 7 | 22 | 2 | 10 | 64 | 130 |
Services publics et Approvisionnement Canada | 21 | 3 | 11 | 1 | 3 | 3 | 42 |
Société canadienne des postes | 10 | 2 | 6 | 1 | 3 | 22 | |
Total | 147 | 43 | 148 | 26 | 107 | 156 | 627 |
Tableau 9 - Les 10 institutions fédérales visées par le plus grand nombre de plaintes acceptées en vertu de la LPRP par année fiscale
Intimé | 2017-18 | 2018-19 | 2019-20 | 2020-21 |
---|---|---|---|---|
Agence des services frontaliers du Canada | 76 | 109 | 42 | 48 |
Agence du revenu du Canada | 63 | 79 | 63 | 40 |
Anciens Combattants Canada | 12 | 20 | 12 | 20 |
Défense nationale | 93 | 121 | 33 | 51 |
Emploi et Développement social Canada | 24 | 39 | 25 | 41 |
Gendarmerie royale du Canada | 232 | 273 | 176 | 186 |
Immigration, Réfugiés et Citoyenneté Canada | 29 | 59 | 44 | 47 |
Service correctionnel Canada | 440 | 426 | 155 | 130 |
Services publics et Approvisionnement Canada | 49 | 27 | 70 | 42 |
Société canadienne des postes | 33 | 29 | 4 | 22 |
Total | 1051 | 1182 | 624 | 627 |
Tableau 10 - Plaintes en vertu de la LPRP acceptées, par institution
Intimé | Réglement rapide | Enquête officielle | Total |
---|---|---|---|
Administration canadienne de la sûreté du transport aérien |
1 | 1 | |
Affaires mondiales Canada | 7 | 11 | 18 |
Agence canadienne d’inspection des aliments |
2 | 1 | 3 |
Agence de la santé publique du Canada |
1 | 1 | 2 |
Agence de promotion économique du Canada atlantique |
1 | 1 | |
Agence des services frontaliers du Canada |
28 | 20 | 48 |
Agence du revenu du Canada |
28 | 12 | 40 |
Agence fédérale de développement économique pour le Sud de l'Ontario |
1 | 1 | |
Agence Parcs Canada | 2 | 1 | 3 |
Agriculture et Agroalimentaire Canada |
1 | 1 | 2 |
Anciens Combattants Canada | 15 | 5 | 20 |
Banque du Canada | 2 | 1 | 3 |
Bibliothèque et Archives Canada |
2 | 1 | 3 |
Bureau de la sécurité des transports du Canada |
1 | 1 | |
Bureau du Conseil privé | 1 | 2 | 3 |
Centre de la sécurité des télécommunications |
3 | 2 | 5 |
Commissariat à l’information du Canada |
1 | 1 | |
Commission canadienne de sûreté nucléaire |
1 | 1 | |
Commission canadienne des droits de la personne |
2 | 1 | 3 |
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
1 | 1 | 2 |
Commission de l’assurance- emploi du Canada |
1 | 1 | |
Commission de l’immigration et du statut de réfugié du Canada |
5 | 5 | |
Commission de la fonction publique |
4 | 1 | 5 |
Commission des libérations conditionnelles du Canada |
8 | 1 | 9 |
Commission des relations de travail et de l’emploi dans le secteur public fédéral |
1 | 1 | |
Conseil de la radiodiffusion et des télécommunications canadiennes |
1 | 1 | |
Défense nationale | 28 | 23 | 51 |
Diversification de l'économie de l'Ouest Canada |
1 | 1 | |
École de la fonction publique du Canada |
1 | 6 | 7 |
Élections Canada / Bureau du directeur général des élections |
3 | 1 | 4 |
Emploi et Développement social Canada |
31 | 10 | 41 |
Énergie atomique du Canada limitée |
1 | 1 | |
Environnement et Changement climatique Canada |
3 | 4 | 7 |
Exportation et développement Canada |
2 | 2 | |
Gendarmerie royale du Canada |
121 | 65 | 186 |
Immigration, Réfugiés et Citoyenneté Canada |
40 | 7 | 47 |
Innovation, Sciences et Développement économique Canada |
2 | 4 | 6 |
Ministère de la Justice | 6 | 6 | |
Office des transports du Canada |
1 | 1 | |
Patrimoine canadien | 1 | 1 | 2 |
Pêches et Océans Canada | 2 | 1 | 3 |
Régie de l’énergie du Canada |
1 | 1 | |
Relations Couronne- Autochtones et Affaires du Nord Canada |
4 | 4 | |
Ressources naturelles Canada |
1 | 1 | |
Santé Canada | 6 | 1 | 7 |
Secrétariat du Conseil du Trésor du Canada |
2 | 3 | 5 |
Sécurité publique Canada | 3 | 2 | 5 |
Service Canada | 1 | 1 | |
Service canadien d’appui aux tribunaux administratifs |
4 | 5 | 9 |
Service canadien du renseignement de sécurité |
10 | 6 | 16 |
Service correctionnel Canada |
59 | 74 | 133 |
Service des poursuites pénales du Canada |
1 | 1 | |
Services aux Autochtones Canada |
7 | 2 | 9 |
Services partagés Canada | 3 | 1 | 4 |
Services publics et Approvisionnement Canada |
35 | 7 | 42 |
Société canadienne des postes |
19 | 3 | 22 |
Société Radio-Canada | 1 | 1 | 2 |
Statistique Canada | 9 | 9 | |
Téléfilm Canada | 1 | 1 | |
Trans Mountain Corporation | 1 | 1 | |
Transports Canada | 4 | 2 | 6 |
Total | 525 | 302 | 827 |
Tableau 11 - Décisions en vertu de la LPRP, par province, territoire ou autres
Province, territoire ou autres |
Réglement rapide |
Enquête officielle |
Nombre total |
Pourcentage total* |
||
---|---|---|---|---|---|---|
Nombre | Pourcentage* | Nombre | Pourcentage* | |||
Colombie-Britannique | 136 | 25,90 % | 71 | 23,51 % | 207 | 25,03 % |
Alberta | 36 | 6,86 % | 21 | 6,95 % | 57 | 6,89 % |
Saskatchewan | 15 | 2,86 % | 1 | 0,33 % | 16 | 1,93 % |
Manitoba | 21 | 4,00 % | 11 | 3,64 % | 32 | 3,87 % |
Ontario | 166 | 31,62 % | 96 | 31,79 % | 262 | 31,68 % |
Québec | 86 | 16,38 % | 69 | 22,85 % | 155 | 18,74 % |
Nouveau-Brunswick | 22 | 4,19 % | 12 | 3,97 % | 34 | 4,11 % |
Nouvelle-Écosse | 30 | 5,71 % | 10 | 3,31 % | 40 | 4,84 % |
Île-du-Prince-Édouard | 2 | 0,38 % | 0,00 % | 2 | 0,24 % | |
Terre-Neuve-et-Labrador | 2 | 0,38 % | 3 | 0,99 % | 5 | 0,60 % |
Nunavut | 0,00 % | 2 | 0,66 % | 2 | 0,24 % | |
Territoires du Nord-Ouest | 0,00 % | 2 | 0,66 % | 2 | 0,24 % | |
Yukon | 1 | 0,19 % | 0,00 % | 1 | 0,12 % | |
États-Unis | 2 | 0,38 % | 2 | 0,66 % | 4 | 0,48 % |
Autres (excluant les États-Unis) | 3 | 0,57 % | 0,00 % | 3 | 0,36 % | |
Non précisé | 3 | 0,57 % | 2 | 0,66 % | 5 | 0,60 % |
Total | 525 | 100 % | 302 | 100,00 % | 827 | 100 % |
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués. |
Tableau 12 - Décisions en vertu de la LPRP, par type de plainte
Type de plainte | Abandonnée |
Hors du champ d’application |
Non fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée - Présomption de refus |
Fondée et résolue |
Réglée rapidement |
Total |
---|---|---|---|---|---|---|---|---|---|---|---|
Protection des renseignements personnels | |||||||||||
Exactitude | 2 | 2 | |||||||||
Collecte | 5 | 10 | 1 | 1 | 29 | 46 | |||||
Conservation et retrait | 7 | 2 | 1 | 1 | 4 | 15 | |||||
Utilisation et communication | 9 | 41 | 6 | 1 | 5 | 7 | 10 | 150 | 229 | ||
Accès | |||||||||||
Accès | 15 | 1 | 63 | 4 | 5 | 1 | 9 | 21 | 119 | 238 | |
Correction ou annotation | 4 | 1 | 9 | 14 | |||||||
Refus d’accès | 1 | 3 | 4 | ||||||||
Délais | |||||||||||
Correction – Délais | 1 | 1 | |||||||||
Avis de prorogation | 1 | 1 | 2 | 4 | |||||||
Délais | 6 | 2 | 1 | 3 | 28 | 68 | 68 | 126 | 302 | ||
Total | 43 | 1 | 125 | 13 | 6 | 10 | 45 | 68 | 103 | 441 | 855 |
Tableau 13 - Décisions sur les plaintes relatives aux délais en vertu de la LPRP, par institution
Intimé | Abandonnée |
Non fondée |
Résolue |
Fondée |
Fondée et conditionnellement résolue |
Fondée - Présomption de refus |
Fondée et résolue |
Réglée rapidement |
Total |
---|---|---|---|---|---|---|---|---|---|
Affaires mondiales Canada | 2 | 1 | 1 | 4 | |||||
Agence des services frontaliers du Canada | 1 | 1 | 2 | 4 | 4 | 12 | |||
Agence du revenu du Canada | 1 | 2 | 6 | 9 | 18 | ||||
Anciens Combattants Canada | 1 | 2 | 3 | ||||||
Banque du Canada | 1 | 1 | 2 | ||||||
Bibliothèque et Archives Canada | 1 | 1 | 2 | ||||||
Centre de la sécurité des télécommunications | 2 | 1 | 3 | ||||||
Commission canadienne des droits de la personne | 1 | 1 | |||||||
Commission de l’immigration et du statut de réfugié du Canada | 2 | 2 | |||||||
Commission des libérations conditionnelles du Canada | 2 | 2 | |||||||
Conseil de recherches en sciences naturelles et en génie du Canada | 1 | 1 | 2 | ||||||
Défense nationale | 1 | 8 | 2 | 7 | 12 | 30 | |||
Élections Canada / Bureau du directeur général des élections | 1 | 1 | |||||||
Emploi et Développement social Canada | 1 | 2 | 3 | 6 | |||||
Environnement et Changement climatique Canada | 1 | 1 | 2 | ||||||
Exportation et développement Canada | 1 | 1 | |||||||
Gendarmerie royale du Canada | 1 | 5 | 7 | 29 | 53 | 95 | |||
Immigration, Réfugiés et Citoyenneté Canada | 4 | 7 | 11 | ||||||
Innovation, Sciences et Développement économique Canada | 1 | 1 | |||||||
Ministère de la Justice | 1 | 1 | 2 | ||||||
Relations Couronne-Autochtones et Affaires du Nord Canada | 1 | 1 | 2 | ||||||
Santé Canada | 2 | 2 | |||||||
Secrétariat du Conseil du Trésor du Canada | 1 | 1 | |||||||
Service canadien d’appui aux tribunaux administratifs | 1 | 2 | 3 | ||||||
Service canadien du renseignement de sécurité | 1 | 2 | 3 | ||||||
Service correctionnel Canada | 2 | 1 | 3 | 5 | 52 | 9 | 11 | 83 | |
Services aux Autochtones Canada | 1 | 1 | 2 | ||||||
Services partagés Canada | 1 | 1 | |||||||
Services publics et Approvisionnement Canada | 2 | 1 | 2 | 5 | |||||
Société canadienne des postes | 1 | 3 | 4 | ||||||
Transports Canada | 1 | 1 | |||||||
Total | 6 | 2 | 2 | 3 | 28 | 68 | 70 | 128 | 307 |
Tableaux relatifs à la LPRPDE
Tableau 1 - Plaintes en vertu de la LPRPDE acceptées*, par secteur de l’industrie
Secteur de l’industrie | Nombre | Proportion de l’ensemble des plaintes acceptées* |
---|---|---|
Aliments et boissons | 1 | 0 % |
Assurances | 16 | 5 % |
Construction | 2 | 1 % |
Divertissement | 1 | 0 % |
Édition (sauf Internet) | 12 | 4 % |
Fabrication | 9 | 3 % |
Finances | 73 | 24 % |
Gouvernement | 1 | 0 % |
Hébergement | 12 | 4 % |
Internet | 27 | 9 % |
Non précisé | 1 | 0 % |
Organismes sans but lucratif | 1 | 0 % |
Professionnels | 10 | 3 % |
Santé | 1 | 0 % |
Services | 47 | 15 % |
Services publics | 3 | 1 % |
Télécommunications | 32 | 10 % |
Transports | 22 | 7 % |
Ventes et détail | 38 | 12 % |
Total | 309 | 100 % |
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués. |
Tableau 2 - Plaintes en vertu de la LPRPDE acceptées*, par type de plainte
Type de plainte | Nombre | Proportion de l’ensemble des plaintes acceptées* |
---|---|---|
Accès | 105 | 34 % |
Collecte | 42 | 14 % |
Consentement | 35 | 11 % |
Conservation | 8 | 3 % |
Correction ou annotation | 2 | 1 % |
Exactitude | 3 | 1 % |
Mesures de protection | 43 | 14 % |
Utilisation et communication | 71 | 23 % |
Total | 309 | 100 % |
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués |
Tableau 3 - Dossiers d’enquête liés à la LPRPDE fermés, par secteur de l’industrie et décision
Secteur de l’industrie | Réglée rapidement |
Abandonnée (article 12.2) |
Hors du champ d’application |
Non fondée |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait | Total |
---|---|---|---|---|---|---|---|---|---|---|
Aliments et boissons | 2 | 2 | ||||||||
Assurances | 7 | 1 | 1 | 1 | 1 | 11 | ||||
Construction | 1 | 1 | ||||||||
Divertissement | 1 | 1 | ||||||||
Édition (sauf Internet) | 3 | 1 | 1 | 5 | ||||||
Fabrication | 6 | 1 | 4 | 11 | ||||||
Finances | 53 | 1 | 4 | 3 | 3 | 3 | 7 | 3 | 77 | |
Gouvernement | 1 | 1 | ||||||||
Hébergement | 7 | 1 | 1 | 1 | 10 | |||||
Internet | 22 | 1 | 1 | 1 | 3 | 2 | 1 | 31 | ||
Location | 2 | 2 | ||||||||
Organismes sans but lucratif | 1 | 1 | 2 | |||||||
Professionnels | 4 | 1 | 1 | 1 | 2 | 9 | ||||
Santé | 2 | 1 | 3 | |||||||
Services | 30 | 1 | 2 | 2 | 2 | 37 | ||||
Services publics | 3 | 1 | 4 | |||||||
Télécommunications | 24 | 3 | 2 | 3 | 2 | 34 | ||||
Transports | 17 | 1 | 2 | 4 | 1 | 25 | ||||
Ventes et détail | 25 | 1 | 1 | 1 | 2 | 30 | ||||
Total | 210 | 5 | 1 | 15 | 7 | 11 | 10 | 20 | 17 | 296 |
Tableau 4 - Dossiers d’enquête en vertu de la LPRPDE fermés par type de plainte et décision
Type de plainte | Réglée rapidement |
Abandonnée (article 12.2) |
Hors du champ d’application |
Non fondée |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait |
Total |
---|---|---|---|---|---|---|---|---|---|---|
Accès | 79 | 2 | 1 | 4 | 3 | 2 | 7 | 3 | 101 | |
Collecte | 29 | 1 | 2 | 1 | 2 | 2 | 37 | |||
Consentement | 24 | 1 | 7 | 3 | 3 | 2 | 4 | 2 | 46 | |
Conservation | 11 | 1 | 2 | 1 | 15 | |||||
Correction ou annotation | 1 | 1 | ||||||||
Exactitude | 2 | 2 | ||||||||
Fins acceptables | 1 | 1 | 1 | 3 | ||||||
Mesures de protection | 16 | 1 | 1 | 6 | 5 | 6 | 35 | |||
Transparence | 1 | 1 | ||||||||
Responsabilité | 1 | 1 | ||||||||
Utilisation et communication | 47 | 1 | 3 | 1 | 2 | 54 | ||||
Total | 210 | 5 | 1 | 15 | 7 | 11 | 10 | 20 | 17 | 296 |
Tableau 5 - Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par décision
Décision | Nombre | Délai de traitement moyen, en mois |
---|---|---|
Résolue par règlement rapide | 210 | 7,5 |
Abandonnée (article 12,2) | 5 | 15,2 |
Hors du champ d’application | 1 | 10,5 |
Non fondée | 15 | 20,1 |
Réglée | 7 | 28,4 |
Fondée | 11 | 21,5 |
Fondée et conditionnellement résolue | 10 | 28,7 |
Fondée et résolue | 20 | 28,0 |
Retrait | 17 | 22,8 |
Total | 296 | |
Moyenne générale pondérée | 12,2 |
Tableau 6 - Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par type de plainte et de règlement
Type de plainte | Règlement rapide | Autres règlements | Toutes les enquêtes | |||
---|---|---|---|---|---|---|
Nombre | Délai de traitement moyen, en mois |
Nombre | Délai de traitement moyen, en mois |
Nombre | Délai de traitement moyen, en mois |
|
Accès | 79 | 8,0 | 22 | 20,5 | 101 | 10,8 |
Collecte | 29 | 6,0 | 8 | 22,1 | 37 | 9,5 |
Consentement | 24 | 9,9 | 22 | 25,9 | 46 | 17,5 |
Correction ou annotation | 1 | 8,8 | 1 | 8,8 | ||
Exactitude | 2 | 6,4 | 2 | 6,4 | ||
Fins acceptables | 3 | 55,0 | 3 | 55,0 | ||
Transparence | 1 | 8,3 | 1 | 8,3 | ||
Responsabilité | 1 | 57,6 | 1 | 57,6 | ||
Conservation | 11 | 6,2 | 4 | 24,9 | 15 | 11,2 |
Mesures de protection | 16 | 6,1 | 19 | 21,1 | 35 | 14,2 |
Utilisation et communication | 47 | 6,9 | 7 | 19,7 | 54 | 8,6 |
Total | 210 | 7,5 | 86 | 23,9 | 296 | 12,2 |
Tableau 7 - Déclarations des atteintes en vertu de la LPRPDE, par secteur de l’industrie et type d’incident
Secteur | Type d’incident | Total des incidents par secteur | Proportion de l’ensemble des incidents** |
|||
---|---|---|---|---|---|---|
Perte | Vol | Accès non autorisé | Communication non autorisée* | |||
Agriculture, foresterie, chasse et pêche |
5 | 5 | 1 % | |||
Aliments et boissons | 7 | 7 | 1 % | |||
Assurances | 7 | 4 | 23 | 38 | 72 | 9 % |
Construction | 4 | 1 | 5 | 1 % | ||
Divertissement | 1 | 5 | 6 | 1 % | ||
Édition (sauf Internet) |
9 | 1 | 10 | 1 % | ||
Extraction minière et extraction de pétrole et de gaz |
2 | 1 | 3 | 0 % | ||
Fabrication | 1 | 1 | 42 | 3 | 47 | 6 % |
Finances | 10 | 11 | 73 | 77 | 171 | 22 % |
Gouvernement | 1 | 6 | 1 | 8 | 1 % | |
Hébergement | 3 | 3 | 3 | 9 | 1 % | |
Internet | 16 | 2 | 18 | 2 % | ||
Non précisé | 1 | 3 | 1 | 5 | 1 % | |
Organismes sans but lucratif |
1 | 55 | 15 | 71 | 9 % | |
Professionnels | 6 | 44 | 15 | 65 | 8 % | |
Santé | 1 | 2 | 12 | 14 | 29 | 4 % |
Services | 2 | 3 | 32 | 7 | 44 | 6 % |
Services publics | 1 | 3 | 4 | 1 % | ||
Télécommunications | 89 | 22 | 111 | 14 % | ||
Transports | 14 | 3 | 17 | 2 % | ||
Ventes et détail | 4 | 58 | 13 | 75 | 10 % | |
Total | 23 | 37 | 502 | 220 | 782 | 100 % |
* Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRPDE, que ce soit intentionnellement ou accidentellement. Ce terme a été remplacé par « communication non autorisée », conformément au libellé de la LPRPDE, mais le sens demeure le même. | ||||||
** Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués. |
Tableau 8 - Nombre de comptes canadiens touchés par type d’incident
Type d’incident | Nombre de comptes touchés |
---|---|
Accès non autorisé | 8 957 786 |
Communication non autorisée* | 110 514 |
Perte | 15 312 |
Vol | 5 495 |
Total | 9 089 107 |
* Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRPDE, que ce soit intentionnellement ou accidentellement. Ce terme a été remplacé par « communication non autorisée », conformément au libellé de la LPRPDE, mais le sens demeure le même. |
Annexe 3 : Processus d’enquête
Processus d’enquête en vertu de la LPRP
Version textuelle du processus d’enquête en vertu de la LPRP
Accueil
Des personnes font parvenir des plaintes écrites au Commissariat concernant des infractions à la LPRP. L’unité d’accueil examine l’affaire en cause afin de déterminer si elle constitue bel et bien une plainte, selon que les faits allégués pourraient contrevenir ou non à la Loi, ainsi que le moyen le plus efficace de la résoudre.
Une personne peut déposer une plainte se rapportant à toute question énoncée à l’article 29 de la LPRP – par exemple :
- le refus d’une institution de communiquer à une personne les renseignements personnels qu’elle détient à son sujet, ou un retard inacceptable dans la communication de ces renseignements;
- la collecte, l’utilisation ou la communication inappropriée de renseignements personnels;
- des erreurs dans les renseignements personnels qu’une institution utilise ou communique.
L’unité d’accueil réussit parfois à régler immédiatement les problèmes, éliminant ainsi la nécessité pour le Commissariat de s’occuper du dossier dans le cadre d’une enquête officielle. Dans ces cas, le Commissariat ferme simplement le dossier, et la plainte est considérée comme ayant été réglée rapidement. Le commissaire à la protection de la vie privée peut lui aussi déposer une plainte s’il est d’avis qu’il y a des motifs suffisants pour mener une enquête.
- Plainte
- Non
La personne est informée, par exemple, que la question ne relève pas du Commissariat. - Oui
Un enquêteur est affecté au dossier.- Règlement rapide
Une plainte peut être résolue avant qu’une enquête officielle n’ait commencé si, par exemple, la question a déjà été traitée dans le cadre d’une autre plainte et que l’institution a cessé la pratique, ou si cette pratique ne contrevient pas à la Loi. - Enquête officielle
L’enquête permet d’établir les faits sur lesquels le commissaire s’appuie pour déterminer si les droits du plaignant établis en vertu de la LPRP ont été enfreints.
L’enquêteur écrit à l’institution pour décrire l’objet de la plainte. Pour constater les faits, il recueille les observations des deux parties et effectue une enquête indépendante, des entrevues avec des témoins et un examen de la documentation.
Au nom du commissaire ou de son délégué, l’enquêteur a le pouvoir de recevoir des éléments de preuve, d’accéder à des lieux au besoin et d’obtenir ou d’examiner des copies de dossiers trouvés sur place.- Abandonnée
Une plainte peut être abandonnée si, par exemple, le plaignant décide de ne pas aller de l’avant, ou s’il ne peut être localisé. - Réglée
Le Commissariat cherche à régler les plaintes et à prévenir d’autres infractions à la Loi. Le commissaire favorise la résolution des différends par l’entremise de la négociation et de la persuasion. L’enquêteur participe au processus.
- Abandonnée
- Analyse
L’enquêteur analyse les faits et prépare les recommandations pour le commissaire ou son délégué. Il communique avec les parties, au besoin, et examine les faits recueillis au cours de l’enquête. Il peut également informer les parties des recommandations, fondées sur les faits, qu’il présentera au commissaire ou à son délégué. À cette étape, les parties peuvent faire d’autres observations.
Au besoin, des consultations internes sont effectuées avec, par exemple, la Direction des services juridiques, la Direction des politiques, de la recherche et des affaires parlementaires ainsi que la Direction de l’analyse de la technologie.- Conclusion
Le commissaire ou son délégué examine le dossier et évalue le rapport. Le commissaire ou son délégué, et non l’enquêteur, décide de l’issue appropriée du dossier et s’il faut présenter des recommandations à l’institution.
Le commissaire ou son délégué envoie aux parties des lettres de conclusions décrivant le motif de la plainte, les conclusions de faits dignes d’intérêt, l’analyse et les recommandations à l’institution. Le commissaire ou son délégué peut demander à l’institution de lui indiquer par écrit, dans un délai précis, les mesures prévues pour mettre en œuvre les recommandations.
Les conclusions possibles au sujet de la plainte sont les suivantes :- Non fondée : La preuve, tout bien pesé, ne permet pas au commissaire ou à son délégué de conclure que les droits du plaignant en vertu de la Loi ont été enfreints.
- Fondée : L’institution n’a pas respecté l’une des dispositions de la Loi.
- Fondée et résolue : Les allégations sont corroborées par l’enquête et l’institution a accepté de prendre des mesures correctives afin de remédier à la situation.
- Résolue : La preuve recueillie au cours de l’enquête soutient les allégations formulées dans la plainte, mais l’institution s’est engagée à prendre des mesures pour remédier à la situation à la satisfaction du Commissariat. Cette conclusion est réservée aux plaintes qu’on pourrait difficilement qualifier de fondées du fait que la situation relève essentiellement d’une mauvaise communication ou d’un malentendu.
Dans sa lettre de conclusions, le commissaire ou son délégué informe le plaignant de son droit de recours à la Cour fédérale pour les cas de refus d’accès aux renseignements personnels.- Lorsque des recommandations ont été présentées à une institution, le personnel du Commissariat effectue un suivi pour vérifier si elles ont bel et bien été appliquées.
- En cas de refus d’accès aux renseignements personnels, le plaignant ou le commissaire peut choisir de demander une audience à la Cour fédérale. La Cour fédérale a le pouvoir d’examiner l’affaire et de déterminer si l’institution doit fournir les renseignements au requérant.
- Conclusion
- Règlement rapide
- Non
Processus d’enquête en vertu de la LPRPDE
Version textuelle du processus d’enquête en vertu de la LPRPDE
Des personnes font parvenir des plaintes écrites au Commissariat concernant des infractions à la Loi. L’unité d’accueil examine les plaintes et effectue un suivi auprès des plaignants pour demander des précisions et recueillir des renseignements supplémentaires, le cas échéant.
Si les plaignants n’ont pas discuté de leurs préoccupations directement avec l’organisation visée, le Commissariat leur demande de le faire pour tenter de régler la question, puis de revenir le voir si leur démarche est infructueuse.
L’unité d’accueil réussit parfois à régler immédiatement les problèmes. Par exemple, si le Commissariat a déjà effectué une enquête sur le type de question soulevée et qu’il a jugé les activités conformes à la LPRPDE, un agent de réception des plaintes en informe la personne en cause. Par ailleurs, si le Commissariat a déterminé antérieurement qu’une organisation ou une activité n’est pas de son ressort, un agent de réception explique la situation et aiguille la personne vers d’autres ressources ou sources d’aide, s’il y a lieu.
Dans les cas où l’unité d’accueil n’est pas en mesure de régler immédiatement la question soulevée (et après que l’information nécessaire a été recueillie), le Commissariat considère qu’il s’agit d’une plainte officielle. Le commissaire à la protection de la vie privée peut lui aussi déposer une plainte s’il est d’avis qu’il y a des motifs suffisants pour mener une enquête.
- Plainte refusée
Le commissaire peut refuser d’enquêter sur une plainte si certaines conditions prévues au paragraphe 12(1) de la Loi sont respectées. Le plaignant peut demander au commissaire de revenir sur sa décision. - Plainte confiée à un enquêteur
Les plaintes de nature grave, systémique ou complexe – par exemple, questions de compétence, allégations multiples ou aspects techniques complexes – sont confiées à un enquêteur.- Enquête
Les enquêtes établissent les faits permettant au commissaire de déterminer si les droits du plaignant ont été enfreints au sens de la LPRPDE.
L’enquêteur écrit à l’organisation pour décrire l’objet de la plainte. Pour constater les faits, il recueille les observations des deux parties et effectue une enquête indépendante, des entrevues avec des témoins et un examen de la documentation. Au nom du commissaire ou de son délégué, l’enquêteur a le pouvoir de recevoir des éléments de preuve, d’accéder à des lieux au besoin et d’obtenir ou d’examiner des copies de dossiers trouvés sur place.- Analyse
L’enquêteur analyse les faits et prépare les recommandations pour le commissaire ou son délégué.
Il communique avec les parties et examine les faits recueillis au cours de l’enquête. Il informe également les parties des recommandations, fondées sur les faits, qu’il présentera au commissaire ou à son délégué. À cette étape, les parties peuvent faire d’autres observations.
Au besoin, des consultations internes sont effectuées avec, par exemple, la Direction des services juridiques, la Direction des politiques, de la recherche et des affaires parlementaires ainsi que la Direction de l’analyse de la technologie.- Hors du champ d’application
Le Commissariat détermine que la LPRPDE ne s’applique pas à l’organisation en cause ou aux activités faisant l’objet de la plainte. - Conclusions
Le commissaire ou son délégué examine le dossier et évalue le rapport. Le commissaire ou son délégué, et non l’enquêteur, décide de l’issue appropriée du dossier et s’il faut présenter des recommandations à l’organisation. - Rapport préliminaire
Si l’enquête laisse croire qu’il y a vraisemblablement eu une infraction à la LPRPDE, le commissaire ou son délégué fait des recommandations pour aider l’organisation à régler le problème et demande à celle-ci de préciser dans un délai fixé comment elle appliquera les recommandations. - Rapport final et lettres de conclusions
Le commissaire ou son délégué envoie aux parties des lettres de conclusions décrivant le motif de la plainte, les conclusions de faits dignes d’intérêt, l’analyse et la réponse de l’organisation à toute recommandation formulée dans le rapport préliminaire.
(Les conclusions possibles sont indiquées à l’annexe 1 – Définitions.)
Dans sa lettre de conclusions, le commissaire ou son délégué informe le plaignant de son droit de recours à la Cour fédérale.- Si certaines recommandations n’ont pas encore été mises en œuvre par l’organisation, le Commissariat lui demande de le tenir au courant de la situation, selon un calendrier prédéterminé après l’enquête, afin qu’il puisse évaluer si des mesures correctives ont été prises.
- Le plaignant ou le commissaire peut choisir de demander une audience à la Cour fédérale. Celle-ci a le pouvoir d’ordonner à l’organisation de revoir ses pratiques. Elle peut également accorder des dommages-intérêts au plaignant, notamment pour une humiliation subie. Le montant des dommages-intérêts n’est assujetti à aucune limite.
- Réglée
Le Commissariat cherche à régler les plaintes et à prévenir d’autres infractions à la Loi. Il aide à négocier, en cours d’enquête, une solution qui convient à toutes les parties. L’enquêteur participe au processus. - Abandonnée
Une plainte peut être abandonnée, par exemple, si le plaignant décide de ne pas aller de l’avant ou s’il ne peut être localisé, ou encore si certaines conditions prévues à l’article 12.2 de la Loi sont respectées.
- Hors du champ d’application
- Analyse
- Enquête
- Confiée à un agent de règlement rapide
Les plaintes qui, selon le Commissariat, peuvent être résolues rapidement sont confiées à un agent de règlement rapide. Il s’agit de plaintes sur des sujets ayant déjà fait l’objet de conclusions de la part du Commissariat, qui concernent des organisations ayant déjà répondu aux allégations de façon satisfaisante aux yeux du Commissariat ou encore de cas où il semble possible de régler rapidement les allégations.- Acheminée à un enquêteur
Une plainte qui ne peut être réglée rapidement est confiée à un enquêteur. - Réglée rapidement
Des agents de règlement rapide favorisent le règlement des plaintes au moyen de la médiation, de la négociation et de la persuasion.
- Acheminée à un enquêteur
Annexe 4 : Lois essentiellement similaires
En vertu du paragraphe 25(1) de la LPRPDE, le Commissariat doit déposer chaque année au Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires ».
En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de cette loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province ayant adopté une loi provinciale « essentiellement similaire ».
Le 3 août 2002, Industrie Canada (maintenant connu sous le nom d’Innovation, Sciences et Développement économique Canada) a publié le Processus de détermination du caractère « essentiellement similaire » d’une loi provinciale par le gouverneur en conseil. On y présente la politique et les critères utilisés pour déterminer si une loi provinciale sera considérée comme essentiellement similaire. En vertu de la politique, les lois essentiellement similaires :
- fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
- intègrent les 10 principes de l’annexe 1 de la LPRPDE;
- fournissent un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
- restreignent la collecte, l’utilisation et la communication des renseignements personnels à des fins appropriées et légitimes.
Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la LPRPDE en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels à l’intérieur de la province visée. La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province visée ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.
Les lois provinciales considérées comme essentiellement similaires sont les suivantes :
- Loi sur la protection des renseignements personnels dans le secteur privé du Québec;
- Personal Information Protection Act de la Colombie-Britannique;
- Personal Information Protection Act de l’Alberta;
- Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (dépositaires de renseignements sur la santé);
- Loi sur l’accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (dépositaires de renseignements sur la santé);
- Personal Health Information Act de Terre-Neuve-et-Labrador (dépositaires de renseignements sur la santé); et,
- Personal Health Information Act de la Nouvelle-Écosse (dépositaires de renseignements sur la santé).
Annexe 5 : Rapport de la commissaire spéciale à la protection de la vie privée
À n’en pas douter, l’année qui vient de s’écouler a été éprouvante pour tout le monde sur tous les plans. Malgré ces difficultés et quelques retards en début d’année, le Commissariat à la protection de la vie privée du Canada a établi des protocoles sûrs et sécurisés pour la transmission de documents. De mon côté, j’ai poursuivi mon travail avec détermination. Dans certains cas, des personnes ont « fait appel » des résultats d’enquêtes du Commissariat sur des plaintes relatives à la protection de la vie privée mettant en cause d’autres organismes publics. Je ne pouvais agir en pareil cas. Néanmoins, et par souci de servir au mieux ces personnes, j’ai pris le temps de leur expliquer mon rôle de commissaire spéciale et les raisons pour lesquelles je ne pouvais pas entendre leur plainte. Parallèlement, j’ai informé le Commissariat de leurs préoccupations afin que celui-ci puisse y répondre directement au besoin.
Entre le 1er avril 2020 et le 31 mars 2021, j’ai examiné au total six dossiers, dont trois ont été rejetés comme n’étant pas des plaintes valables. Les trois autres ont nécessité des enquêtes complètes, suivies de rapports de conclusions. Dans les plaintes étudiées, des personnes cherchaient à avoir accès à des renseignements personnels découlant d’enquêtes du Commissariat sur des plaintes auxquelles elles étaient parties prenantes. J’ai constaté, dans chacun des rapports de conclusions produits cette année, que le Commissariat avait légalement refusé l’accès à certains renseignements personnels demandés, conformément aux règles prévues dans la Loi sur la protection des renseignements personnels (LPRP). Cela signifie qu’il n’était pas nécessaire pour moi d’émettre des recommandations pour une communication supplémentaire.
Ces dossiers étaient intéressants. Les personnes (les demandeurs) cherchaient à accéder à des renseignements personnels qui les concernaient, mais qui concernaient également des tiers qui étaient eux aussi en cause dans les mêmes dossiers d’enquête du Commissariat.
Lorsqu’une demande d’accès à des renseignements personnels est présentée au Commissariat et que celui-ci la refuse, le demandeur est alors en droit de déposer une plainte auprès de la commissaire spéciale. De prime abord, plusieurs personnes se sont plaintes qu’un refus d’accès paraissait contestable. Comme j’avais déjà traité des questions similaires par le passé, j’ai cru bon, aux fins du présent rapport annuel, d’exposer les règles sur lesquelles l’accès aux renseignements personnels est fondé.
Au sens de la LPRP, les renseignements personnels sont des renseignements qui peuvent permettre d’identifier un individu. Par conséquent, cette définition a un sens très large : il peut s’agir de l’âge, de l’origine ethnique, de la religion ou de l’éducation d’une personne; d’antécédents financiers ou professionnels d’une personne; de la correspondance de nature privée ou confidentielle envoyée par une personne à une institution fédérale; ou même des opinions ou des idées personnelles sur une personne que d’autres ont exprimées, et ainsi de suite. Cette définition englobe la plupart des renseignements permettant d’identifier un individu.
La Loi accorde à toute personne le droit de demander l’accès aux renseignements personnels la concernant qui se trouvent dans un dossier relevant d’une institution fédérale, ce qui inclut le Commissariat. C’est un droit important, un droit étendu d’accès à ses propres renseignements personnels. Cependant, la Loi précise aussi que ce droit n’est pas absolu. Dans certains cas, ce droit peut être restreint par la loi, permettant ainsi au Commissariat de refuser la communication de certains renseignements personnels. Il s’agit d’un concept difficile à saisir, car il va à l’encontre de notre tendance naturelle à croire que nous devrions être en mesure d’obtenir tout renseignement nous concernant.
En fait, la disposition relative au droit d’accès aux renseignements personnels définit l’étendue des renseignements auxquels une personne a le droit d’accéder, c’est-à-dire les renseignements personnels concernant la personne qui en fait la demande, mais pas les renseignements personnels d’autres personnes. En outre, dans certains cas, l’accès peut être davantage restreint. Par exemple, l’accès aux renseignements personnels contenus dans les dossiers des autorités publiques chargées de l’application de la loi et des enquêtes judiciaires est limité selon l’identité de la personne qui en fait la demande, l’objet de l’enquête et le moment où est présentée la demande (pendant ou à la fin du processus d’application de la loi ou de l’enquête judiciaire).
La LPRP (ainsi que la Loi sur l’accès à l’information, article 16.1) reconnaît ce fait à l’article 22.1 :
22.1 (1) Le Commissaire à la protection de la vie privée est tenu de refuser de communiquer les renseignements personnels demandés en vertu de la présente loi qui ont été créés ou obtenus par lui ou pour son compte dans le cadre de toute enquête faite par lui ou sous son autorité, ou qui ont été obtenus par lui dans le cadre d’une consultation par le Commissaire à l’information en vertu du paragraphe 36 (1.1) ou de l’article 36.2 de la Loi sur l’accès à l’information.
Le paragraphe (1) ci-dessus précise que tout renseignement obtenu par le Commissariat et consigné dans ses dossiers d’enquête ne peut jamais être communiqué. Autrement dit, le Commissariat n’a d’autre choix que de refuser l’accès à ce type de renseignements. En revanche, le paragraphe (2) de l’article 22.1 constitue une exception à cette règle :
22.1 (2) Toutefois, il ne peut s’autoriser du paragraphe (1) pour refuser de communiquer les renseignements personnels créés par lui ou pour son compte dans le cadre de toute enquête faite par lui ou sous son autorité une fois que l’enquête et toute instance afférente sont terminées.
Les mots que j’ai mis en caractères gras ci-dessus portent sur les renseignements qui ont été créés au cours d’une enquête, par opposition à ceux qui ont été obtenus, comme nous l’avons noté dans le premier paragraphe précité. Cela signifie qu’à la conclusion d’une enquête du Commissariat, la communication de renseignements personnels peut avoir lieu à la demande de la personne sur qui porte les renseignements (et, bien sûr, il n’existe aucune autre exception pour limiter ou restreindre ce droit d’accès). Le Commissariat demeure la source pertinente pour déterminer les droits d’accès aux renseignements créés en cours d’enquête.
Une autre observation à noter est la source des renseignements demandés. Le Commissariat dispose de secteurs distincts qui mènent diverses activités, notamment des enquêtes. Une personne demandant l’accès à ses renseignements personnels présentera sa demande au directeur de l’accès à l’information et de la protection des renseignements personnels (AIPRP) du Commissariat, mais le Commissariat dispose aussi d’un secteur distinct chargé d’enquêter sur les plaintes, appelé le Secteur de la conformité.
Dans le traitement de la demande par le directeur de l’AIPRP, les documents reçus de l’autre secteur (Secteur de la conformité) seront traités conformément aux règles de communication des renseignements personnels. Cela signifie que les renseignements obtenus par le Secteur de la conformité en cours d’enquête sont considérés comme des « renseignements obtenus ». Pour cette raison, ils ne peuvent jamais être communiqués à la personne qui en fait la demande, même s’il s’agit de renseignements personnels propres au demandeur. Dans ces mêmes documents, les renseignements personnels que le Secteur de la conformité a créés au cours de son enquête sont considérés comme des « renseignements créés ». Par conséquent, ils peuvent être communiqués au demandeur lorsque l’enquête est terminée, à condition qu’il s’agisse de renseignements personnels du demandeur et non ceux d’un tiers.
Enfin, je tiens à signaler l’application de l’article 26 de la Loi. Il s’agit d’une exception qui interdit l’accès aux renseignements personnels qui concernent une personne autre que le demandeur sans son consentement. Le consentement est un concept communément admis dans le domaine de la protection de la vie privée pour la communication des renseignements d’une personne. Néanmoins, des personnes se sont plaintes de se voir refuser l’accès aux renseignements personnels d’autres personnes en cause dans des enquêtes sur des plaintes relatives à la protection de la vie privée qui les concernent. Le Commissariat a le devoir constant de protéger la vie privée des tiers, même si cela signifie que les droits d’accès peuvent être refusés ce faisant.
Dans le but d’informer le public, voici un résumé de l’application des règles importantes concernant l’accès aux renseignements personnels contenus dans les dossiers d’enquête du Commissariat :
- le directeur de l’AIPRP considère le Secteur de la conformité du Commissariat (secteur responsable des enquêtes sur les plaintes) comme une source distincte aux fins de l’application des règles d’accès aux renseignements personnels au moment du traitement des demandes;
- les renseignements personnels du demandeur qui ont été recueillis par le Secteur de la conformité du Commissariat ne peuvent en aucun cas être communiqués par le directeur de l’AIPRP;
- les renseignements personnels du demandeur qui ont été créés par le Secteur de la conformité du Commissariat peuvent être communiqués par le directeur de l’AIPRP, à condition que l’enquête du Commissariat soit terminée et que ces renseignements ne constituent pas les renseignements personnels d’une autre personne.
En terminant, j’espère que mon rapport annuel a fourni un aperçu utile des règles concernant l’accès aux renseignements personnels d’une personne dans les dossiers du Commissariat. Je compte continuer d’être au service de ceux qui solliciteront mon intervention au cours de l’année à venir.
Le tout respectueusement soumis,
Anne E. Bertrand, c.r.
Commissaire spéciale
Annexe 6 : Examen du Centre d’analyse des opérations et déclarations financières du Canada
Paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes
Rapport final 2021
Table des matières
Objectif et approche du présent examen
Évaluation de la sécurité et autorisation
Absence d’entente entre le CANAFE et SPC
Absence de surveillance régulière des registres des activités
Observations et recommandations sur les mesures de sécurité dans l’examen actuel
Domaines dans lesquels des lacunes ont été constatées
Gestion de l’audit des systèmes d’information
Gestion de la continuité des activités – Protection des renseignements personnels
Annexe A – Autorisation d’exploitation temporaire pour les SGTSF (date d’expiration : décembre 2020)
Annexe B – Autorisation d’exploitation temporaire pour les SGTSF (date d’expiration : mars 2022)
Points principaux
Éléments examinés
Conformément au paragraphe 72(2) de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (« LRPCFAT »), le commissaire à la protection de la vie privée doit procéder à un examen, tous les deux ans, des mesures prises par le Centre d’analyse des opérations et déclarations financières du Canada (« CANAFE ») pour protéger les renseignements qu’il reçoit ou recueille.
Nous avons examiné les politiques et procédures du CANAFE relatives aux contrôles de sécurité administratifs, physiques et informatiques. Étant donné que les fonds de données électroniques du CANAFE sont hébergés dans l’infrastructure de technologies de l’information (« TI ») de Services partagés Canada (« SPC »), notre examen a porté sur les contrôles de TI pertinents en place à SPC et au CANAFE afin de protéger les fonds de renseignements personnels du CANAFE contre toute utilisation ou communication inappropriée ou non autorisée. Nous avons également interviewé des représentants du CANAFE et de SPC chargés de mettre en œuvre et de surveiller les contrôles de sécurité. Dans le cadre du présent examen, nous avons évalué les mesures du CANAFE par rapport à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité du Secrétariat du Conseil du Trésor (« SCT »).
Notre bureau a également évalué les progrès réalisés par le CANAFE en réponse aux recommandations de notre rapport de 2017.
Constatations
D’après notre revue des principaux documents décrivant les processus et les pratiques à l’appui du cadre intégré de sécurité du CANAFE, en ce qui concerne la plupart des mesures de sécurité que nous avons examinées, nous n’avons relevé aucune indication de défauts dans les contrôles mis en place par le CANAFE pour protéger les renseignements personnels qu’il obtient. Toutefois, nous avons constaté deux lacunes que notre Bureau recommande au CANAFE de corriger en priorité.
En premier lieu, nous craignons que notre observation de 2017 selon laquelle les registres des activités ne sont pas surveillés régulièrement pour détecter des signes d’accès, d’utilisation ou de communication inappropriés n’ait pas encore été traitée de manière complète ou satisfaisante. Certains progrès ont été réalisés depuis 2017, mais les pratiques actuelles de gestion des registres ne permettent pas l’exécution d’une surveillance adéquate pour détecter ou prévenir l’accès non autorisé possible par les employés du CANAFE. Nous recommandons la mise en œuvre de mesures contre les menaces internes.
En second lieu, le Plan de continuité des activités (« PCA ») du CANAFE ne traite pas de la protection des renseignements personnels. Nous recommandons au CANAFE de mettre à jour son PCA afin que les fonds de renseignements personnels soient continuellement protégés.
En réponse, le CANAFE a accepté les recommandations du Commissariat à la protection de la vie privée du Canada (« CPVP ») pour remédier à ces deux préoccupations, mais, pour la première, selon un échéancier plus long que celui recommandé par le CPVP. Nous demeurons toutefois préoccupés comptes tenu du fait que le CANAFE n’a pas terminé la mise en œuvre de plusieurs des recommandations de notre examen de 2017, malgré les engagements qu’il a pris à l’époque. En outre, il ne s’est pas engagé à achever la mise en œuvre des éléments en suspens de nos recommandations de 2017 d’ici 12 mois, comme nous l’avons de nouveau recommandé.
Introduction
- Le CANAFE a la responsabilité d’aider à détecter, à prévenir et à décourager le recyclage des produits de la criminalité, le financement d’activités terroristes et les autres menaces à la sécurité du Canada. Il s’agit d’un organisme indépendant, créé en 2001, qui relève du ministre des Finances, à qui il incombe de rendre des comptes au Parlement sur ses activités. Il a été mis sur pied et exerce ses activités en vertu de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (la « LRPCFAT » ou la « Loi ») et des règlements connexes.
- Le CANAFE produit des renseignements financiers à l’appui des enquêtes menées par les services de police, les organismes d’application de la loi et les organismes de sécurité nationale du Canada relativement au recyclage des produits de la criminalité, au financement d’activités terroristes et aux menaces à la sécurité du Canada. Le CANAFE produit également des renseignements financiers stratégiques, y compris des rapports de recherche spécialisés et des analyses des tendances.
- Au titre de la LRPCFAT, certaines entreprises sont tenues de recueillir des renseignements au sujet de leurs clients et de leurs opérations financières et de déclarer une partie ou la totalité de ces renseignements au CANAFE dans les circonstances prescrites. Les entités qui doivent faire rapport au CANAFE comprennent les suivantes :
- Les entités financières comme les banques, les coopératives de crédit, les caisses populaires, les coopératives de services financiers, les centrales de caisses de crédit, les sociétés de fiducie et les sociétés de prêt.
- Les sociétés et représentants d’assurance-vie.
- Les courtiers en valeurs mobilières.
- Les entreprises de services monétaires.
- Les mandataires de Sa Majesté qui acceptent des dépôts.
- Les comptables et les cabinets d’expertise comptable.
- Les courtiers ou les agents immobiliers.
- Les casinos.
- Les négociants en métaux précieux et pierres précieuses.
- Les notaires de la Colombie-Britannique.
- Le CANAFE reçoit les types de rapports suivants de ces entités, qui contiennent tous des renseignements personnels de nature délicate :
- Déclarations de mouvements transfrontaliers d’espèces et d’effets et déclarations de saisies des douanes (« DMTEE » et « DSD »).
- Déclarations d’opérations douteuses (« DOD »).
- Déclarations d’opérations importantes en espèces (« DOIE »).
- Déclarations de télévirements (« DT »).
- Déclarations de déboursements de casino (« DDC »).
- Renseignements transmis volontairement (« RTV »).
- Déclarations de biens appartenant à un groupe terroriste (« DBGT »).
- Divers achats importants, mais potentiellement légitimes, pourraient être déclarés au CANAFE en temps normal. Les DOIE, les DT et les DOD soumises au CANAFE pourraient comprendre des opérations comme les mises de fonds et les ententes hypothécaires pour l’achat d’une maison, les achats de voitures, de bateaux ou de véhicules récréatifs, les fonds envoyés à des membres de la famille à l’étranger et l’argent reçu par les étudiants étrangers qui étudient au Canada. Le CANAFE analyse ces renseignements financiers pour déterminer s’il existe des motifs raisonnables de soupçonner qu’ils sont pertinents aux fins d’une enquête ou d’une poursuite relativement à une infraction de recyclage de produits de la criminalité ou de financement d’activités terroristes.
- Le cas échéant, le CANAFE doit communiquer les renseignements désignés aux services de police compétents aux niveaux fédéral, provincial ou municipal afin qu’ils soient utilisés dans le cadre d’une enquête sur le blanchiment d’argent ou le financement d’activités terroristes. Lorsque le CANAFE a des motifs raisonnables de soupçonner que les renseignements à communiquer concernent des menaces à la sécurité du Canada, il doit les transmettre au Service canadien du renseignement de sécurité.
- En outre, si le CANAFE respecte également d’autres seuils juridiques particuliers établis dans la LRPCFAT, l’institution doit communiquer les renseignements désignés à d’autres destinataires, y compris l’Agence des services frontaliers du Canada, l’Agence du revenu du Canada, le Centre de la sécurité des télécommunications, les organismes provinciaux de réglementation des valeurs mobilières, le ministère de la Défense nationale et les Forces canadiennes, le Bureau de la concurrence et Revenu Québec. Le CANAFE peut également communiquer des renseignements à des unités étrangères ou internationales de renseignement dans certaines circonstances.
- La propriété de l’infrastructure appuyant les systèmes de base et les fonds de données électroniques du CANAFE a été transférée à Services partagés Canada (« SPC ») en 2012. Les deux institutions exercent une responsabilité partagée quant à la protection des systèmes et des renseignements personnels reçus, recueillis et gérés par voie électronique dans le cadre des activités prescrites du CANAFE. SPC est responsable, au titre de la Loi sur Services partagés Canada, de fournir l’infrastructure de TI. Le CANAFE doit s’assurer que les renseignements personnels qu’il recueille ou reçoit sont gérés et protégés conformément à la Loi sur la protection des renseignements personnels et à la LRPCFAT.
Objectif et approche du présent examen
- La LRPCFAT confie au commissaire à la protection de la vie privée du Canada le mandat suivant : « [procéder] à l’examen des mesures prises par le Centre en vue de protéger les renseignements qu’il recueille ».
- Par conséquent, nous avons effectué un examen de la documentation pertinente, y compris les politiques, les normes, les lignes directrices, les cadres et les processus opérationnels, et nous avons interviewé des représentants clés. Conformément à la portée d’une mission d’examen, nous n’avons pas examiné en détail la mise en œuvre des politiques et des processus ni effectué de contrôles des systèmes.
- L’examen visait à déterminer si le CANAFE a mis en place des contrôles appropriés pour protéger les renseignements personnels qu’il recueille et conserve, qui se trouvent dans l’infrastructure de TI de SPC. L’examen a porté sur les pratiques de gouvernance, de gestion des risques et de contrôle pour la gestion de la sécurité des renseignements personnels au CANAFE.
Constatations antérieures
- Comme il a été mentionné précédemment, la LRPCFAT confie au commissaire à la protection de la vie privée du Canada le mandat d’entreprendre un examen, tous les deux ans, des mesures prises par le CANAFE pour protéger les renseignements qu’il reçoit ou recueille et de faire rapport au Parlement sur ces mesures. Il s’agit du quatrième examen du genre entrepris par le commissaireNote de bas de page 1.
- Notre rapport de 2017 avait révélé les lacunes suivantes en ce qui concerne les mesures prises pour protéger les renseignements que le CANAFE recueille et reçoit :
- SPC n’avait effectué aucun processus d’évaluation de la sécurité et d’autorisation pour l’infrastructure appuyant les systèmes de base du CANAFE qui lui ont été transférés.
- Il n’y avait pas d’entente entre le CANAFE et SPC définissant clairement les rôles et responsabilités en matière de sécurité des TI, ni de dispositions pertinentes en matière de protection des renseignements personnels et de sécurité pour la protection des fonds de renseignements du CANAFE.
- Le CANAFE ne surveillait pas régulièrement les registres des activités des systèmes de TI pour repérer l’accès, l’utilisation ou la communication inappropriés de renseignements personnels.
- Le CANAFE avait souscrit aux recommandations et s’était engagé à mettre en œuvre des mesures précises pour y donner suite. Notre examen actuel avait pour but d’évaluer les progrès réalisés par le CANAFE pour donner suite à ces constatations.
Évaluation de la sécurité et autorisation
- Nous sommes convaincus que le CANAFE a corrigé adéquatement cette lacune concernant l’infrastructure dans laquelle ses données sont conservées. Plus précisément, le CANAFE a formellement évalué et accrédité son infrastructure existante, qui n’avait pas beaucoup changé depuis le transfert des opérations de l’infrastructure à SPC. SPC a également achevé un processus d’évaluation de la sécurité et d’autorisation pour mettre à jour la certification et l’accréditation de l’infrastructure de TI dans laquelle se trouvent les données du CANAFE.
- Le CANAFE a ensuite présenté une demande officielle à SPC et, après examen de la documentation du CANAFE, le dirigeant principal de la technologie, Gestion de la sécurité, SPC, a déterminé que le processus existant d’évaluation de la sécurité et d’autorisation du CANAFE était adéquat.
- En ce qui concerne l’accréditation de l’infrastructure de TI dans laquelle les données du CANAFE circulent, nous avions constaté lors de notre examen de 2017 que la lettre d’accréditation pour les Services gérés de transfert sécurisé de fichiers (SGTSF) avait expiré en février 2015. Les SGTSF sont une solution de Services partagés Canada que le CANAFE et d’autres institutions fédérales utilisent pour transférer certains renseignements entre institutions fédérales. En réponse à notre recommandation de 2017, le CANAFE a pris des mesures pour que Services partagés Canada lui remette des certificats d’autorisation d’exploitation temporaire (« AET ») pour les SGTSF.
- Bien que cette mesure donne suite à la recommandation particulière formulée par le CPVP à l’époque, nous sommes préoccupés par le recours continu à une autorisation d’exploitation « temporaire » pour les SGTSF, qui est maintenant renouvelée depuis plus de cinq ans. L’AET pour les SGTSF (voir l’annexe A) que nous avons examinée au cours du présent exercice indique que SPC avait évalué le niveau de risque associé aux SGTSF comme étant élevé tout en précisant que le niveau cible de risque résiduel acceptable est faible.
- Nous sommes encouragés par le fait que cette AET a été approuvée en fonction de sept conditions (mesures à prendre pour répondre aux préoccupations en matière de sécurité) et qu’elle exige que les SGTSF de SPC fassent rapport sur les progrès réalisés en vue de satisfaire à ces conditions au responsable de l’évaluation, le sous-ministre adjoint principal de SPC.
- Nous avons communiqué nos observations à ce sujet à SPC dans le cadre du présent examen. SPC a depuis mis en place une autre AET (voir l’annexe B). Nous encourageons fortement SPC à mener à bien les étapes qu’il a déterminées pour atténuer les risques et à mettre en place en priorité une autorisation d’exploitation non temporaire pour les SGTSF.
Absence d’entente entre le CANAFE et SPC
- Nous sommes convaincus que le CANAFE a remédié adéquatement à cette lacune. Plus précisément, le CANAFE et SPC ont mis sur pied un groupe de travail interministériel mixte chargé de définir clairement leurs responsabilités et rôles respectifs en matière de sécurité des TI ainsi que les clauses pertinentes en matière de protection des renseignements personnels et de sécurité aux fins de la protection des fonds de renseignements du CANAFE. Une entente de collaboration intitulée « Entente de collaboration et de partenariat sur les rôles et responsabilités entre le Centre d'analyse des opérations et déclarations financières du Canada (CANAFE) et Services partagés Canada (SPC) en matière de protection de la vie privée et de sécurité » a été adoptée en juin 2019.
- L’entente de collaboration précise que le CANAFE et SPC partagent la responsabilité de l’écosystème global de l’infrastructure de TI sur lequel le CANAFE s’appuie pour exécuter son mandat législatif. Notre examen de l’entente de collaboration et les entrevues avec des représentants de SPC et du CANAFE ont permis de déterminer que l’entente consigne officiellement l’arrangement opérationnel entre le CANAFE et SPC concernant les rôles et les responsabilités en matière de sécurité des TI pour leurs programmes et services respectifs en ce qui a trait à la protection des renseignements personnels et la sécurité des données.
Absence de surveillance régulière des registres des activités
- Nous sommes inquiets que, malgré le temps écoulé, le CANAFE n’ait pas remédié à cette lacune de façon adéquate. Le CANAFE a amorcé la centralisation de son système de registres et a fait progresser des plans de surveillance plus poussée. Toutefois, il n’a toujours pas d’outils ou de processus en place pour surveiller activement les registres des activités, y compris ceux liés à l’accès aux dossiers de renseignements personnels et à d’autres événements de TI qui pourraient indiquer des risques pour la sécurité. Cela en dépit de l’exigence énoncée à l’annexe B de la Directive sur la gestion de la sécurité du SCT d’analyser les journaux et les dossiers d’audit des systèmes d’informationNote de bas de page 2.
Préoccupations concernant la collecte et la conservation de renseignements personnels qui ne respectent pas les seuils de déclaration
- Lors de notre examen de 2017 (effectué en vertu de l’article 37 de la Loi sur la protection des renseignements personnels), en plus d’examiner des questions liées à la protection des fonds de renseignements personnels détenus par le CANAFE, nous avions également constaté que le CANAFE continuait de recevoir et de conserver des renseignements personnels qui ne respectaient pas les seuils de déclaration établis dans la LRPCFAT, ce qui constituait un sujet de préoccupation. Le CANAFE est tenu de détruire les renseignements qui ne respectent pas les seuils de déclaration lorsque cette détermination est faite dans le cours normal de ses activités.
- Toutefois, ces déclarations étaient reçues par le CANAFE et conservées dans ses bases de données, possiblement pendant de longues périodes. En février 2021, le CANAFE a fait le point sur son engagement à mettre en œuvre les éléments du plan d’action liés à nos recommandations. Or, comme il est indiqué ci-dessous, à l’exception du contrôle initial, les activités déclarées par le CANAFE ne comprenaient pas de preuves claires de la mise en œuvre de nos recommandations.
- Contrôle initial : Nous estimons que le CANAFE a mis en œuvre notre recommandation de poursuivre ses efforts en vue d’effectuer un contrôle initial solide et complet pour les déclarations reçues afin de s’assurer que les documents et les rapports qu’il conserve respectent les seuils de déclaration imposés par la loi et ne contiennent pas de renseignements personnels inutiles ou excessifs. Le CANAFE confirme qu’il continue d’utiliser le contrôle initial. Bien qu’il n’ait relevé aucune modification apportée au cours des trois dernières années pour l’améliorer, il a indiqué qu’il avait fait des efforts pour s’assurer que les nouvelles mesures législatives et réglementaires faciliteront l’adoption de systèmes de déclaration plus robustes. Les changements aux systèmes de déclaration seront mis en œuvre parallèlement aux changements en attente concernant les formulaires de déclaration. Par exemple, les nouveaux formulaires de déclaration des opérations importantes en monnaie virtuelle (« DOIMV ») du CANAFE ont été élaborés en tenant compte de ces facteurs. En outre, le CANAFE mentionne que la majorité des déclarations qu’il a désignées comme devant être détruites au cours des trois dernières années sont attribuables à des erreurs commises par des entités déclarantes qui n’auraient pas pu être détectées au moyen d’un contrôle initial du CANAFE, car aucun indicateur dans les déclarations ne signalait une surdéclaration.
- Examiner et supprimer manuellement les déclarations de biens appartenant à un groupe terroriste (« DBGT ») qui ne respectent pas les seuils de déclaration : En vue de remédier à des préoccupations semblables à celles soulevées dans nos examens de 2009 et de 2013 au sujet de la détention par le CANAFE de déclarations reçues en raison d’appariements « possibles » aux listes de terroristes, nous avions formulé en 2017 la recommandation selon laquelle le CANAFE devrait examiner manuellement toutes les DBGT et éliminer immédiatement celles qui sont désignées comme ne respectant pas les seuils de déclaration. À l’époque, le CANAFE avait accepté cette recommandation et mentionné « qu’il effectuerait un examen manuel de toutes les déclarations de biens appartenant à un groupe terroriste dans ses fonds de données et que s’il possède ou reçoit des renseignements d’une entité déclarante qui a présenté une déclaration ou les documents appropriés indiquant qu’une appartenance à un groupe terroriste n’est plus soupçonnée, il mettrait immédiatement cette déclaration de côté et l’éliminerait. »
- Le CANAFE a confirmé que chacun des 48 DBGT reçus au cours des 4 dernières années a fait l’objet d’un examen manuel, mais que, selon lui, aucun n’avait respecté le seuil de destruction. Toutefois, le CANAFE n’a pas donné suite à notre recommandation et à son engagement d’examiner les rapports qu’il détient encore et qui ont été reçus auparavant.
Recommandation et réponse du CANAFE
- Nous avons donc recommandé au CANAFE d’examiner attentivement notre recommandation de 2017 et de prendre des mesures pour la mettre en œuvre clairement et intégralement dans un délai de 12 mois. Le CANAFE a indiqué qu’il acceptait cette recommandation. Toutefois, il a ajouté que les mesures qu’il prévoyait prendre en réponse à la recommandation consistaient à examiner manuellement de façon continue toutes les DBGT reçues et à supprimer les déclarations qui ne satisfont pas à l’exigence législative.
- Cela ne tient pas compte de l’existence de déclarations déjà reçues dans les fonds du CANAFE en fonction « d’appariements possibles » avec les listes de terroristes – comme il est décrit dans notre rapport de 2017. Cela va également à l’encontre de l’engagement exprès pris par le CANAFE, en 2017, d’examiner toutes les DBGT dans ses fonds de renseignements et d’éliminer celles pour lesquelles une appartenance à un groupe terroriste n’est plus soupçonnée. Nous sommes préoccupés par le manque de suivi du CANAFE à l’égard de ses engagements formels. La réponse du CANAFE ne nous permet pas de conclure qu’il met en œuvre notre recommandation ou qu’il y donne suite.
- Éliminer les déclarations de télévirements et les déclarations d’opérations importantes en espèces inférieures au seuil de déclaration : Pour répondre aux préoccupations selon lesquelles, au 31 juillet 2016, le CANAFE avait reçu environ 80 000 DT et 150 000 DOIE qui étaient inférieures au seuil de déclaration de 10 000 $ et qui n’étaient pas visées par la règle de 24 heures, nous avions formulé la recommandation suivante en 2017 : Le CANAFE devrait éliminer les DT et les DOIE inférieures au seuil de déclaration de 10 000 $ qui ne sont pas visées par la règle de 24 heures, car le Centre n’a aucun pouvoir législatif lui permettant de conserver ces renseignements. À l’époque, le CANAFE avait accepté la recommandation et indiqué qu’il était en train de mettre à jour ses lignes directrices pour les entités déclarantes et qu’il envisagerait des options pour repérer, mettre de côté et détruire les renseignements qu’il n’aurait pas dû recevoir.
- Lorsqu’il a fait rapport sur les progrès réalisés à l’égard de cette recommandation, le CANAFE a indiqué (i) qu’en 2020, il a élargi ses procédures de mise de côté des déclarations reçues qui ne respectent pas le seuil prévu par la loi pour les appliquer au-delà de ses propres examens de conformité (p. ex. autodéclarations de surdéclarations par les entités déclarantes), (ii) qu’il a récemment entrepris un examen de gestion interne de l’assurance de la qualité pour la réception des renseignements inappropriés lorsque de tels renseignements sont reçus, et (iii) qu’il a mis à jour le mandat de son sous-comité chargé de veiller à ce que ces déclarations soient mises de côté aux fins de destruction. Il a également indiqué que sa politique consiste à mettre de côté et à éliminer les déclarations découvertes dans le cours normal des activités qui ne satisfont pas à un seuil de déclaration établi par la loi.
- Toutefois, bien que le CANAFE ait accepté notre recommandation de 2017 d’éliminer les déclarations signalées par le CPVP, il n’a pas répondu à la question clé consistant à indiquer si les déclarations de ce type avaient été détruites.
Recommandation et réponse du CANAFE
- Nous avons donc recommandé au CANAFE d’examiner attentivement notre recommandation de 2017 et de prendre des mesures pour la mettre en œuvre clairement et intégralement dans un délai de 12 mois. Le CANAFE a indiqué qu’il « acceptait en principe » cette recommandation et que, dans le cadre des changements à venir concernant ses systèmes de déclaration, il mettra à jour divers formulaires de déclaration afin, notamment, de réduire au minimum la réception de déclarations qui ne sont pas visées par la règle de 24 heures. Il n’a fourni aucun échéancier pour cette activité, bien qu’il ait indiqué en 2017 qu’à ce moment-là, il était « en train » de mettre à jour ses lignes directrices pour les entités déclarantes. En outre, le CANAFE a mentionné, en ce qui concerne l’élimination des déclarations déjà reçues, que même s’il n’est pas possible d’adopter une approche manuelle plus proactive, il continuera d’explorer la possibilité de recourir à des solutions automatisées supplémentaires pour repérer et mettre de côté ces déclarations. Il n’a fourni aucun échéancier concernant la réalisation de cette « exploration » qu’il s’est engagé à entreprendre pour la première fois en 2017.
- Ces mesures ne règlent pas de façon significative la question de l’existence de déclarations déjà reçues dans les fonds du CANAFE qui ne relèvent pas de ses pouvoirs législatifs – comme il était décrit dans notre rapport de 2017. Nous sommes préoccupés par ce manque d’engagement de la part du CANAFE à donner suite à la recommandation du CPVP. La réponse du CANAFE ne nous permet pas de conclure qu’il met en œuvre notre recommandation ou qu’il y donne suite.
- Éviter de recueillir des renseignements personnels inutiles dans le cadre des exercices de conformité (et éliminer de tels renseignements lorsqu’ils sont reçus) : Pour donner suite aux préoccupations que nous avions relevées selon lesquelles le programme de conformité du CANAFE (pour veiller à ce que les entités déclarantes s’acquittent de leurs obligations au titre de la LRPCFAT) recueillait et conservait des renseignements personnels inutiles, nous avions recommandé en 2017 (i) que le CANAFE augmente ses efforts de sensibilisation pour aborder précisément la question des renseignements personnels inutiles fournis par les entités pendant les examens de la conformité et (ii) qu’il entreprenne un exercice interne de réduction au minimum et d’élimination des données afin de détruire les renseignements personnels qui se trouvent dans ses dossiers d’examen de la conformité et qui ne sont pas nécessaires pour faire la preuve des lacunes.
- À l’époque, le CANAFE avait accepté la recommandation et indiqué (i) qu’il révisait ses lettres de notification en conséquence et chercherait à augmenter ses efforts de sensibilisation pour régler le problème, et (ii) qu’il mettait en œuvre un processus d’assurance de la qualité qui sous-tend un exercice de réduction au minimum et d’élimination des données visant à détruire les renseignements reçus et recueillis dans le contexte de ses examens de la conformité qui ne font pas la preuve des lacunes relevées.
- En ce qui concerne le point (i), le CANAFE a confirmé que ses lettres de notification de conformité précisent maintenant que les entités déclarantes doivent fournir les renseignements demandés seulement, et non pas d’autres renseignements personnels sur les employés ou les clients, et qu’il offre une formation connexe à son personnel chargé de la conformité. Le CANAFE a également indiqué qu’il avait élargi ses activités de sensibilisation concernant les renseignements personnels en élaborant deux nouveaux modules de formation du personnel et une nouvelle politique relative au traitement des renseignements sur les entités déclarantes. En ce qui a trait au point (ii), le CANAFE a subséquemment entrepris trois examens d’assurance de la qualité de ses activités de conformité, ainsi qu’un exercice visant à éliminer les renseignements personnels inutiles recueillis à partir des examens menés dans le secteur bancaire à Toronto. Il a également mentionné qu’il continue d’éliminer les renseignements recueillis pendant le processus d’examen de façon permanente. Toutefois, le CANAFE n’a fourni aucune indication que des renseignements personnels inutiles ont été supprimés d’autres dossiers de conformité déjà existants.
Recommandation et réponse du CANAFE
- Nous avons donc recommandé au CANAFE d’examiner attentivement notre recommandation de 2017 et de prendre des mesures pour la mettre en œuvre clairement et intégralement dans un délai de 12 mois. Le CANAFE a indiqué qu’il « acceptait » cette recommandation. Toutefois, il a ajouté qu’il prévoit prendre les mesures suivantes en réponse à la recommandation : (i) poursuivre la formation existante et les rappels à ses agents de conformité, (ii) entreprendre un exercice de validation d’un échantillon sélectionné de dossiers d’examen des deux derniers exercices (2019-2020 et 2020-2021) pour évaluer le respect des politiques existantes, et (iii) mettre en œuvre un programme continu d’assurance de la qualité pour évaluer continuellement le respect des politiques et procédures internes relativement à l’élimination des données des dossiers d’examen qui ne sont pas nécessaires pour faire la preuve des lacunes.
- Le CANAFE n’a fourni aucun échéancier pour l’exécution de ces activités et n’a toujours pas donné suite à la recommandation initiale du CPVP de supprimer les renseignements personnels dans ses dossiers d’examen de la conformité déjà existants (c.-à-d. ceux de 2017 et des années précédentes) qui ne sont pas nécessaires pour faire la preuve des lacunes. Nous sommes préoccupés par ce manque d’engagement de la part du CANAFE à donner suite à la recommandation du CPVP. La réponse du CANAFE ne nous permet pas de conclure qu’il met en œuvre notre recommandation.
Observations et recommandations sur les mesures de sécurité dans l’examen actuel
- La Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes (« LRPCFAT ») exige que le CANAFE veille à ce que des mesures de protection appropriées soient en place pour protéger les renseignements personnels qu’il acquiert et conserve. La Politique sur la sécurité du gouvernementNote de bas de page 3 (la « Politique ») du Secrétariat du Conseil du Trésor (« SCT ») prescrit des mesures de protection visant à protéger et à préserver la confidentialité et l’intégrité des biens du gouvernement, y compris les renseignements, et établit des exigences minimales obligatoires en matière de sécurité.
- La Politique est mise en œuvre au moyen de normes et de directives qui doivent être suivies par les institutions gouvernementales. La Directive sur la gestion de la sécuritéNote de bas de page 4 du Secrétariat du Conseil du Trésor établit une orientation pour assurer une gestion efficiente, efficace et responsable de la sécurité dans les ministères et organismes gouvernementaux. La Directive prévoit des contrôles obligatoires pour ce qui suit :
- le filtrage de sécurité;
- la sécurité des technologies de l’information;
- la sécurité lors de l’octroi de contrats et d’autres ententes;
- la sécurité matérielle;
- la gestion de la continuité des activités;
- la sécurité de la gestion de l’information;
- la gestion des événements de sécurité;
- la sensibilisation et la formation en matière de sécurité.
- Par conséquent, nous nous attendions à constater qu’en ce qui concerne la protection des renseignements personnels, les mesures de protection mises en place par le CANAFE et SPC soient conformes à la LRPCFAT, à la Politique sur la sécurité du gouvernement et à la Directive sur la gestion de la sécurité, afin de protéger les renseignements personnels et d’atténuer le risque de violation et de communication inappropriée.
- En ce qui concerne les contrôles obligatoires énumérés ci-dessus, à l’exception de deux lacunes décrites plus en détail ci-dessous, nous n’avons trouvé aucune indication d’insuffisance durant notre examen des principaux documents et nos entrevues.
- Nous constatons certains points forts :
- Le CANAFE a établi les principes de sécurité interne suivants pour orienter ses activités liées à la sécurité :
- le principe du besoin de savoir, selon lequel les personnes n’auront accès qu’aux renseignements de nature délicate nécessaires à l’exercice de leurs fonctions;
- les critères de contrôle de l’accès, qui déterminent quelles personnes auront un besoin de savoir ainsi que la cote de sécurité et l’autorisation requises avant d’obtenir l’accès à des renseignements de nature délicate;
- la gestion de la sécurité et la gestion du changement en ce qui concerne les configurations approuvées, comme l’aménagement des nouveaux immeubles ou la conception des systèmes de TI; ces changements sont évalués pour estimer les menaces, les vulnérabilités et les risques afin que la haute direction puisse prendre des décisions éclairées quant à la prise en charge du risque résiduel;
- la séparation des tâches, qui fait en sorte qu’aucune personne ne peut exercer de façon exclusive un contrôle complet et indépendant sur une fonction de sécurité, un système de TI ou un processus opérationnel essentiel.
- Notre examen a également révélé que le document sur le cadre de contrôle de la sécurité du CANAFE prévoit une gestion continue des menaces et des risques pour protéger ses employés, ses renseignements et ses biens, un filtrage de sécurité rigoureux du personnel, l’établissement de zones de sécurité progressivement restrictives, des dispositifs électroniques de contrôle de l’accès, des cartes d’identité et une formation obligatoire de sensibilisation à la sécurité. Nous n’avons trouvé aucune indication de lacunes dans ces domaines.
- Nous avons également constaté que, dans le cadre de son régime de surveillance continue, le CANAFE a mis en place un programme d’évaluation et de gestion de la vulnérabilité (« PEGV »). Le programme évalue les environnements et l’infrastructure détenus ou utilisés par le CANAFE, y compris les logiciels et le matériel liés aux réseaux, aux serveurs, aux postes de travail et à l’infrastructure des applications. Nous n’avons trouvé aucune indication de lacunes dans le cadre du PEGV.
- De même, nous n’avons trouvé aucune indication de lacunes concernant les configurations de sécurité des réseaux du CANAFE. L’institution utilise le zonage réseau et dispose de réseaux distincts pour ses systèmes organisationnels, analytiques et classifiés. Nos discussions et notre examen des documents connexes ont révélé que les fonds de renseignements personnels du CANAFE qui se trouvent dans ses réseaux connectés à Internet sont protégés par la consolidation, la surveillance et la défense des passerelles Internet, la gestion rapide des correctifs, la réduction au minimum des privilèges d’administration, le renforcement de la sécurité des systèmes d’exploitation et des applications, ainsi que la segmentation et la séparation des fonds de renseignements.
Domaines dans lesquels des lacunes ont été constatées
Gestion de l’audit des systèmes d’information
- L’annexe B : Procédures obligatoires relatives aux mesures de sécurité de la technologie de l’information de la Directive sur la gestion de la sécurité du SCT prévoit des exigences pour les institutions en ce qui concerne la surveillance des menaces afin de veiller au maintien de mesures de sécurité appropriées. Cela comprend, plus précisément, le déploiement d’efforts en vue de « créer, protéger et conserver les journaux et les dossiers d’audit des systèmes d’information pour permettre la surveillance, l’analyse, l’examen et la mise en œuvre des mesures correctives et l’établissement de rapports sur celles-ci, au besoin, pour chaque système et conformément aux pratiques ministérielles »Note de bas de page 5.
- À partir des entrevues avec des représentants du CANAFE et des renseignements fournis par ceux-ci, l’équipe d’examen a constaté que les registres des activités de divers systèmes sont régulièrement inspectés pour déceler des signes d’accès, d’utilisation ou de communication inappropriés et qu’une solution centralisée de gestion des registres a renforcé cette capacité.
- En outre, SPC et le Centre canadien pour la cybersécurité surveillent le périmètre de réseau et la circulation sur les réseaux du CANAFE. Les rapports sur les anomalies au niveau du périmètre, qui pourraient indiquer une attaque de réseau, sont communiqués au personnel du CANAFE aux fins d’enquête et d’examen. Parmi les autres activités de surveillance figurent des alertes automatisées et une surveillance manuelle pour détecter les menaces ou les virus.
- Nous avons toutefois constaté que ces mesures visaient généralement la protection des biens contre les menaces externes et que la surveillance actuelle des utilisateurs autorisés ne protège pas adéquatement les renseignements personnels contre les menaces internes. À cet égard, la Directive sur la gestion de la sécurité du SCT exige la surveillance des menaces et des vulnérabilités en général, et non pas seulement la surveillance des menaces externes.
- Comme il est mentionné au paragraphe 23 ci-dessus, depuis 2017, lorsque nous avions soulevé cette question pour la première fois, le CANAFE a amorcé la centralisation de son système de registres et a fait progresser des plans de surveillance plus poussée, ce qui comprend l’acquisition récente d’un outil logiciel. Nous sommes toutefois préoccupés par le fait que, malgré la recommandation formulée en 2017 de veiller à ce que les registres des activités de tous les systèmes de TI fassent l’objet d’une surveillance régulière afin de déceler tout signe d’accès, d’utilisation ou de communication inappropriés, le CANAFE n’a pas encore pris de mesures adéquates à cet égard en ce qui concerne les utilisateurs internes.
Recommandation et réponse du CANAFE
- Nous avons donc recommandé que le CANAFE mette en œuvre, dans un délai de six mois, des mesures complètes pour s’assurer que les activités des utilisateurs puissent être l’objet d’audits faisant autorité, pour surveiller l’utilisation acceptable des systèmes d’information gouvernementaux, et pour réagir aux cas possibles d’utilisation inacceptable afin que les utilisateurs soient tenus responsables de leurs activités.
- Le CANAFE a indiqué qu’il « acceptait » cette recommandation. Il a toutefois poursuivi en disant qu’il ne s’engagerait pas à mettre en œuvre les mesures recommandées (mentionnées pour la première fois par le CPVP en 2017) dans un délai de six mois. Le CANAFE a mentionné qu’il a récemment amélioré son programme de traitement des menaces internes (sans fournir de détails) et qu’il va de l’avant avec une initiative visant à accroître sa capacité de détecter les activités internes inappropriées ou malveillantes et d’y réagir. La technologie pour cette initiative a été sélectionnée et acquise, et sa mise en œuvre est prévue pour l’été 2022. Il a souligné que les échéanciers doivent tenir compte du fait que le CANAFE est un organisme de taille modeste et que la mise en œuvre de nouvelles initiatives prend du temps.
- Compte tenu du nombre d’années qui se sont écoulées depuis que le CANAFE a accepté cette recommandation pour la première fois et du temps qu’il a déjà consacré à la phase de planification de ces améliorations, nous sommes préoccupés par le manque de clarté de l’échéancier et le degré de priorité que le CANAFE accorde à cette lacune.
Gestion de la continuité des activités – Protection des renseignements personnels
- Les fonds de renseignements personnels constituent un actif essentiel à l’exécution des activités opérationnelles du CANAFE. Il faut assurer la protection continue des biens ministériels en cas de perturbation des activités. De plus, le fait de veiller à ce que les renseignements personnels ne soient pas communiqués sans autorisation est une obligation légale au titre de la Loi sur la protection des renseignements personnels.
- La protection des renseignements personnels des Canadiens que détiennent les institutions fédérales est donc essentielle au fonctionnement sécuritaire d’un gouvernement efficace. La gestion de la continuité des activités dans le secteur public fédéral vise à soutenir la disponibilité continue des services et des biens connexes essentiels à la sécurité des Canadiens ou au fonctionnement efficace du gouvernementNote de bas de page 6.
- Dans le cadre du présent examen, nous nous sommes donc penchés sur le plan de continuité des activités (« PCA ») du CANAFE. Nous avons constaté que le plan consistait principalement en des procédures d’évacuation des employés. Le PCA ne comportait pas de mesures visant à assurer la protection continue des fonds de renseignements personnels.
Recommandation et réponse du CANAFE
- Nous avons donc recommandé que le CANAFE mette à jour son PCA dans un délai de six mois afin d’y inclure des mesures visant à protéger ses fonds de renseignements personnels. Le CANAFE a accepté cette recommandation et a indiqué qu’il a déjà pris des mesures pour mettre à jour son modèle de PCA en fonction des exigences de la Directive sur la gestion de la sécurité du SCT. L’unité de planification de la continuité des activités collaborera avec tous les secteurs pour faire en sorte que les fonds de renseignements personnels décrits dans le plan de reprise après sinistre du CANAFE soient intégrés à leur PCA dans les six mois.
Conclusion
- Comme nous l’avons mentionné plus haut, notre examen a révélé deux lacunes en matière de protection, dont l’une n’a pas été corrigée de façon adéquate même si le CPVP l’avait relevée en 2017, ce qui constitue pour nous une question préoccupante. De même, nous avons fait état de préoccupations persistantes concernant des recommandations formulées en 2017 relativement à la collecte et à la conservation qui n’ont pas été mises en œuvre adéquatement.
- Nous nous inquiétons du fait que le CANAFE n’ait pas entièrement mis en œuvre les recommandations que le CPVP a formulées dans son rapport de 2017. À cela s’ajoute la réticence du CANAFE à s’engager à mettre en œuvre ces recommandations ou à donner suite en temps opportun à notre recommandation sur les mesures de surveillance. Nous estimons que le CANAFE devrait revoir sa position.
Annexe A – Autorisation d’exploitation temporaire pour les SGTSF (date d’expiration : décembre 2020)
Autorisation temporaire concernant les
Services gérés de transfert sécurisé de fichiers de
Services partagés Canada (SPC)
En tant que responsable de l’autorisation (RA), j’accepte par les présentes l’évaluation de sécurité des Services gérés de transfert sécurisé de fichiers (SGTSF) de SPC selon laquelle le niveau de risque est élevé, le niveau cible de risque résiduel acceptable étant faible. J’accorde une autorisation d’exploitation temporaire (AET), dont la date d’expiration est le 31 décembre 2020, pour le traitement d’informations comprenant des renseignements sur la prestation des services ayant une catégorie de sécurité allant jusqu’à PROTÉGÉ B, intégrité moyenne et disponibilité moyenne, à compter de la date de l’approbation par le responsable de l’autorisation, sous réserve des conditions suivantes :
- Produire une documentation complète sur les systèmes et la sécurité, y compris des livrets de conception, des spécifications de conception détaillées, un plan de sécurité des systèmes et un plan de continuité des activités, ayant trait au déploiement et au maintien de l’infrastructure des SGTSF.
- Former une ressource technique secondaire possédant les compétences nécessaires pour aider ou remplacer la ressource technique principale.
- Mettre à profit les pratiques de gestion du changement de SPC (y compris un plan de gestion de la configuration) conformément aux politiques et procédures de SPC, selon lesquelles les configurations de base sont consignées et tous les changements, notamment les mises à jour logicielles et en matière de sécurité, sont consignés et approuvés par une équipe.
- Mettre en œuvre une stratégie et un programme de surveillance continue de la sécurité selon lesquels la sécurité des systèmes et les journaux d’audit sont surveillés et examinés de façon permanente.
- Mettre en œuvre un programme de gestion des vulnérabilités selon lequel des évaluations des vulnérabilités sont effectuées et s’accompagnent de l’application de correctifs de sécurité et de la prise de mesures d’atténuation en temps opportun.
- Mettre à profit les pratiques d’examen des audits opérationnels de SPC qui comprennent des analyses et des examens réguliers des audits des défaillances en matière de traitement, des défaillances logicielles et matérielles et des documents de gestion de la capacité. Établir un mécanisme d’envoi d’alertes en temps réel au personnel précisé, ainsi qu’à un environnement distinct pour l’entreposage des documents d’audit accessibles uniquement aux utilisateurs privilégiés.
- Intégrer ce service au processus d’autorisation de service de SPC pour garantir qu’il figure dans le répertoire de services de SPC et qu’il est régi de manière appropriée tout au long de son cycle de vie.
Le service doit faire rapport sur les progrès réalisés vers la satisfaction de ces conditions à l’autorité évaluatrice au moyen d’activités précisées dans un plan d’action et de jalons (PAJ) détaillé. Ces renseignements seront consignés dans le tableau de bord d’autorisation d’exploitation de SPC.
Toute application d’un partenaire utilisée pour traiter des renseignements doit être protégée par des mesures de sécurité correspondant au niveau de catégorisation approprié, conformément à l’évaluation et à la mise en œuvre effectuées par le partenaire en consultation avec SPC, avant d’être transmise aux services d’infrastructure de SPC ou entreposée par ceux-ci.
Tout au long de la période visée par l’AET, le service doit également respecter les conditions générales suivantes :
- Procéder à des analyses périodiques des vulnérabilités.
- Demander une nouvelle autorisation concernant le service :
- pour chaque nouvelle version du service ou chaque changement apporté au service pouvant faire en sorte que le service dépasse le niveau actuel de risque acceptable;
- si l’on obtient de nouvelles données probantes pouvant invalider le calcul du risque actuel;
- à la demande des autorités responsables des évaluations, des autorisations et des audits de conformité.
Le non-respect des conditions énoncées dans la présente AET peut mener à la prise de mesures par l’autorisateur, celles-ci pouvant aller jusqu’à la désactivation du service. L’autorisateur est l’arbitre ultime quant au sens des conditions énoncées dans la présente AET.
(Document original a été signé par)
Greg McKay
Responsable de l’autorisation
Sous-ministre adjoint principal
Services partagés Canada
2020-06-04
Date
(Document original a été signé par)
Rajagopalan Thuppal
Sous-ministre adjoint principal
Réseaux, sécurité et services numériques
Services partagés Canada
2020-04-24
Date
(Document original a été signé par)
Dinesh Mohan
Sous-ministre adjoint principal par intérim
Direction générale du dirigeant principal de la technologie
Services partagés Canada
2020-04-14
Date
Annexe B – Autorisation d’exploitation temporaire pour les SGTSF (date d’expiration : mars 2022)
Autorisation temporaire concernant les
Services gérés de transfert sécurisé de fichiers de
Services partagés Canada (SPC)
En tant que responsable de l’autorisation (RA), j’accepte par les présentes l’évaluation de sécurité des Services gérés de transfert sécurisé de fichiers (SGTSF) de SPC selon laquelle le niveau de risque est moyen, le niveau cible de risque résiduel acceptable étant faible. J’accorde une autorisation d’exploitation temporaire (AET), dont la date d’expiration est le 31 mars 2022, pour le traitement d’informations comprenant des renseignements sur la prestation des services ayant une catégorie de sécurité allant jusqu’à PROTÉGÉ B, intégrité moyenne et disponibilité moyenne, à compter de la date de l’approbation, sous réserve des conditions suivantes :
- Le responsable du service de SPC doit procéder à une analyse des répercussions sur les activités (ARA) afin d’établir définitivement la criticité du système ou du service pour les clients et les intervenants des SGTSF.
- Le responsable du service de SPC devra se conformer à la norme de sécurité pour la gestion des correctifs de SPC et collaborer avec le responsable du service d’analyse des vulnérabilités pour instaurer des analyses d’évaluation des vulnérabilités prévues à intervalles réguliers.
- Le responsable du service de SPC doit intégrer ce service au processus d’autorisation de service de SPC pour s’assurer qu’il figure dans le répertoire de services de SPC et qu’il est régi de manière appropriée tout au long de son cycle de vie.
Le service doit faire rapport sur les progrès réalisés vers la satisfaction de ces conditions à l’autorité évaluatrice au moyen d’activités précisées dans le plan d’action et de jalons (PAJ). Ces renseignements seront consignés dans le tableau de bord d’autorisation d’exploitation de SPC.
Toute information d’un partenaire doit être protégée par des mesures de sécurité correspondant au niveau approprié, conformément à l’évaluation et à la mise en œuvre effectuées par le partenaire en consultation avec SPC, avant d’être transmise, traitée ou entreposée.
Tout au long de la période visée par l’autorisation, le service doit également respecter les conditions générales suivantes :
- Demander une nouvelle autorisation ou une autorisation mise à jour concernant le service :
- pour chaque nouvelle version du service ou chaque changement apporté au service pouvant faire en sorte que le service dépasse le niveau actuel de risque acceptable;
- si l’on obtient de nouvelles données probantes pouvant invalider le calcul du risque actuel;
- à la demande des autorités responsables des évaluations, des autorisations ou des audits de conformité.
Le non-respect des conditions énoncées dans la présente AET peut mener à la prise de mesures par l’autorisateur, celles-ci pouvant aller jusqu’à la désactivation du service. L’autorisateur est l’arbitre ultime quant au sens des conditions énoncées dans la présente AET.
(Document original a été signé par)
Greg McKay
Responsable de l’autorisation
Sous-ministre adjoint principal
Services partagés Canada
2021-06-25
Date
(Document original a été signé par)
Jacquie Manchevsky
Sous-ministre adjointe
Services des centres de données
Services partagés Canada
2021-06-14
Date
(Document original a été signé par)
Matt Davies
Dirigeant principal adjoint de la technologie
Sous-ministre adjoint principal
Services partagés Canada
2021-06-14
Date
- Date de modification :