Rapport annuel au Parlement 2022-2023 concernant la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques
Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
© Sa Majesté le Roi du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2023
Numéro de catalogue : IP51-1F-PDF
ISSN : 1913-3375
Lettre à la présidente du Sénat
Le 19 septembre 2023
L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Madame la Présidente,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2022 au 31 mars 2023. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.
Le Commissaire,
Lettre au président de la Chambre des communes
Le 19 septembre 2023
L’honorable Anthony Rota, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario) K1A 0A6
Monsieur le Président,
J'ai l'honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2022 au 31 mars 2023. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.
Le Commissaire,
Message du Commissaire
Je suis heureux de présenter au Parlement le rapport annuel 2022‑2023 du Commissariat à la protection de la vie privée du Canada, qui fait état des activités de notre organisme.
Le présent rapport souligne le travail important qu’accomplit le Commissariat pour protéger et promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens. Il traite à la fois de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels adoptées par les ministères et organismes gouvernementaux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui est la loi fédérale en la matière dans le secteur privé au Canada.
Au cours de la première année de mon mandat en tant que Commissaire à la protection de la vie privée du Canada, j’ai fait connaître ma vision pour la protection de la vie privée. Cette vision repose sur 3 grands piliers :
- D’abord, la protection de la vie privée est un droit fondamental et doit donc être traitée comme une priorité. Cela signifie aussi que dans les cas évidents de conflit entre le droit à la vie privée et les intérêts publics ou privés, la protection de la vie privée devrait prévaloir.
- Ensuite, la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada. Il ne s’agit pas d’un jeu à somme nulle entre le droit à la vie privée et les intérêts publics et privés : nous pouvons concilier les deux. Les Canadiennes et les Canadiens ne méritent rien de moins.
- Enfin, la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques. En plus de susciter la confiance et l’engagement envers nos institutions publiques, ce qui est bon pour l’intérêt public, le fait de créer une culture de protection de la vie privée et d’être perçu comme tel maintient la confiance des clients et leur loyauté, ce qui est bon pour l’innovation et la réussite économique.
C’est sous cet angle que j’examine les questions de vie privée et que le Commissariat aborde les possibilités et les défis de notre époque face au développement technologique sans précédent que nous connaissons, et qu’il y réagit. Cette vision a aussi permis de définir les priorités stratégiques du Commissariat, c’est-à-dire :
- suivre la rapide évolution des progrès technologiques, et conserver une longueur d’avance sur ce plan, pour cerner les répercussions sur la vie privée, particulièrement en ce qui concerne l’intelligence artificielle (IA) et l’IA générative;
- protéger la vie privée des enfants de sorte qu’ils puissent bénéficier de la technologie et être actifs en ligne, mais qu’ils le fassent en toute sécurité et sans crainte d’être ciblés ou manipulés, ou encore de subir un préjudice;
- se préparer à une éventuelle réforme législative si le Parlement adopte le projet de loi C‑27, la Loi sur la mise en œuvre de la Charte du numérique.
Pour mettre en œuvre et concrétiser cette vision, le Commissariat demeure résolu à déployer des efforts sans relâche sur plusieurs fronts : défense des intérêts, application de la loi, protection, promotion et sensibilisation. Nous continuerons aussi de collaborer avec les parties prenantes et les défenseurs du droit à la vie privée de partout au Canada qui représentent le gouvernement, les entreprises, la société civile, les consommateurs, le milieu universitaire et les groupes méritant l’équité, ainsi qu’avec nos homologues au pays et ailleurs dans le monde.
La protection de la vie privée touche tous les aspects de notre vie et de notre monde. Les droits des enfants, la concurrence, la radiodiffusion, la cybersécurité, les droits démocratiques, le commerce international, la sécurité nationale, le droit à l’égalité, la santé publique, les pratiques éthiques des entreprises et la primauté du droit – tous ces éléments ont des répercussions considérables sur la vie privée.
Le droit de protéger nos renseignements personnels est aussi un élément essentiel de notre dignité individuelle et de notre capacité à profiter d’un grand nombre d’autres libertés et droits fondamentaux. Pouvoir décider s’il y a lieu de communiquer des renseignements, dans quelles circonstances et de quelle manière constitue un droit essentiel – à plus forte raison dans le monde de plus en plus numérique qui est le nôtre aujourd’hui.
Nous savons que les Canadiennes et les Canadiens se soucient plus que jamais de la protection de leur vie privée et qu’ils sont préoccupés par les effets que la technologie peut avoir à cet égard. Selon notre dernier sondage, 93 % d’entre eux se disent préoccupés dans une certaine mesure par la protection de leur vie privée et plus de la moitié estiment ne pas en savoir assez pour connaître l’incidence que les nouvelles technologies pourraient avoir sur leur vie privée.
Par ailleurs, seulement 4 Canadiennes et Canadiens sur 10 estiment que les entreprises respectent généralement leur droit à la vie privée. Notre sondage indique que les entreprises de médias sociaux, les grandes entreprises de technologie, les détaillants et le secteur des télécommunications comptent parmi les secteurs qui préoccupent le plus la population canadienne. D’ailleurs, ces secteurs ont fait l’objet de plus du quart des plaintes que nous avons reçues l’an dernier.
C’est pourquoi le travail que fait le Commissariat pour promouvoir et protéger le droit à la vie privée est si important. Les résultats du sondage nous révèlent que les Canadiennes et les Canadiens veulent et doivent avoir la certitude que leur droit à la vie privée est protégé afin de pouvoir participer librement à l’économie numérique en toute confiance. Ils montrent également que le Commissariat a un rôle important à jouer à cet égard, car nous savons que les organisations elles-mêmes doivent s’adapter à l’ampleur et au rythme des changements technologiques. Nous pouvons les aider à exercer leurs activités et à innover tout en protégeant la vie privée, ce qui suscitera par le fait même la confiance de leurs clients.
En 2022-2023, comme vous le constaterez dans les pages qui suivent, le Commissariat a mené des enquêtes importantes, effectué des travaux novateurs d’élaboration de politiques, offert des services-conseils et des orientations aux organisations des secteurs public et privé, et joué un rôle de chef de file dans des réseaux nationaux et internationaux de protection de la vie privée. En plus de consulter des parties prenantes clés au pays et à l’étranger et de collaborer avec elles, le Commissariat a formulé des avis et des recommandations au Parlement concernant la réforme législative et des enjeux de vie privée qui revêtent un intérêt et une importance considérables pour le public.
Le travail accompli par le Commissariat donne des résultats concrets qui ont une incidence appréciable pour les Canadiennes et les Canadiens et pour la protection de la vie privée au pays. Je suis vraiment reconnaissant de travailler avec une équipe aussi remarquable à l’exécution de ce mandat important.
Je me réjouis à la perspective de poursuivre nos efforts pour mieux faire connaître le droit fondamental à la vie privée au Canada et dans le monde, pour veiller à ce que les institutions fédérales et les entreprises respectent et privilégient le droit à la vie privée, et pour faire du Canada un chef de file mondial dans ce domaine.
Le Commissaire à la protection de la vie privée du Canada,
[signature]
Philippe Dufresne
Chronologie
Avril2022
Le Commissariat publie à l’intention des institutions fédérales un document d’orientation sur les communications de renseignements personnels en vertu de l’alinéa 8(2)m) de la Loi sur la protection des renseignements personnels (LPRP).
Mai2022
Une nouvelle orientation en matière de conformité vise à définir clairement ce qui constitue des renseignements personnels sensibles et la manière dont ces renseignements devraient être protégés.
Juin2022
Une enquête conjointe révèle que l’application de Tim Hortons a enfreint les lois sur la protection des renseignements personnels en recueillant de « grandes quantités » de données de géolocalisation de nature sensible.
Juin2022
Peu après sa nomination, M. Dufresne dévoile les 3 piliers de sa vision pour la protection de la vie privée : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada; la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques.
Juin2022
Un document d’orientation vise à permettre aux entreprises et aux particuliers de se protéger contre les cyberattaques qui exploitent la réutilisation de mots de passe.
Juillet2022
Les ressortissants étrangers qui se trouvent à l’extérieur du Canada pourront dorénavant, en vertu de la LPRP, accéder aux renseignements personnels dont les institutions fédérales disposent à leur sujet.
Juillet2022
Près de 2 mois après sa comparution devant un comité sénatorial au sujet du projet de loi S‑7, le Commissariat présente un mémoire qui souligne un certain nombre d’exigences en matière de procédure et de responsabilité qui, selon son analyse, sont toujours absentes du projet de loi et qui devraient être incluses dans le cadre législatif.
Août2022
Le Commissaire Dufresne a expliqué la collaboration entre le Commissariat et la Gendarmerie royale du Canada (GRC) concernant l’utilisation d’outils pour obtenir secrètement des données ainsi que les obligations de la GRC au titre de la LPRP, qui s’applique au secteur public fédéral au Canada. Trois mois plus tard, le Commissaire fait une déclaration en réponse au rapport final du comité.
Août2022
Par rapport au dernier sondage, celui de cette année révèle une baisse du nombre d’entreprises qui avaient nommé une personne responsable des questions liées à la protection de la vie privée, élaboré des politiques internes à l’intention du personnel qui expliquent les obligations en ce sens et mis en place des procédures pour répondre aux demandes des clients concernant l’accès à leurs renseignements personnels.
Septembre2022
Le Commissariat présente un document de discussion sur la dépersonnalisation des données, une technique qui consiste à supprimer les renseignements personnels d’un ensemble de données afin que les individus soient moins facilement identifiables.
Septembre2022
Les autorités demandent à leurs gouvernements respectifs d’éliminer progressivement l’utilisation du télécopieur traditionnel et du courrier électronique non chiffré et de veiller à ce que le droit à la vie privée et le principe de transparence soient pleinement respectés tout au long de la conception, de l’exploitation et de l’évolution d’un écosystème d’identité numérique.
Octobre2022
Ce billet se penche sur cette technologie d’amélioration de la confidentialité qui remonte aux années 1980, mais qui a joué un rôle important dans les avancées récentes en intelligence artificielle et en apprentissage automatique.
Octobre2022
Le Commissariat remporte un prix pour un outil qu’il a conçu afin d’offrir aux organisations une solution automatisée permettant d’évaluer si une atteinte à la vie privée présente un risque réel de préjudice grave (RRPG) pour les personnes concernées.
Novembre2022
Les astuces visent à permettre aux utilisateurs de prévenir la diffusion des images captées par ces caméras (moniteurs pour bébé et systèmes de sécurité résidentiels).
Decembre2022
Le Commissaire Dufresne anime une table ronde sur les expériences et les contributions des autorités de réglementation en matière de protection et de promotion de la vie privée durant la pandémie.
Janvier2023
L’enquête révèle que l’entreprise n’a pas obtenu le consentement des clients avant de transmettre à Meta des reçus électroniques renfermant leurs renseignements personnels.
Février2023
Les autorités de protection des renseignements personnels du Canada, du Québec, de la Colombie-Britannique et de l’Alberta annoncent qu’elles établiront si les pratiques de TikTok sont conformes aux lois canadiennes sur la protection des renseignements personnels et, plus précisément, si un consentement valable a été obtenu pour la collecte, l’utilisation et la communication des renseignements personnels de ses jeunes utilisateurs.
La LPRP : rétrospective de l’exercice
La pandémie de COVID-19 est demeurée un élément marquant des travaux du Commissariat en 2022‑2023. Sous le régime de la Loi sur la protection des renseignements personnels (LPRP), le Commissariat a mené à terme une série d’enquêtes à cet égard et poursuivi ses consultations sur divers programmes fédéraux en lien avec la pandémie. Au printemps 2023, il a déposé un rapport spécial au Parlement qui résume en grande partie ces travaux, présentant notamment les résultats de ses enquêtes sur la vaccination obligatoire et l’application ArriveCAN.
Les organismes gouvernementaux continuent d’avoir recours aux technologies et aux outils numériques mis en place avant la pandémie ainsi qu’aux mesures de lutte contre la pandémie, afin de répondre à des besoins courants et post-pandémiques. Cette année, le Commissariat a notamment mené des enquêtes et participé à des discussions avec le gouvernement concernant l'incidence sur la sécurité et la protection de la vie privée dans les domaines suivants : utilisation d’outils numériques, intégration d’initiatives biométriques dans les programmes d’immigration et identification des voyageurs à la frontière.
Le Commissariat a également continué de mener des enquêtes et de se pencher sur des enjeux de protection de la vie privée qui ont des répercussions importantes sur les Canadiennes et les Canadiens, comme le traitement des renseignements personnels dans des dossiers précis liés à l’emploi et le droit d’accès des individus aux renseignements personnels que le gouvernement détient à leur sujet. Notre rapport fait état des points à retenir de certaines de ces enquêtes.
Dans la plupart des cas où le Commissariat avait constaté des problèmes ou des infractions à la Loi, les institutions fédérales se sont engagées à régler la question. Toutefois, dans certains dossiers importants présentés ci‑après, des institutions fédérales ont refusé de prendre cet engagement.
Le Commissariat a aussi examiné ses propres processus de traitement des plaintes et a trouvé des moyens de les rendre plus efficaces et plus rapides.
En 2023, ce sera le 40e anniversaire de la Loi sur la protection des renseignements personnels. Le gouvernement a exprimé son intention de moderniser cette loi, qui était avant-gardiste au moment de son adoption en 1983. Depuis, elle n’a fait l’objet d’aucune révision majeure. Le Commissariat compte mettre son expertise au service du projet visant à élaborer une loi qui sera adaptée à la réalité numérique actuelle.
La section ci‑après présente les principales initiatives menées en 2022-2023 sous le régime de la LPRP.
La protection de la vie privée en chiffres
Loi sur la protection des renseignements personnels
Plaintes acceptées |
1 241 |
Plaintes fondées |
434 |
Plaintes fermées par règlement rapide |
469 |
Plaintes fermées à l’issue d’une enquête officielle |
530 |
Rapports d’atteintes à la sécurité des données reçus |
298 |
Nouvelles activités de liaison des services-conseils avec le secteur public |
73 |
Évaluations des facteurs relatifs à la vie privée (EFVP) reçues |
110 |
Avis donnés à des organisations du secteur public à la suite de l’examen d’une EFVP ou d’une consultation à cet égard |
74 |
Communications de renseignements dans l’intérêt public par les institutions fédérales |
761 |
Prestation de services‑conseils au gouvernement
Des membres de la Direction des services-conseils au gouvernement du Commissariat à APEX 2023.
Initiatives liées à la pandémie
Tout au long de la pandémie, le Commissariat a régulièrement fourni des services‑conseils à des institutions fédérales concernant des activités et des programmes relatifs à la COVID‑19. Par exemple, notre Direction des services‑conseils au gouvernement a travaillé auprès d’Immigration, Réfugiés et Citoyenneté Canada (IRCC), de l’Agence des services frontaliers du Canada (ASFC), de Santé Canada, de l’Agence de santé publique du Canada (ASPC) ainsi que d’Emploi et Développement social Canada (EDSC) relativement aux mesures sanitaires aux frontières – p. ex. gestion des cas de quarantaine, tests de dépistage aux frontières, suivi de l’état d’esprit à l’égard de la vaccination, suivi et traçage des cas de COVID‑19, et gestion des données issues des programmes de prestation d’aide et de relance économique liés à la pandémie.
Dans certains dossiers, nous nous sommes penchés sur le recours à des technologies et à des processus qui avaient été mis au point à l’origine en réponse à la pandémie et qui servent maintenant à la gestion continue des frontières et de l’immigration.
Le Commissariat a aussi fourni des services‑conseils au Secrétariat du Conseil du Trésor du Canada (SCT) concernant de nouvelles politiques pangouvernementales relatives à la pandémie, ainsi qu’à plusieurs institutions sur la façon dont elles mettaient en application les politiques de vaccination obligatoire, d’attestation et de vérification de la conformité. Par la suite, nous avons fourni au gouvernement des services‑conseils concernant la politique de retour au travail et le modèle de travail hybride. Nos recommandations soulignaient la nécessité de prendre en compte la protection de la vie privée dans l’élaboration des processus pour surveiller la présence sur le lieu de travail.
Par ailleurs, nous avons veillé à ce que les institutions soient autorisées par la loi pour recueillir, utiliser et communiquer des renseignements personnels dans le cadre des activités liées à la COVID‑19. Nous avons aussi souligné l’importance de la transparence pour le public. Par exemple, le Commissariat a recommandé que les institutions décrivent clairement dans leurs évaluations des facteurs relatifs à la vie privée (EFVP) toutes les utilisations nouvelles, de suivi ou continues de renseignements personnels qui ont été recueillis pour répondre aux besoins dans le contexte de la pandémie. Il a également fait remarquer que la collecte de renseignements personnels doit être nécessaire, proportionnelle et limitée dans le temps. Enfin, le Commissariat a recommandé que les renseignements personnels recueillis expressément pour le contrôle des cas de COVID‑19 et la vaccination obligatoire soient supprimés lorsqu’ils ne seront plus nécessaires.
Biométrie et reconnaissance faciale
Le Commissariat a continué d’offrir des services‑conseils à l’ASFC à propos de son plan pluriannuel visant à mettre en place des technologies et des outils numériques nouveaux pour la gestion des frontières et l’identification des voyageurs.
Par exemple, il a travaillé auprès de l’ASFC concernant de nouvelles initiatives axées sur la biométrie, notamment des projets pilotes qui font appel à la reconnaissance faciale et à des identifiants numériques pour vérifier l’identité des voyageurs aux portes d’embarquement, en collaboration avec des transporteurs aériens du secteur privé. Le Commissariat a aussi fourni des services‑conseils à Transports Canada, en sa qualité d’autorité réglementaire, dans l’élaboration d’un cadre de protection de la vie privée visant à régir le recours par les transporteurs aériens à des identifiants numériques pour identifier les voyageurs à l’embarquement.
Dans la même optique, le Commissariat a offert des services‑conseils à IRCC concernant le recours accru à des outils numériques et analytiques dans le cadre de programmes portant sur l’immigration et les passeports. Il a notamment conseillé ce ministère au sujet d’un projet pilote de présentation de demandes de passeport en ligne qui simplifierait le renouvellement dans le cas des clients pour lesquels IRCC possède déjà dans sa base de données une photo vérifiable pouvant être utilisée avec la technologie de reconnaissance faciale. Enfin, le Commissariat examine actuellement une EFVP que lui a présentée IRCC concernant l’adoption de mesures pour mener des entrevues virtuelles au cours du processus de demande d’immigration.
Renouvellement de la stratégie du Secrétariat du Conseil du Trésor en matière de données
Le Commissariat continue de fournir des services‑conseils au Bureau de la dirigeante principale de l’information du SCT à propos d’une stratégie relative aux données, qui est en évolution, alors que le gouvernement poursuit la mise en œuvre de son plan pour favoriser et élargir les services axés sur les données dans l’ensemble des ministères et organismes. Il a souligné que les efforts pour simplifier les services et en accroître l’efficacité ne doivent pas se faire au détriment de la protection de la vie privée.
Le Commissariat compte maintenir le dialogue avec le SCT pour aborder des questions importantes comme la dépersonnalisation, l’agrégation de données, les données pour l’équité, la souveraineté des données autochtones et le traitement automatique des données.
Technologies de surveillance
Le Commissariat s’est longuement entretenu avec la Gendarmerie royale du Canada (GRC) concernant le recours à des techniques et à des technologies de surveillance nouvelles et émergentes. À la suite de reportages dans les médias, nous avons communiqué avec la GRC pour obtenir de l’information sur son utilisation des outils d’enquête sur appareil. Malgré les obligations en ce sens qui lui incombent en vertu de la Directive sur l’évaluation des facteurs relatifs à la vie privée, publiée par le SCT, et la Politique sur la protection de la vie privée, la GRC ne nous avait présenté aucune EFVP et ne nous avait pas avisés de ce programme. Lors de sa comparution devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, le Commissaire Dufresne a recommandé que ces exigences – actuellement formulées uniquement dans des politiques gouvernementales – soient codifiées dans la LPRP au moyen de dispositions législatives claires ayant force exécutoire. Au moment de la rédaction du présent rapport, la GRC nous a annoncé qu’elle préparait une EFVP. Nous lui avons répondu que nous nous attendons à ce qu’elle mène à terme cette évaluation sans tarder.
Enfin, nous avons formulé à la GRC des observations concernant la consultation, la conservation et la protection des renseignements personnels dans le système de gestion des images captées par les caméras d’intervention.
Séances d’information axées sur le renforcement des capacités au sein des institutions fédérales
Le Commissariat a tenu à l’intention des fonctionnaires fédéraux plusieurs séances d’information et de renforcement des capacités, dont une qui portait sur la protection de la vie privée comme fondement même de la confiance à l’égard des services gouvernementaux, à laquelle ont assisté plus de 450 participants issus de plusieurs ministères et organismes. Par ailleurs, plus de 400 fonctionnaires ont participé à notre séance sur l’utilisation de l’intelligence artificielle et de la biométrie et plus de 350 à celle portant sur l’élaboration des EFVP.
Mesures de conformité en application de la LPRP
Introduction
En 2022-2023, le Commissariat a mené à terme une série d’enquêtes en lien avec la pandémie de COVID‑19, qui ont été décrites dans un rapport spécial au Parlement déposé au printemps 2023.
La tendance à la hausse du nombre de plaintes que nous acceptons sous le régime de la LPRP se poursuit : en 2022-2023, nous en avons accepté 1 241, ce qui représente une augmentation de 37 % par rapport aux 906 plaintes acceptées en 2021‑2022.
La GRC (262), le Service correctionnel du Canada (199) et IRCC (131) sont les institutions fédérales visées par le plus grand nombre de plaintes, suivies par l’Agence du revenu du Canada (79), l’ASFC (78) et le ministère de la Défense nationale (74).
Les 10 institutions visées par le plus grand nombre de plaintes acceptées
Institution intimée |
Nombre |
Gendarmerie royale du Canada |
262 |
Service correctionnel du Canada |
199 |
Immigration, Réfugiés et Citoyenneté Canada |
131 |
Agence du revenu du Canada |
79 |
Agence des services frontaliers du Canada |
78 |
Ministère de la Défense nationale |
74 |
Emploi et Développement social Canada |
54 |
Services publics et Approvisionnement Canada |
36 |
Affaires mondiales Canada |
26 |
Société canadienne des postes |
23 |
Total |
962 |
Par ailleurs, le Commissariat a reçu 298 déclarations d’atteinte à la vie privée se rapportant surtout à la perte (44 %) ou à la communication non autorisée (33 %) de renseignements personnels.
Le Décret d’extension no 3 de la Loi sur la protection des renseignements personnels est entré en vigueur en juillet 2022. Il autorise les ressortissants étrangers qui se trouvent à l’extérieur du Canada à demander l’accès aux renseignements personnels dont les institutions fédérales disposent à leur sujet en vertu de la LPRP. Ces personnes peuvent prendre des mesures pour faire corriger toute inexactitude dans ces renseignements, de même que déposer une plainte auprès du Commissariat si une institution fédérale ne donne pas suite à leur demande.
Jusqu’à présent, le Commissariat n’a reçu qu’un petit nombre de plaintes à la suite de l’entrée en vigueur du Décret d’extension. Nous continuons de surveiller la situation. À mesure qu'augmentera le nombre de demandes traitées par les institutions conformément à ce décret, il se peut que certaines d'entre elles donnent lieu à des plaintes.
Comme l’arriéré de plaintes non attribuées n’a cessé de s’accroître, le Commissariat a procédé cette année à un examen diagnostique de ses processus pour cerner les points à améliorer. (Voir l’encadré.)
Un examen diagnostique permet de se pencher sur l’arriéré de plaintes déposées en vertu de la LPRP et de la LPRPDE
Le dépôt d’une plainte constitue un recours extrêmement important dont disposent les Canadiennes et les Canadiens pour exercer leur droit à la vie privée. En 2022-2023, le Commissariat a lancé une initiative pour régler plus rapidement les plaintes dont il est saisi.
Un examen diagnostique nous a permis de trouver de nouvelles façons d’affecter les ressources, d’adapter nos processus de traitement des plaintes et de gestion des risques et d’améliorer l’efficacité de nos activités. Le but était de résorber l’arriéré de plaintes déposées sous le régime de la LPRP et de la LPRPDE.
Depuis quelques années, la complexité accrue de la technologie et les préoccupations croissantes des Canadiennes et des Canadiens concernant leur droit à la vie privée ont eu une incidence sur notre capacité à traiter rapidement les plaintes. Cette situation a entraîné un arriéré dans le traitement des dossiers. Grâce à une augmentation temporaire du budget, nous avons pu réduire notre arriéré d’enquêtes de 91 % entre 2019 et 2021. Toutefois, un nouvel arriéré s’est accumulé au terme de ce financement. Ce nouvel arriéré est en grande partie dû aux défis posés par le traitement du volume de plaintes reçues devant être attribuées, ce qui se répercute sur le délai de traitement des enquêtes en général.
Un certain nombre de stratégies visant à favoriser des gains d’efficacité ont été élaborées à la suite de cet examen : rajuster la répartition des ressources; avoir davantage recours aux autorisations et aux pouvoirs officiels; adapter la délégation des pouvoirs en vue d’accélérer le traitement des plaintes, et étudier des façons d’automatiser les processus afin d’aider le personnel à travailler plus efficacement.
Le Commissariat a déjà commencé à mettre en œuvre ces mesures, ce qui lui a permis d’éliminer l’arriéré de dossiers à attribuer avant la fin de l’exercice.
Enquêtes portant sur des plaintes pour non-respect des délais d’accès
Les institutions fédérales sont tenues de donner accès sur demande aux renseignements personnels qu’elles détiennent au sujet d’un individu lorsque celui‑ci en fait la demande. Le Commissariat peut être appelé à faire enquête si une institution ne respecte pas cette obligation.
Le Commissariat a pu réduire de manière importante les délais de traitement relatifs aux enquêtes au moyen de l’approche de « présomption de refus » : si une institution fédérale ne permet pas à un plaignant d’avoir accès dans un certain délai aux documents qui le concernent, selon le paragraphe 16(3) de la LPRP, le défaut de communication des renseignements personnels demandés vaut une décision de refus de communication. Cette approche a eu comme effet positif d’inciter les institutions à répondre aux demandes d’accès dans un délai plus raisonnable et, lorsqu’elles ne le font pas, confère aux plaignants le droit de porter l’affaire devant la Cour fédérale après une enquête du Commissariat.
Durée de traitement dans les enquêtes relatives aux délais
Exercice |
Délai de traitement moyen, en mois |
2022-2023 |
2,10 |
2021-2022 |
2,91 |
2020-2021 |
5,04 |
2019-2020 |
7,50 |
2018-2019 |
6,98 |
Règlement rapide
Dans les dossiers peu complexes et non systémiques, le Commissariat a recours au règlement rapide. Cette méthode d’enquête, qui repose sur la négociation ou l’arbitrage, permet de régler les dossiers efficacement et d’obtenir le résultat optimal pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête officiel.
Pourcentage des plaintes fermées par règlement rapide
Exercice |
Pourcentage |
2022-2023 |
47 % |
2021-2022 |
40 % |
2020-2021 |
52 % |
2019-2020 |
25 % |
2018-2019 |
32 % |
Assurer la protection de la vie privée dans le cadre des partenariats public-privé
Les organismes gouvernementaux se tournent de plus en plus vers le secteur privé afin d’établir des partenariats et de trouver des outils novateurs qui leur permettront d’atteindre des objectifs de politique publique particuliers.
Notre travail dans le domaine – par exemple notre enquête sur le recours, par l’Agence de la santé publique du Canada (ASPC), à des données sur la mobilité fournies par Telus et BlueDot durant la pandémie – a fait ressortir des lacunes dans le cadre juridique actuel et la nécessité d’une plus grande transparence dans les partenariats public-privé.
Les institutions fédérales qui souhaitent passer des marchés avec des entreprises privées en vue de recueillir des renseignements personnels doivent faire preuve de diligence raisonnable avant le début de la collecte. Ces institutions doivent non seulement s’assurer qu’elles respecteront les responsabilités qui leur incombent au titre de la loi, mais aussi que la collecte et la communication des renseignements personnels par l’entreprise ne contreviendront pas aux lois qui régissent ce domaine, notamment la LPRPDE.
De plus, comme en témoigne notre enquête portant sur le recours à la généalogie génétique par l’Agence des services frontaliers du Canada (ASFC) au moyen du service commercial Family Tree DNA, il est important d’exercer une surveillance en continu. Si une entreprise privée ou une institution fédérale modifie sa façon de recueillir, d'utiliser ou de communiquer des renseignements personnels, cela peut avoir une incidence sur la conformité, c’est‑à‑dire qu’il faut alors établir si le recours au service par l’institution fédérale est toujours conforme aux obligations des 2 entités en matière de protection de la vie privée.
Enfin, des efforts consciencieux s’imposent pour assurer la transparence. C’est ce qui ressort de l’affaire mettant en cause l’ASFC, dans laquelle le Commissariat a conclu que les descriptions des « fichiers de renseignements personnels » publiées par l’ASFC n’expliquaient pas adéquatement quels étaient les renseignements personnels recueillis.
Le rôle croissant des partenariats public-privé entraîne une complexité et un risque supplémentaires. Nous avons besoin, à tout le moins, que des principes communs de protection de la vie privée soient enchâssés dans nos lois applicables tant au secteur public qu’au secteur privé. Ces principes comprennent, entre autres, la limitation de la collecte, de l’utilisation et de la communication des renseignements personnels obtenus sans le consentement des intéressés, la nécessité et la proportionnalité, ainsi que l’assurance d’une véritable transparence en ce qui a trait à la circulation des renseignements personnels entre ces 2 secteurs.
Résumés des principales enquêtes menées en vertu de la LPRP
Rapport spécial sur les enquêtes liées à la pandémie de COVID-19
Notre rapport spécial au Parlement, déposé au printemps 2023, résume en grande partie des enquêtes que nous avons menées cette année en lien avec la pandémie de COVID‑19. Il présente notamment les conclusions de nos enquêtes sur la vaccination obligatoire et l’application ArriveCAN.
Dans l’ensemble, le Commissariat a constaté que la réponse du gouvernement à la pandémie était conforme aux exigences prévues par la Loi sur la protection des renseignements personnels. Au nombre des exceptions dignes de mention, soulignons l’incapacité de l’Agence des services frontaliers du Canada (ASFC) à prendre des mesures raisonnables pour garantir l’exactitude des renseignements personnels contenus dans l’application ArriveCAN. Par conséquent, environ 10 200 personnes vaccinées ont été avisées à tort au cours de l’été 2022 qu’elles devaient se mettre en quarantaine.
Le Commissariat a constaté que les initiatives de santé publique mises en œuvre ainsi que les arrêtés rendus étaient nécessaires et proportionnels dans le contexte d’une crise sans précédent. Toutefois, notre enquête nous a permis de recenser des pratiques qui pourront et devront être mises à profit afin de garantir et d’améliorer la protection de la vie privée si une nouvelle crise devait se produire. Notre rapport fait état de lacunes de la part du gouvernement au chapitre de la transparence envers la population et de l’évaluation qu’il a effectuée de la nécessité et de la proportionnalité de la vaccination obligatoire contre la COVID‑19 et de la consignation en dossier de cette évaluation – à la fois en ce qui concerne l’examen de solutions de rechange qui auraient pu constituer une ingérence moins importante dans la vie privée et la clarté des objectifs visés par cette obligation et la consignation en dossier de cet examen.
Postes Canada aurait dû obtenir l’autorisation des Canadiennes et des Canadiens avant de monétiser leurs renseignements personnels à des fins de marketing
À la suite d’une plainte, le Commissariat a mené une enquête sur un programme de la Société canadienne des postes (Postes Canada) dans le cadre duquel la société d’État produit des listes d’adresses de marketing à partir de différentes sources, notamment des renseignements sur les habitudes d’achat de millions d’individus recueillis sur les enveloppes et les colis qu’elle leur livre à domicile partout au Canada.
Le programme Marketing Intelliposte permet aux annonceurs de sélectionner les « attributs de ciblage » pour les listes d’adresses de marketing selon le quartier, le code postal ou le ménage. Sur son site Web, Postes Canada précise qu’elle peut préparer des listes d’adresses de marketing en se fondant sur 1 200 attributs de ciblage proposés dans des catégories comme les données démographiques (p. ex. l’état matrimonial et l’ethnicité), les champs d’intérêt et les habitudes (p. ex. les amateurs de golf et les détenteurs de cartes de fidélité) ainsi que l’étape de la vie et le mode de vie (p. ex. les familles avec des enfants et les amateurs de plein air).
L’enquête du Commissariat a porté sur l’utilisation par Postes Canada des renseignements personnels du plaignant recueillis sur les enveloppes dans le cadre du programme Marketing Intelliposte. Nous avons constaté que cette pratique n’était pas conforme à la LPRP, car Postes Canada recueille et utilise indirectement des renseignements personnels à l’insu et sans l’autorisation de l’individu dont les renseignements personnels sont recueillis.
Nous avons constaté que Postes Canada était tenue de demander l’autorisation des Canadiennes et des Canadiens avant de recueillir et de vendre leurs renseignements personnels à des fins de marketing.
La LPRP prévoit que, de manière générale, les institutions fédérales sont tenues de recueillir auprès de l’individu lui-même, chaque fois que c’est possible, les renseignements personnels destinés à des fins administratives le concernant.
Postes Canada a affirmé qu’elle n’utilisait pas les renseignements à des « fins administratives ». Elle a affirmé qu’en n’ayant pas recours à l’option de retrait offerte sur son site Web, les individus l’avaient autorisée de façon implicite à recueillir les renseignements qui figurent sur leurs enveloppes et leurs colis.
Le Commissariat a rejeté ces arguments et recommandé à Postes Canada de cesser d’utiliser et de communiquer les renseignements personnels tirés de ses données opérationnelles pour se livrer à des activités de publipostage sans avoir d’abord obtenu l’autorisation des Canadiennes et des Canadiens.
À la suite de notre enquête, Postes Canada a entrepris de mettre en place certaines mesures liées à la transparence, comme mettre à jour l’information en ligne sur l’initiative et ajouter des brochures à des points de vente. Cependant, ces mesures ne ciblent que les personnes qui cherchent l’information de manière proactive. Le Commissariat a proposé qu’un envoi postal visant à informer les particuliers du programme en question et leur offrant un moyen facile de retrait serait une solution qui permettrait de donner suite à sa recommandation.
La LPRP ne confère pas au Commissariat le pouvoir de rendre des ordonnances. Le Commissariat continue donc de recommander à Postes Canada de cesser cette pratique jusqu’à ce qu’elle ait demandé et obtenu l’autorisation des Canadiennes et des Canadiens pour l’utilisation de leurs renseignements personnels dans le cadre de ce programme de marketing commercial d’une tierce partie.
L’Agence des services frontaliers du Canada a contrevenu à la LPRP en utilisant un outil de généalogie génétique
En 2017, l’Agence des services frontaliers du Canada (ASFC) cherchait à établir la nationalité d’un résident permanent du Canada afin de l’expulser. Après que ce dernier a consenti à fournir un échantillon de son ADN, l’ASFC a envoyé l’échantillon à l’entreprise de généalogie génétique Family Tree DNA. Cette démarche, qui visait à identifier des membres de la famille du plaignant pour confirmer sa nationalité, n’a pas été concluante. Le plaignant a fait valoir que cette pratique contrevenait aux droits que lui confère la LPRP.
L’enquête menée par le Commissariat a permis d’établir que même si l’ASFC avait tenté d’obtenir le consentement éclairé du plaignant, celle-ci ne lui avait pas communiqué une information importante et ne disposait donc pas d’une autorisation valable lui permettant de recueillir des renseignements à son sujet auprès de Family Tree DNA.
Nous avons constaté que l’ASFC a aussi enfreint la LPRP en communiquant les renseignements personnels du plaignant à de nombreux utilisateurs de Family Tree DNA, à la fois inutilement et de façon continue. De plus, l’ASFC n’a effectué aucune évaluation des facteurs relatifs à la vie privée avant d’entreprendre cette activité, ce qui va à l’encontre de ce que prévoit la politique du Conseil du Trésor. L’ASFC a depuis cessé de recourir aux services de généalogie génétique et soit a fermé les comptes Family Tree DNA, soit a remis ces comptes aux personnes concernées.
Notre rapport d’enquête renferme d’importantes leçons à retenir concernant le recours par les organismes d’application de la loi aux services de généalogie génétique en particulier, et de biométrie de façon générale. Le Commissariat exhorte ces organismes à tenir compte de ces facteurs importants s’ils envisagent de recourir à de telles technologies à l’avenir. La nature sensible des renseignements génétiques dans un contexte d’application de la loi a été reconnue par les législateurs en 1997, au moment où la Loi sur l’identification par les empreintes génétiques est entrée en vigueur. Cette loi ne vise toutefois pas le recours aux services commerciaux de généalogie. Le Commissariat s’attend à ce que le gouvernement tienne un débat public au sujet des risques et des avantages des nouveaux types de recours à l’identification génétique, dont la généalogie génétique, dans un contexte d’application de la loi.
L’Agence des services frontaliers du Canada a communiqué une trop grande quantité de renseignements concernant un demandeur d’accès à l’information
Après s’être penché sur une plainte dont il était saisi, le Commissariat a conclu que l’ASFC avait communiqué une trop grande quantité de renseignements au sujet de l’auteure de demandes d’accès à l’information lorsque l’Agence a demandé au Commissariat à l’information du Canada l’autorisation de ne pas donner suite aux demandes d’accès de l’intéressée. La demande d’autorisation en question a fini par échouer.
À moins qu’un autre pouvoir de communication ne soit applicable, la LPRP prévoit que la communication de renseignements personnels en l’absence du consentement de l’individu concerné ne serve qu’aux fins auxquelles les renseignements ont été recueillis au départ par l’institution fédérale, ou pour des usages qui sont compatibles avec ces fins.
Notre enquête nous a permis de conclure que la communication par l’ASFC de renseignements au sujet des demandes d’accès successives de la plaignante constituait « un usage compatible » avec les fins auxquelles ces renseignements avaient été recueillis au départ (c’est-à-dire pour gérer les réponses de l’ASFC à ces demandes d’accès) et que cette communication était donc autorisée. Toutefois, nous avons constaté que la communication des renseignements sensibles que l’ASFC avait recueillis et créés à des fins autres que celles prévues au départ (et transmis par la suite au bureau de l’accès à l’information et de la protection des renseignements personnels de l’Agence pour répondre aux demandes d’accès de la plaignante) ne constituait pas un usage compatible et contrevenait ainsi aux dispositions prévues par la Loi en matière de communication.
Après la publication du rapport d’enquête définitif, l’ASFC a accepté de mettre à jour ses lignes directrices régissant la communication des renseignements en vue d’un usage compatible, compte tenu du caractère obsolète de ses lignes directrices existantes. Toutefois, l’ASFC estime qu’elle n’a pas enfreint la Loi et elle ne s’est pas engagée à modifier ses pratiques en ce qui concerne d’éventuelles communications similaires à l’avenir.
Le défaut de publier la description d’un fichier de renseignements personnels contrevient à la LPRP
Le Commissariat a fait enquête sur une plainte au sujet du traitement de renseignements personnels dans le cadre du Programme d’incitatifs pour les véhicules zéro émission (iVZE), qui a été lancé par Transports Canada en mai 2019.
Il s’agissait d’une plainte concernant de nombreuses préoccupations relatives à la collecte des renseignements personnels du plaignant. Notre enquête a permis d’établir que les dispositions de la LPRP visant les fichiers de renseignements personnels avaient été enfreintes.
Au titre de la Loi, les institutions fédérales sont tenues de veiller à ce que tous les renseignements personnels relevant d’elles qui servent à prendre une décision concernant un individu soient versés dans un fichier de renseignements personnels. Le Secrétariat du Conseil du Trésor (SCT) est responsable d’approuver ces fichiers et de s’assurer que leur description est publiée dans un « répertoire de renseignements personnels » auquel le public a accès. Ces exigences constituent un élément clé de la responsabilité et de la transparence pour les institutions fédérales qui recueillent des renseignements personnels. Dans le cas présent, Transports Canada n’a soumis la description du fichier de renseignements personnels à l’approbation du SCT que 19 mois après le lancement du Programme iVZE. Plus de 2 ans plus tard, au moment de la publication du rapport d’enquête définitif du Commissariat, le SCT n’avait toujours pas approuvé ce fichier. La plainte était donc fondée.
Collecte inappropriée de renseignements tirés de Facebook par le Service correctionnel du Canada
La personne conjointe d’un individu employé par le Service correctionnel du Canada (SCC) a déposé une plainte auprès du Commissariat au motif que le SCC avait recueilli de façon inappropriée des renseignements tirés de sa page Facebook.
Le gestionnaire de l’individu avait été avisé que ce dernier avait été vu dans des photos, publiées sur Facebook, qui donnaient à penser qu’il avait peut‑être enfreint les dispositions de la politique des congés en lien avec la COVID-19. Le gestionnaire a par la suite copié du contenu de la page Facebook publique de la personne avec qui l’individu était en situation conjugale et l’a communiqué à l’interne dans le but d’établir s’il devait prendre des mesures à cet égard.
Notre enquête a révélé qu’une grande partie du contenu recueilli était constituée de renseignements personnels de la personne plaignante et que ceux‑ci n’avaient aucune incidence sur la validité du congé demandé par l’individu employé par le SCC. Par conséquent, nous avons conclu que la collecte contrevenait à l’article 4 de la LPRP, qui prévoit que les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités. Le SCC a accepté de mettre en œuvre notre recommandation visant à donner aux gestionnaires des directives sur les processus à suivre avant de recueillir des renseignements dans un contexte de relations de travail. Cela permettra ainsi de réduire le risque de collecte accessoire de renseignements personnels de tiers n’ayant aucun lien avec ses activités ou ses programmes.
Le SCC a fait valoir que les renseignements en question étaient accessibles au public. Or, comme le Commissariat le lui a rappelé, les limites et les obligations en matière de collecte prévues par la LPRP s’appliquent peu importe que les renseignements soient accessibles au public ou non.
La Commission de l’immigration et du statut de réfugié du Canada a communiqué des renseignements médicaux sensibles à l’équipe de gestion d’un employé sans le consentement de celui-ci
L’incident est survenu lorsque l’équipe des Ressources humaines a transmis à l’équipe de gestion d’un employé une version non caviardée d’un rapport d’évaluation de l’aptitude au travail, qui a été produit par un examinateur médical indépendant mandaté par la Commission de l’immigration et du statut de réfugié du Canada. Le rapport en question renfermait des renseignements médicaux personnels, intimes et sensibles. La Norme d’évaluation de santé professionnelle du Secrétariat du Conseil du Trésor du Canada, qui était alors en vigueur, interdisait la communication de renseignements médicaux confidentiels sauf i) si ces renseignements étaient nécessaires pour permettre à l’employeur de prendre les mesures d’adaptation qui conviennent, et ii) si c’est avec la permission écrite de l’employé. Notre enquête nous a permis de conclure qu’aucune des 2 conditions n’avait été respectée et que la communication à l’équipe de gestion de l’employé contrevenait donc à la LPRP.
En dépit de nos conclusions, la Commission a refusé de présenter des excuses à l’employé touché par l’erreur et d’offrir une formation complète à son personnel, comme il a été recommandé, pour réduire le risque que la situation se reproduise.
Les relations de travail peuvent être complexes. Dans ce contexte, des erreurs peuvent parfois se produire, notamment des erreurs graves comme dans cette affaire. Parmi les mesures importantes à prendre pour démontrer son engagement à l’égard de la protection des renseignements personnels, mentionnons qu’il faut reconnaître ses erreurs, s’engager à en tirer des leçons et présenter des excuses sincères aux personnes lésées. Le Commissariat réitère sa recommandation selon laquelle la Commission doit prendre des mesures concrètes pour remédier à l’infraction à la LPRP.
Atteintes sous le régime de la LPRP
Dans le secteur public, la déclaration des atteintes est obligatoire en application des politiques, mais non en application de la loi comme c’est le cas dans le secteur privé.
En 2022‑2023, le nombre de déclarations d’atteinte faites dans le secteur public a chuté de 36 %, passant de 463 en 2021-2022 à 298.
Comme par le passé, la majorité des déclarations que le Commissariat reçoit proviennent des mêmes institutions fédérales, alors que le nombre d’atteintes déclarées par le secteur public fluctue d’une année à l’autre. Le Commissariat demeure préoccupé par la sous-déclaration, car bon nombre des institutions fédérales assujetties à la LPRP qui traitent des renseignements personnels sensibles n’ont jamais déclaré d’atteinte au Commissariat.
Près de la moitié des atteintes déclarées (44 %) avaient trait à la perte de renseignements personnels et, parmi celles-ci, 134 déclarations provenant d’Emploi et Développement social Canada faisaient état de la perte de dossiers de passeport. Par ailleurs, 33 % des atteintes déclarées résultaient de communications non autorisées, qui étaient pour la plupart attribuables à des erreurs commises par des employés – p. ex. utilisation du champ CC (copie conforme) au lieu du champ CCI (copie conforme invisible) dans des courriels de masse, correspondance mal acheminée et traitement inadéquat des renseignements personnels.
L’accès non autorisé, qui est à l’origine de 22 % des atteintes déclarées, comprend la consultation de renseignements par des employés n’ayant pas un droit d’accès, une utilisation abusive des droits d’accès à l’information ou le résultat de stratagèmes de piratage psychologique.
Qu’elles soient involontaires ou malveillantes, ces types d’erreurs font ressortir la nécessité de renforcer la mise en œuvre des politiques de protection de la vie privée en s’assurant que les employés qui traitent des renseignements personnels sensibles sont formés adéquatement et que des mesures de protection technologiques sont mises en place rapidement.
Dans le secteur public, une seule atteinte a été déclarée à la suite d’une cyberattaque. Cette statistique contraste fortement avec celle du secteur privé, où 278 atteintes qui résultent de cyberincidents ont été déclarées l’an dernier. Comme le Commissariat l’a mentionné dans ses rapports antérieurs, il est préoccupé par la sous-déclaration des cyberattaques qui mettent en péril des renseignements personnels, surtout si l’on tient compte du fait que le Centre de la sécurité des télécommunications signale qu’il bloque chaque jour des milliards de tentatives de cyberattaques qui ciblent les réseaux du gouvernement du Canada.
Selon un récent rapport du Bureau du vérificateur général du Canada portant sur la cybersécurité des renseignements personnels dans le nuage, « les atteintes à la cybersécurité sont à la hausse, et des contrôles robustes pour les prévenir, les détecter et intervenir en conséquence peuvent en réduire le risque et limiter la compromission des renseignements personnels des Canadiennes et des Canadiens, si de telles atteintes se produisaient ». En déclarant les atteintes au Commissariat, les organisations peuvent bénéficier de son expertise pour remédier aux atteintes qui ont trait à des renseignements personnels et en atténuer les effets.
Liste des 5 institutions ayant déclaré le plus grand nombre d’atteintes
Institution |
Atteintes déclarées |
Emploi et Développement social Canada |
196 |
Agence du revenu du Canada |
30 |
Service correctionnel Canada |
14 |
Commission de la fonction publique du Canada |
10 |
Immigration, Réfugiés et Citoyenneté Canada |
7 |
Enquêtes découlant d’une atteinte sous le régime de la LPRP
Un incident lié à l’envoi d’un courriel par IRCC entraîne un risque de préjudice
Des centaines de personnes qui avaient demandé des conseils concernant les mesures d’urgence en lien avec la situation qui dégénérait en Afghanistan ont été exposées à un risque lorsqu’Immigration, Réfugiés et Citoyenneté Canada (IRCC) a, par erreur, saisi leur adresse de courriel dans le champ « À » et non dans le champ copie conforme invisible (CCI) de sa réponse par courriel. Cette communication, qui a touché 636 individus, renfermait également, dans certains cas, une photo miniature de la personne et indiquait par le fait même que celle-ci s’était renseignée sur les mesures d’urgence. Dans les circonstances, il s’agissait de renseignements sensibles.
Le Ministère a immédiatement pris des mesures pour atténuer les effets de l’incident, mais il n’a pu éliminer entièrement le risque de préjudice grave auquel étaient exposées les personnes touchées.
Le Commissariat estime qu’IRCC a pris des mesures positives pour réduire le risque qu’un tel incident ne se reproduise, notamment la révision de ses procédures d’envoi de courriels, l’adoption de la règle de « second regard » et la création d’un formulaire Web afin d’offrir une méthode de communication sécurisée avec le Ministère.
Dans notre rapport, nous avons indiqué à IRCC qu’il doit mettre en place des procédures et des mesures de protection robustes pour s’assurer qu’aucune erreur humaine n’entraîne une atteinte à la vie privée. Le Ministère a par la suite mis en œuvre des mesures technologiques visant à atténuer le risque que des courriels soient envoyés par erreur et à protéger les renseignements des clients. Le Commissariat est satisfait des mesures prises par IRCC.
Une atteinte à la sécurité des renseignements saisis dans Phénix, de la part du SCT, révèle un problème d’évaluation du risque de préjudice
Le Secrétariat du Conseil du Trésor (SCT) a envoyé par erreur 2 courriels de masse à environ 400 personnes qui avaient présenté des demandes d’indemnisation pour des « répercussions graves liées à Phénix ». Ce processus d’indemnisation s’adresse aux individus qui, en raison de problèmes causés par Phénix, ont vécu d’importantes difficultés personnelles et financières. Les adresses électroniques de ces personnes figuraient dans le champ « copie conforme » (CC) des courriels de sorte qu’elles pouvaient être vues par tous les destinataires. En tout, 20 individus ont porté plainte au Commissariat. Plusieurs plaignants ont affirmé qu’ils n’avaient jamais révélé à autrui qu’ils avaient éprouvé des difficultés en raison de Phénix et que le fait que leur situation ait été dévoilée au grand jour à cause de cette infraction avait été à la fois humiliant et stressant.
Notre enquête nous a permis de conclure que le SCT avait enfreint la LPRP, au motif que la communication de ces renseignements personnels n’était pas autorisée.
Le SCT n’a pas signalé cette atteinte au Commissariat. Il avait conclu qu’elle n’était pas « substantielle » et ne causerait vraisemblablement pas un dommage ou un préjudice grave aux personnes concernées. Nous ne sommes pas de cet avis. Nous avons constaté qu’une évaluation appropriée du dommage doit être globale et tenir compte d’un éventail de facteurs, dont, au minimum, le ou les destinataires des renseignements personnels communiqués, la nature délicate des renseignements personnels et la probabilité que les renseignements personnels aient été, soient ou puissent être utilisés à mauvais escient.
Nous avons recommandé au SCT de rappeler à son personnel l’obligation qui lui incombe de traiter adéquatement les renseignements personnels et d’étudier des moyens mieux sécurisés de communiquer avec les parties prenantes. Le SCT a accepté ces recommandations.
Nous avons également recommandé au SCT qu’il intègre nos conclusions dans ses instruments de politique et d’orientation, de sorte que les institutions puissent évaluer les préjudices et la nature substantielle des atteintes de manière plus uniforme et précise. En réponse à cette recommandation, le SCT a publié d’importantes mises à jour à ses politiques sur la protection des renseignements personnels en octobre 2022. Bien que le Commissariat accueille favorablement plusieurs des changements à ces politiques, il demeure préoccupé par l’interprétation de « l’importance relative de l’atteinte » et par l’évaluation du préjudice.
Étant donné le rôle de premier plan que joue le SCT, le Commissariat se serait attendu à ce que ce dernier reconnaisse l’importance de l’atteinte peu importe que ce soit suivant les définitions de ses anciennes ou de ses nouvelles politiques et encourage donc le SCT à intégrer une telle analyse dans ses instruments de politique.
Activités de l’unité de vérification de la conformité
Dans ses rapports de conclusions d’enquête, le Commissariat formule souvent des recommandations aux institutions en vue de faire respecter les lois sur la protection des renseignements personnels auxquelles elles sont assujetties.
Selon la nature de ses recommandations, le Commissariat a recours à sa fonction officielle de surveillance de la conformité pour s’assurer que les institutions ont respecté ou sont en mesure de respecter les engagements qu’elles ont pris à son égard. Il est possible que les délais de mise en œuvre des recommandations varient; on compte généralement des dossiers remontant aux exercices antérieurs parmi les dossiers actifs de l’unité de vérification de la conformité.
En 2022-2023, 8 nouveaux dossiers relevant de la LPRP ont été acheminés à l’unité.
Les paragraphes ci‑après présentent des dossiers relevant de cette loi qui ont été fermés au cours du dernier exercice.
Recours par la GRC à la technologie de reconnaissance faciale
Les secteurs de la GRC responsables du nouveau Programme national d’intégration des technologies ainsi que de l’accès à l’information et de la protection des renseignements personnels ont collaboré activement avec le Commissariat à l’issue de l’enquête portant sur l’utilisation par la GRC de la technologie de reconnaissance faciale de Clearview AI.
En fin de compte, le Commissariat a constaté que la GRC a mis en œuvre ses recommandations et qu’elle a pris des mesures positives pour créer une culture qui favorise la conformité au moment de commencer à utiliser de nouvelles technologies donnant lieu à la collecte de renseignements personnels.
Pratiques de protection des passeports
À la lumière d’un examen effectué en 2021, le Commissariat a trouvé plusieurs façons d’améliorer la gestion des documents dans le cadre du Programme de passeport. IRCC, Emploi et Développement social Canada, Affaires mondiales Canada et Postes Canada ont travaillé ensemble pour donner suite à nos recommandations. Ces institutions ont notamment établi et mis en œuvre conjointement des directives sur la façon d’évaluer s’il faut déclarer les atteintes à la vie privée liées aux passeports.
La LPRPDE : rétrospective de l’exercice
Les enquêtes que mène le Commissariat sous le régime de la LPRPDE portent aussi bien sur les interactions entre de petites entreprises et des individus (p. ex. propriétaires et locataires) que sur la manière dont des multinationales traitent les renseignements personnels de millions d’utilisateurs.
Des enquêtes très médiatisées achevées en 2022-2023 concernaient la collecte et l’utilisation de données de géolocalisation par Tim Hortons au moyen de son application mobile, ainsi que la communication, par Home Depot du Canada Inc., de renseignements sur les achats en magasin effectués par des clients à Meta Platforms Inc., la société mère de Facebook.
De concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, le Commissariat a ouvert une enquête sur TikTok pour établir si l’entreprise obtenait un consentement valable, en particulier de la part des nombreux jeunes utilisateurs.
Au début d’avril 2023, à la suite d’une plainte, le Commissariat a également annoncé l’ouverture d’une enquête sur les pratiques de traitement des données adoptées par OpenAI au moyen de ChatGPT, un robot conversationnel doté d’une intelligence artificielle. En mai, le Commissariat a élargi la portée de l’enquête et a indiqué qu’il s’agirait désormais d’une enquête à l’initiative du Commissaire qui sera menée conjointement avec ses homologues provinciaux de la Colombie-Britannique, de l’Alberta et du Québec.
Dans le cadre de toutes ces enquêtes, nous concentrons nos efforts sur la nécessité de protéger le droit fondamental des Canadiennes et des Canadiens à la vie privée et d’accroître la confiance dans l’économie numérique canadienne en épaulant les organisations du secteur privé dans leurs démarches visant à se conformer aux lois sur la protection des renseignements personnels. En ce sens, le Commissariat mène également des activités de sensibilisation auprès des entreprises pour les amener à mieux comprendre les obligations qui leur incombent au titre de la loi.
La section ci-après présente les résultats clés obtenus en 2022‑2023 sous le régime de la LPRPDE.
La protection de la vie privée en chiffres
Loi sur la protection des renseignements personnels et les documents électroniques
Plaintes acceptées |
454 |
Plaintes fondées |
19 |
Plaintes fermées par règlement rapide |
282 |
Plaintes fermées à l’issue d’une enquête officielle |
102 |
Rapports d’atteintes à la sécurité des données reçus |
681 |
Activités de liaison des services-conseils avec le secteur privé |
15 |
Application de la LPRPDE
En 2022-2023, le Commissariat a reçu et accepté 454 plaintes déposées en vertu de la LPRPDE, ce qui représente une hausse de 6 % par rapport à l’exercice précédent. Ces plaintes, qui portaient principalement sur l’accès aux renseignements personnels, visaient en grande partie les entreprises des secteurs des finances (116), d’Internet (55) et des télécommunications (38).
Le Commissariat a fermé 384 plaintes en 2022-2023, comparativement à 358 en 2021-2022.
Le processus de règlement rapide a permis de résoudre 73 % des plaintes.
Nous continuons de travailler à réduire les délais de traitement, mais les plaintes que nous recevons sont de plus en plus complexes et nos ressources d’enquête diminuent constamment. C’est ce qui explique que notre arriéré de dossiers non attribués a continué d’augmenter et que notre délai de traitement moyen pour les dossiers relatifs à la LPRPDE a augmenté de 18 % en 2022‑2023, passant de 7,8 mois l’année dernière à 9,2 mois cette année.
Comme il est mentionné plus haut dans le présent rapport, un examen diagnostique de nos processus d’enquête nous a permis d’établir les améliorations à apporter pour réaliser des gains d’efficacité et réduire l’arriéré des plaintes.
Pour en savoir plus, veuillez consulter l’encadré « Un examen diagnostique permet de se pencher sur l’arriéré de plaintes déposées en vertu de la LPRP et de la LPRPDE ».
Pourcentage des plaintes fermées par règlement rapide
Exercice |
Pourcentage des plaintes |
2022-2023 |
73 % |
2021-2022 |
85 % |
2020-2021 |
71 % |
2019-2020 |
69 % |
2018-2019 |
63 % |
Enquêtes menées au titre de la LPRPDE
Home Depot a communiqué à Meta les renseignements de clients sans leur consentement
Les conclusions de notre enquête portant sur les pratiques de Home Depot en matière de communication de renseignements rappellent aux entreprises qu’elles doivent obtenir le consentement valable des clients avant de communiquer leurs renseignements personnels à des tiers.
Dans cette affaire, un individu a déposé une plainte auprès du Commissariat après avoir découvert que Meta Platforms Inc., la société mère de Facebook, possédait de l’information sur des achats qu’il avait effectués en magasin chez Home Depot.
Comme l’a confirmé Home Depot, lorsqu’un client fournissait une adresse électronique afin de recevoir un reçu électronique pour des achats effectués en magasin, l’entreprise utilisait un outil commercial appelé « Conversions hors ligne » pour transmettre à Meta l’adresse électronique chiffrée et certains renseignements sur les achats. Dans le cas des clients qui possédaient un compte Facebook, Meta comparait les renseignements sur leurs achats avec les publicités diffusées à l’intention de ceux‑ci sur le réseau social afin d’en évaluer l’efficacité. Meta transmettait ensuite à Home Depot les résultats agrégés de son analyse et pouvait également utiliser les renseignements des clients à ses propres fins, notamment pour leur transmettre des publicités ciblées.
Le Commissariat a conclu que les clients ne s’attendaient pas forcément à ce que leurs renseignements soient communiqués à un tiers, et que l’entreprise aurait dû obtenir un consentement explicite actif.
Home Depot a pleinement collaboré à l’enquête. L’entreprise s’est engagée à mettre en œuvre nos recommandations et a cessé d’utiliser l’outil Conversions hors ligne en octobre 2022.
Exemple de réussite : processus de règlement rapide
Le processus de règlement rapide est un outil d’enquête indispensable auquel le Commissariat a recours pour régler les plaintes de nature moins systémique plus rapidement et de manière plus efficace. Lorsque cela est possible, le Commissariat tente de régler les plaintes selon une méthode reposant sur la négociation ou l’arbitrage qui, selon son expérience, permet d’obtenir le résultat optimal pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête.
Nous présentons ci-après un exemple de plainte que nous avons réglée par règlement rapide.
Rappel à l’intimé de la procédure à suivre pour répondre aux demandes d’accès à l’information
Le plaignant, qui était insatisfait de la réponse de son propriétaire d’immeuble à une demande d’accès à l’information, a affirmé que ce dernier avait omis de lui remettre une série d’enregistrements vidéo visés par sa demande.
Le propriétaire a fait savoir que l’employé qui aurait dû s’occuper de la demande avait quitté son emploi. Il a donc lui-même traité la demande et présenté ses excuses au plaignant pour la nature des réponses fournies précédemment. En outre, le propriétaire a mis en place une formation obligatoire supplémentaire pour l’ensemble de son personnel.
Le plaignant a jugé que la plainte avait été réglée de façon satisfaisante.
Atteintes sous le régime de la LPRPDE
En 2022-2023, le Commissariat a reçu 681 déclarations d’atteinte touchant des millions de comptes canadiens, comparativement à 645 déclarations au cours de l’exercice précédent, ce qui représente une hausse de 6 %.
Compte tenu du très grand nombre d’entreprises actives en ligne, le Commissariat soupçonne que de nombreuses atteintes ne sont pas déclarées – voire qu’elles passent inaperçues –, en particulier dans le cas des petites et moyennes entreprises, qui représentent près de 90 % des entreprises au pays.
Cinq principaux secteurs selon le pourcentage du nombre d’atteintes déclarées
Secteur de l’industrie |
2019-2020 |
2020-2021 |
2021-2022 |
2022-2023 |
Finances |
19 % |
22 % |
20 % |
27 % |
Télécommunications |
17 % |
14 % |
14 % |
17 % |
Services professionnels |
4 % |
8 % |
12 % |
14 % |
Vente et commerce de détail |
14 % |
10 % |
8 % |
9 % |
Assurances |
11 % |
9 % |
14 % |
7 % |
Les accès non autorisés représentent 66 % de l’ensemble des atteintes déclarées (451). Plus de la moitié de ces déclarations (278) mettaient en cause divers types de cyberattaques – maliciels, identifiants compromis ou hameçonnage –, qui ont permis à des pirates d’avoir accès aux systèmes. Les secteurs des finances et des services professionnels ont été le plus souvent ciblés. Soulignons que les atteintes dans le secteur des services professionnels mettaient souvent en péril des renseignements personnels sensibles, comme le numéro d’assurance sociale.
Les préjudices subis par les victimes de cyberattaques comprennent les pertes financières, le vol d’identité, l’atteinte à la réputation ainsi que la détresse émotionnelle.
Le Commissariat conseille aux organisations de faire de la sécurité une priorité afin de se protéger contre les pirates. Au nombre des mesures de sécurité importantes, mentionnons le renforcement de la protection des identifiants des employés, l’installation des correctifs de sécurité dès qu’ils sont offerts, l’instauration de l’authentification à 2 facteurs ou multifacteur obligatoire, ainsi que des investissements dans la cybersécurité pour empêcher tout accès non autorisé.
La communication non autorisée, qui peut comprendre la correspondance mal acheminée, un traitement inadéquat de données ou des erreurs de saisie de données, a fait l’objet de 171 déclarations d’atteinte, soit 25 % de l’ensemble des déclarations que nous avons reçues.
Pourcentage des atteintes déclarées selon le type
Type d’atteinte |
2019-2020 |
2020-2021 |
2021-2022 |
2022-2023 |
Accès non autorisé |
59 % |
64 % |
65 % |
66 % |
Communication non autorisée |
21 % |
28 % |
25 % |
25 % |
Vol |
9 % |
5 % |
3 % |
4 % |
Perte |
11 % |
3 % |
7 % |
4 % |
L’absence de programme de sécurité entraîne une atteinte à la vie privée chez des entreprises de produits agricoles
Notre enquête, qui portait sur une atteinte mettant en cause un groupe d’entreprises de produits et de services agricoles, démontre la nécessité pour les entreprises, quelle que soit leur taille et qu’elles soient axées ou non sur le traitement de données personnelles, de porter une attention particulière à la protection des renseignements personnels qui relèvent d’elles.
En utilisant les identifiants valides d’un administrateur, un auteur de menace a accédé aux systèmes d’Agronomy Company of Canada Ltd. Comme les systèmes de plusieurs détaillants étaient regroupés, l’auteur de menace a pu naviguer dans le réseau entier pour exfiltrer les renseignements de clients puis y installer un rançongiciel. Agronomy n’a détecté l’intrusion qu’une fois ses systèmes chiffrés.
Agronomy refusant de payer la rançon, les renseignements des clients ont été mis aux enchères en ligne sur le Web caché, avant d’être diffusés. En l’absence d’une structure normalisée de gestion de l’information, Agronomy a demandé à un fournisseur de services tiers d’effectuer une investigation informatique de l’ensemble de données qui avait été compromis. Le fournisseur n’a pu établir que 8 mois plus tard que les renseignements personnels de 845 clients, recueillis au moyen de formulaires de création de comptes (noms, dates de naissance, numéros d’assurance sociale et renseignements bancaires), avaient été compromis.
Notre enquête a permis de constater de nombreuses lacunes dans les mesures de sécurité d’Agronomy, notamment l’absence d’un cadre global de gestion de la sécurité. Les autres lacunes observées comprennent le stockage de renseignements personnels sensibles dans des répertoires partagés qui n’étaient pas protégés par des contrôles d’accès internes et l’absence d’outils de sécurité pour détecter et prévenir les intrusions et réagir en conséquence.
Agronomy a pris ou a accepté de prendre des mesures pour remédier aux manquements. Parmi ces mesures, mentionnons la création de réseaux internes distincts, le recours à divers outils et services de sécurité offerts par des tiers, la prestation d’une formation continue à ses employés et la création d’un plan de gestion des incidents. Nous avons donc conclu que cet élément de la plainte était fondé et conditionnellement résolu.
Les petites et moyennes entreprises n’ont pas toujours la capacité à l’interne de se protéger contre les cybermenaces en constante évolution. Néanmoins, elles peuvent recourir à des fournisseurs de services et à des outils automatisés pour protéger adéquatement les données de leurs clients et se conformer à la LPRPDE.
En ce qui a trait aux autres allégations soulevées par la personne plaignante, nous avons conclu que l’entreprise n’avait pas pris certaines mesures de responsabilité clés, telles que la désignation d’une personne responsable des questions liées à la protection de la vie privée et la mise en œuvre de certains protocoles de protection des renseignements personnels. L’entreprise s’était toutefois assurée d’obtenir le consentement valable de la personne plaignante pour la collecte et l’utilisation de ses renseignements personnels en vue de lui accorder un crédit.
Les organismes de bienfaisance doivent obtenir un consentement explicite avant de communiquer les renseignements personnels de donateurs
Le Commissariat a été saisi d’une plainte selon laquelle un organisme de bienfaisance enregistré aurait contrevenu à la LPRPDE en n’obtenant pas le consentement explicite d’un donateur avant de communiquer son nom et son adresse dans le cadre d’un programme d’échange de listes de donateurs. Au dire du plaignant, la case à cocher pour refuser le consentement sur le formulaire de don à envoyer par la poste n’était pas appropriée.
Même si les plaintes concernant des activités de bienfaisance ne sont pas souvent du ressort du Commissariat, dans ce cas-ci, l’échange de listes de donateurs constituait une activité commerciale assujettie à la LPRPDE.
D’après l’organisme visé par la plainte, le programme en cause offre aux organismes sans but lucratif un bon moyen pour communiquer avec des donateurs potentiels. Les organismes qui reçoivent les renseignements relatifs aux donateurs – notamment leur nom et leur adresse postale – sont censés les utiliser une seule fois pour leur envoyer une demande de don par la poste.
Le Commissariat a conclu que même si le nom et l’adresse des donateurs ne sont pas des renseignements personnels sensibles dans le contexte des activités menées à grande échelle par l’organisme de bienfaisance en question, les donateurs ne pouvaient vraisemblablement pas s’attendre à ce que ces renseignements soient communiqués à d’autres organismes. Il a aussi conclu que l’information fournie par l’organisme de bienfaisance au sujet du programme n’était pas suffisante pour corroborer l’obtention d’un consentement valable.
Le Commissariat a recommandé à l’organisme de bienfaisance d’obtenir le consentement explicite des donateurs, notamment en indiquant clairement sur son formulaire de don quels renseignements seront communiqués et à qui. Après avoir accepté de mettre en œuvre notre recommandation, l’organisme s’est retiré du programme d’échange de listes de donateurs.
Lancement de l’outil d’évaluation des risques liés aux atteintes
Les organisations ont parfois de la difficulté à établir s’il est raisonnable de croire qu’une atteinte à la vie privée crée un risque réel de préjudice grave (RRPG) à l’endroit d’un individu. Si tel est le cas, elles sont tenues de déclarer l’atteinte au Commissariat.
Le Commissariat a conçu un outil pour orienter l’évaluation du risque. Il s’agit d’une application de bureau au moyen de laquelle une série de questions sont posées afin d’établir s’il est raisonnable de croire qu’une atteinte à la vie privée crée ou non un risque de préjudice grave. Sans remplacer le jugement d’un être humain, cet outil fournit des données qui permettent de porter un jugement éclairé.
La première phase de mise en œuvre de l’outil a été lancée à l’interne en mars 2022. Puis, en 2023, le Commissariat a demandé à certaines parties prenantes externes de mettre l’outil à l’essai. Au terme de ce projet pilote, une version à laquelle le public aura accès sera mise au point. En plus de favoriser l’uniformité, cet outil sera utile à l’industrie et aux professionnels de la protection de la vie privée dans leur évaluation des risques que présente une atteinte.
L’Assemblée mondiale pour la protection de la vie privée a décerné le prix de l’innovation à l’outil d’évaluation du RRPG pendant sa conférence, qui a eu lieu en octobre 2022 à Istanbul, en Türkiye.
Le sous-commissaire Brent Homan reçoit le prix de l’innovation de l’Assemblée mondiale pour la protection de la vie privée décerné à l’outil d’évaluation du RRPG pendant sa 44e conférence qui a eu lieu à Istanbul, en Türkiye.
Activités de l’unité de vérification de la conformité
Lorsque les organisations du secteur privé signent une entente de conformité ou un accord avec le Commissariat ou qu’elles acceptent de mettre en œuvre nos recommandations au terme d’une enquête, il est important que le Commissariat assure un suivi pour veiller à ce que ces organisations prennent les mesures qui s’imposent.
Notre unité de vérification de la conformité est responsable de vérifier si les engagements pris par les organisations sont respectés selon les échéances prévues. En 2022-2023, 4 nouveaux dossiers relevant de la LPRPDE ont été acheminés à l’unité.
Les paragraphes ci‑après présentent des dossiers relevant de cette loi qui ont été fermés au cours du dernier exercice.
Mise en œuvre par Desjardins d’un plan de protection des renseignements personnels
Une atteinte à la sécurité des données survenue chez Desjardins entre 2017 et 2019, qui a touché 9,7 millions de comptes d’individus au Canada et à l’étranger, a donné lieu à une enquête conjointe menée par le Commissariat et la Commission d’accès à l’information du Québec. Au terme de cette enquête, les 2 organisations ont formulé des recommandations à Desjardins afin d’améliorer les pratiques de gestion des renseignements personnels qui lui sont confiés.
Le Commissariat se dit satisfait des mesures prises par Desjardins pour mettre en œuvre ses recommandations, notamment afin de mettre à niveau son programme de sécurité de l’information et d’instaurer un calendrier de rétention et de destruction des données. Selon le rapport produit par un vérificateur externe, les mesures de contrôle mises en place par l’institution financière respectent les normes internationales en matière de protection de la vie privée et de sécurité des systèmes d’information, et sont conformes aux recommandations du Commissariat.
Cadre d’intervention de MGM Resorts en cas d’atteinte à la vie privée
Le Commissariat a mené une enquête pour établir si MGM Resorts, une entreprise américaine qui possède et exploite plusieurs hôtels et casinos aux États‑Unis, avait dûment respecté ses obligations en matière de déclaration obligatoire au titre de la LPRPDE en ce qui concerne une atteinte à la sécurité des données, qui a touché près de 2 millions de Canadiennes et de Canadiens. Le Commissariat a constaté que MGM n'avait pas respecté ses obligations en la matière. En réponse aux recommandations formulées par le Commissariat, MGM s’est engagée à modifier son cadre d’intervention en cas d’atteinte à la vie privée.
L’entreprise a mis en œuvre les recommandations à la satisfaction du Commissariat. MGM a déclaré que lorsque qu’elle prendra connaissance d’une atteinte pouvant toucher les Canadiennes et les Canadiens, elle évaluerait rapidement l’incident – comme le prévoient les documents d’orientation publiés par le Commissariat. De plus, elle fera une déclaration au Commissariat et avisera les personnes touchées le plus tôt possible si celles-ci sont exposées à un risque réel de préjudice grave.
Services‑conseils et activités de sensibilisation à l’intention des entreprises au titre de la LPRPDE
Une membre de la Direction des services-conseils à l’entreprise du Commissariat à une exposition pour les entreprises.
Le Commissariat fournit en toute confidentialité des services-conseils utiles aux entreprises au sujet de leurs pratiques et initiatives qui ont une incidence importante sur la vie privée des Canadiennes et des Canadiens, afin de leur permettre de se conformer à la LPRPDE au fur et à mesure qu’elles innovent et prennent de l’expansion.
En plus de donner des services-conseils aux entreprises assujetties à la LPRPDE qui en font la demande, la Direction des services-conseils à l’entreprise du Commissariat organise des ateliers sur la protection de la vie privée à l’intention des petites et moyennes entreprises en vue de leur permettre d’atténuer dès le départ les risques d’atteinte à la vie privée.
Dans le cadre de ses activités de sensibilisation, le Commissariat a publié un bulletin d’interprétation sur les renseignements sensibles. Ce bulletin résume les principes généraux régissant la détermination et le traitement des renseignements personnels qui se sont dégagés des décisions judiciaires et des conclusions du Commissaire jusqu’à présent.
Le Commissariat a publié les résultats de son plus récent sondage biennal auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels. Par rapport au sondage précédent, les entreprises sont moins nombreuses à avoir adopté une politique sur la protection des renseignements personnels et à offrir une formation sur la protection de la vie privée.
Au moyen de son blogue savoir techno, le Commissariat communique de l’information sur ses recherches dans le domaine des technologies de pointe. Nos récents billets de blogue ont notamment porté sur l’utilisation de données synthétiques comme technique de dépersonnalisation et sur la question de savoir si les algorithmes permettent d’atteindre le même degré d’équité qu’un comportement éthique humain.
Points saillants des autres travaux menés par le Commissariat
La protection de la vie privée en chiffres
Autres travaux
Projets de loi et études parlementaires examinés sous l’angle de leurs répercussions sur la vie privée |
36 |
Comparutions devant des comités parlementaires sur des questions touchant les secteurs privé et public |
5 |
Demandes d’information |
4 325 |
Annonces et communiqués diffusés |
59 |
Allocutions et présentations |
57 |
Publications sur X (Twitter) |
863 |
Abonnés sur X (Twitter) |
20 330 |
Publications sur LinkedIn |
528 |
Abonnés sur LinkedIn |
27 545 |
Consultations du site Web |
3 030 181 |
Consultations du blogue |
52 559 |
Publications diffusées |
1 923 |
Conseils au Parlement
Le Commissariat conseille le Parlement sur des questions liées à la protection de la vie privée en communiquant par écrit avec des députés et des sénateurs ainsi qu’en comparaissant devant des comités de la Chambre des communes et du Sénat. Les paragraphes qui suivent dressent les grandes lignes des sujets traités au cours du dernier exercice.
Mémoire sur le projet de loi C‑27 – La Loi de 2020 sur la mise en œuvre de la Charte du numérique
En mai 2023, le Commissariat a présenté au Comité permanent de l’industrie et de la technologie de la Chambre des communes son avis et ses recommandations sur le projet de loi C‑27, la nouvelle loi proposée par le gouvernement en matière de protection des renseignements personnels dans le secteur privé, soit la Loi sur la protection de la vie privée des consommateurs.
Le Commissaire Dufresne a déclaré que ce projet de loi représente un pas dans la bonne direction, ajoutant toutefois que le législateur peut et doit l’améliorer davantage pour protéger le droit fondamental à la vie privée, tout en servant l’intérêt public et en favorisant l’innovation.
À cette fin, le Commissariat a formulé 15 principales recommandations visant à améliorer et à renforcer la loi proposée, notamment les suivantes : protéger la vie privée des enfants, élargir la liste des contraventions pouvant faire l’objet de sanctions pécuniaires, prévoir un droit de procéder à l’élimination des renseignements personnels même si une politique de conservation est en vigueur, et exiger des organisations qu’elles intègrent la protection de la vie privée dès la conception des produits et des services de manière à établir une culture de protection de la vie privée. En outre, le Commissariat a demandé une simplification du processus de révision des décisions du Commissaire et une modification des délais pour faire en sorte que le régime de protection de la vie privée soit accessible et efficace.
Le Commissaire Dufresne comparaît devant le Comité ETHI au sujet de l’étude sur les outils d’enquête sur appareil utilisés par la GRC / CPAC.
Comparution au sujet du projet de loi C‑47 – Protection de la vie privée et partis politiques
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles pour discuter des modifications à la Loi électorale du Canada qui sont proposées dans le projet de loi C‑47, Loi d’exécution du budget, 2023.
Ces modifications permettraient à tout parti politique et à ses affiliés de recueillir, d’utiliser, de communiquer et de conserver des renseignements personnels, ainsi que de procéder à leur retrait, conformément à la politique sur la protection des renseignements personnels du parti, qu’il élabore et révise s’il le juge approprié. Les modifications proposées ne visent pas à établir pour les partis politiques des exigences minimales en matière de protection de la vie privée concernant le traitement des renseignements personnels, ni à prévoir une surveillance indépendante par un tiers des pratiques de ceux-ci pour protéger ces renseignements.
Le Commissaire a déclaré qu’en raison de l’importance de la vie privée et de la nature sensible des renseignements recueillis, les Canadiennes et les Canadiens ont besoin et sont en droit de bénéficier d’un régime de protection de la vie privée pour les partis politiques qui ne se limite pas à l’autoréglementation.
Le Commissaire a ajouté que les partis politiques devraient être assujettis à des règles particulières de protection de la vie privée qui sont essentiellement similaires aux exigences qui sont énoncées pour les secteurs public et privé dans la LPRP et la LPRPDE. Ces règles devraient aussi être adaptées au rôle unique et essentiel joué par les partis politiques dans le processus démocratique.
Mémoire sur la déclaration de situation de crise
Le Commissariat a présenté un mémoire au Comité mixte spécial sur la déclaration de situation de crise au sujet de l’étude sur la déclaration faite à cet égard en 2022. Dans ce mémoire, il a résumé les principes clés de protection de la vie privée qui devraient être pris en compte dans l’évaluation de toute mesure proposée pour réagir à un état d’urgence. En outre, le Commissariat a souligné l’importance d’élaborer un cadre clair de gouvernance de la protection de la vie privée à mettre en œuvre durant les situations de crise afin que les institutions fédérales et les organisations du secteur privé puissent remplir efficacement les obligations qui leur incombent respectivement au titre de la LPRP et de la LPRPDE.
Utilisation et impacts de la technologie de reconnaissance faciale
Le Commissariat a comparu devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) au sujet de l’étude sur l’utilisation et les impacts de la technologie de reconnaissance faciale. Dans son rapport sur la technologie de reconnaissance faciale, le Comité a confirmé la nécessité de réglementer les technologies ayant une incidence sur la vie privée, comme la reconnaissance faciale et l’intelligence artificielle, notamment en prenant des mesures proposées par le Commissariat – par exemple rendre obligatoires les évaluations des facteurs relatifs à la vie privée, mettre en place une supervision accrue et des mécanismes renforcés de communication publique et moderniser les lois sur la protection des renseignements personnels.
Réponse au rapport du Comité ETHI sur la collecte et l’utilisation de données sur la mobilité aux fins du suivi des cas de COVID‑19
En février 2022, le Commissariat a comparu devant le Comité ETHI au sujet de la collecte et de l’utilisation, par l’Agence de la santé publique du Canada, de données sur la mobilité aux fins du suivi des cas de COVID‑19. Lorsque le rapport du Comité a été publié, le Commissariat a accueilli favorablement les conclusions formulées, lesquelles faisaient état de la nécessité de moderniser les lois fédérales sur la protection des renseignements personnels, surtout en ce qui concerne les exigences en matière de dépersonnalisation et de transparence.
Comparution sur l’étude des outils d’enquête utilisés par la GRC
Le Commissaire Dufresne a comparu devant le Comité ETHI au sujet de l’étude sur les outils d’enquête sur appareil utilisés par la Gendarmerie royale du Canada (GRC), qui permettent de recueillir des communications privées, des documents, des images et des fichiers audio envoyés à partir d’un appareil ou bien reçus ou conservés dans celui‑ci. Le Commissaire a recommandé que toutes les institutions, y compris la GRC, considèrent la protection des renseignements personnels comme un élément clé lorsqu’elles envisagent d’utiliser toute technologie susceptible de porter atteinte à la vie privée. Le Commissaire a recommandé que la modernisation de la LPRP prévoie une obligation pour les institutions de présenter au Commissariat des évaluations des facteurs relatifs à la vie privée pour les initiatives à risque élevé.
Comparution au sujet du projet de loi S‑7
Des représentants du Commissariat ont comparu devant le Comité sénatorial permanent de la sécurité nationale et de la défense au sujet du projet de loi S‑7, la Loi modifiant la Loi sur les douanes et la Loi sur le précontrôle (2016). Ce projet de loi vise notamment à clarifier les circonstances dans lesquelles un agent des services frontaliers peut examiner tout document conservé dans un appareil numérique personnel. Le Commissariat a fait valoir que le « nouveau » seuil fondé sur l’existence de « préoccupations générales raisonnables », qui était proposé dans le projet de loi S‑7 pour ce type de fouille, serait susceptible de créer une ambiguïté. Nous avons suggéré que le seuil soit plutôt fondé sur des « motifs raisonnables de croire » ou des « motifs raisonnables de soupçonner », expressions qui figurent dans la Loi sur les douanes. Le Comité sénatorial a modifié le libellé pour utiliser « motifs raisonnables de soupçonner ».
Comparution au sujet du projet de loi C‑11
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des transports et des communications au sujet du projet de loi C‑11, la Loi modifiant la Loi sur la radiodiffusion (Loi sur la diffusion continue en ligne), qui conférerait au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) le pouvoir d’imposer des conditions concernant la découvrabilité des émissions canadiennes et des services de programmation canadiens. Étant donné l’incidence que cela pourrait avoir sur la vie privée, le Commissaire a souligné l’importance d’évaluer et d’atténuer les risques dans ce domaine avant que de telles conditions ne soient imposées. Le Comité est du même avis et a amendé le projet de loi de manière à prévoir une obligation de prendre en considération « le droit à la vie privée des individus » et à contraindre le CRTC à protéger ce droit lorsqu’il élabore des règlements à l’intention des radiodiffuseurs.
Coopération avec les autorités canadiennes et étrangères
Le Commissariat travaille en étroite collaboration avec ses homologues au pays et à l’étranger. Compte tenu de la hausse de la circulation de données à l’échelle internationale, les autorités de protection des données reconnaissent la nécessité de promouvoir le droit à la vie privée en tant que droit fondamental et de coopérer sur les questions d’intérêt commun afin d’assurer l’interopérabilité des lois entre les différentes juridictions.
Citons à titre d’exemple 2 enquêtes conjointes lancées en collaboration avec nos homologues du Québec, de la Colombie‑Britannique et de l’Alberta : TikTok et ChatGPT.
Le Commissariat participe par ailleurs à divers forums au Canada et à l’étranger.
Le Commissaire Dufresne et ses homologues provinciaux et territoriaux ont adopté en septembre 2 résolutions importantes. La première visait à encourager la mise en place d’une infrastructure de communication numérique qui permettrait d’éliminer progressivement l’utilisation du télécopieur et du courriel non chiffré. La deuxième demandait à leurs gouvernements et aux parties prenantes concernées de veiller à ce que le droit à la vie privée et le principe de transparence soient pleinement respectés tout au long de la conception, de l’exploitation et de l’évolution d’un écosystème d’identité numérique.
Également avec nos homologues provinciaux et territoriaux, nous avons publié un document d’orientation sur la reconnaissance faciale à l’intention des services de police ainsi qu’une déclaration commune recommandant aux législateurs d’élaborer un cadre juridique qui établit les circonstances dans lesquelles le recours à la technologie de reconnaissance faciale par les services de police peut être acceptable.
Sur la scène internationale, le Commissariat joue un rôle de premier plan dans le cadre de l’Assemblée mondiale pour la protection de la vie privée (AMVP). Le Commissariat préside ou copréside plusieurs groupes de travail de cet organisme, comme le Groupe de travail sur la protection des données et des autres droits et libertés, le Groupe de travail sur le citoyen et le consommateur numérique et le Groupe de travail sur la coopération internationale en matière d’application de la loi.
Le Groupe de travail sur la protection des données et des autres droits et libertés examine les relations entre la protection de la vie privée et les autres droits de la personne. Il a donné en 2022 plusieurs présentations portant sur un rapport narratif, publié en 2021, qui explique le rôle de la protection de la vie privée dans l’exercice des autres droits fondamentaux de la personne.
Pour sa part, le Groupe de travail sur le citoyen et le consommateur numérique explore les recoupements entre la protection de la vie privée et les autres domaines de réglementation. Il a tenu en février 2023 un atelier où les représentants d’organismes de réglementation, de la société civile et d’autres parties prenantes ont pu échanger leurs points de vue sur les liens entre la protection de la vie privée et la concurrence dans l’économie numérique. Un des principaux objectifs du groupe de travail consiste à favoriser la collaboration entre les organismes de réglementation. Mentionnons, par exemple, le nouveau Forum canadien des organismes de réglementation numérique, forum dans le cadre duquel le Commissariat, le Bureau de la concurrence Canada et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) collaborent sur des questions qui concernent les marchés numériques.
Le Groupe de travail sur la coopération internationale en matière d’application de la loi a organisé des séances de discussion portant sur des enjeux comme les lunettes intelligentes et les technologies publicitaires. En juin 2022, le Commissariat et 5 autres membres du groupe ont publié un document d’orientation conjoint à l’intention des organisations et des particuliers afin de leur permettre de se protéger contre les risques associés au bourrage d’identifiants. Le Groupe de travail a également tenu un atelier de renforcement des capacités axé sur la gestion des arriérés d’enquêtes.
Le Commissariat est membre du comité de gestion du Global Privacy Enforcement Network (GPEN – réseau mondial d’application des lois sur la protection de la vie privée). Ce comité favorise l’échange d’information, le renforcement des capacités et la collaboration sur les questions en lien avec l’application de la loi. Le Commissariat héberge le site Web du GPEN et, durant la dernière année, il a partagé de l’information avec d’autres autorités membres du GPEN sur des sujets comme les conclusions de nos enquêtes sur Home Depot et Yahoo.
En octobre dernier, le Commissariat a pris part à la conférence annuelle de l’AMVP, qui se déroulait en Türkiye et qui regroupait plus de 120 autorités de protection des données. Les discussions ont alors porté sur des sujets comme la technologie de reconnaissance faciale, l’intelligence artificielle, les mégadonnées, la surveillance de masse en ligne, les chaînes de blocs, le métavers et les transferts de données transfrontaliers. Les résolutions adoptées portaient entre autres sur l’amélioration de la réglementation en matière de cybersécurité et sur l’utilisation appropriée de la technologie de reconnaissance faciale.
Par ailleurs, le Commissaire Dufresne s’est joint à ses collègues du G7 à la table ronde de 2022 des autorités de protection des données et de la vie privée du G7, qui se tenait en Allemagne. Les participants y ont discuté d’enjeux réglementaires et technologiques dans le contexte de la « libre circulation des données dans la confiance » et partagé leurs connaissances concernant les perspectives d’aménagement d’« espaces internationaux de données ». Le Commissaire y a aussi animé une discussion portant sur les normes de dépersonnalisation.
Le Commissaire Dufresne a également participé au forum des autorités de protection de la vie privée de la zone Asie-Pacifique, qui a eu lieu à Singapour. À cette occasion, le Commissariat a donné une présentation sur l’anonymisation, animé une table ronde sur la protection de la vie privée durant la pandémie et pris part à des échanges sur l’application du principe de responsabilité dans la réglementation sur l’intelligence artificielle.
En outre, le Commissariat communique de l’information sur des questions d’application de la loi particulières selon diverses ententes bilatérales et multilatérales. En 2022‑2023, le Commissariat a élargi son réseau en concluant une entente d’échange de renseignements avec l’autorité de protection des données d’Abu Dhabi.
Programme des contributions
Chaque année, le Commissariat finance diverses initiatives indépendantes de recherche et de sensibilisation du public dans le domaine de la protection de la vie privée au moyen de son Programme des contributions.
Depuis sa création en 2004, ce programme vise à appuyer la recherche indépendante sans but lucratif sur la protection de la vie privée, à poursuivre l’élaboration de politiques en la matière et à favoriser la sensibilisation à la protection des renseignements personnels au Canada.
Pour 2023-2024, le Commissariat a lancé un appel de propositions sur le thème « L’avenir, c’est maintenant! Évaluer et gérer les impacts sur la vie privée des technologies immersives et intégrables ».
Dans le cadre de cet appel, le Commissariat a reçu 44 propositions.
Sensibilisation des Canadiennes et des Canadiens
Sensibilisation
Le Commissariat assure la protection et la promotion du droit à la vie privée grâce à son programme d’éducation et de sensibilisation. En particulier, il veut sensibiliser davantage les Canadiennes et les Canadiens à la nécessité de poser des questions lorsque des organisations cherchent à recueillir et à utiliser leurs renseignements personnels, afin que ceux‑ci puissent savoir pourquoi on leur demande de communiquer ces renseignements.
Le Commissaire Dufresne au Symposium canadien de la protection de la vie privée de l'IAPP 2023, à Toronto. / Anna Kobelak/IAPP
Vie privée des enfants
Le Commissariat a particulièrement à cœur d’aider les enfants et les mineurs à comprendre l’importance de protéger leur vie privée. Il mène diverses activités à l’appui de cet objectif, notamment des campagnes dans les médias sociaux, des campagnes par courriel à l’intention du personnel enseignant et de la publicité dans des magazines destinés aux enfants.
Événements
En raison de la reprise des événements après la pandémie, le Commissariat a tenu cette année des activités en personne dont l’animation dans des kiosques lors de conférences et d’événements visant des groupes clés, comme des bibliothécaires, des membres du personnel enseignant ainsi que des élèves.
Une membre de l'équipe de sensibilisation du Commissariat à une exposition d'une association de bibliothécaires.
Conseils
Le Commissariat a produit des campagnes radiophoniques pour donner au grand public des conseils pour protéger la vie privée. Également, des conseils sur des sujets comme l’Internet des objets et les paramètres de confidentialité ont figuré sur les bordereaux de prêt de livres dans les bibliothèques de partout au pays.
Devant les tribunaux
Commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (T-190-20 et A-129-23) (Cour fédérale et Cour d’appel fédérale); Facebook, Inc. c. Commissaire à la protection de la vie privée du Canada (T-473-20) (Cour fédérale)
Il y a 2 procédures judiciaires distinctes en cours en lien avec l’enquête sur Facebook menée en 2019 par le Commissariat, à l’issue de laquelle celui‑ci avait conclu que Facebook contrevenait à la LPRPDE en omettant, d’une part, d’obtenir un consentement valable des utilisateurs pour communiquer leurs renseignements personnels et, d’autre part, de protéger ces renseignements.
D’abord, le 6 février 2020, le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE (dossier no T‑190‑20) en vue d’obtenir une ordonnance obligeant Facebook à corriger ses pratiques de traitement des renseignements personnels afin de se conformer à la loi fédérale en la matière dans le secteur privé.
Ensuite, le 15 avril 2020, Facebook a présenté une demande de contrôle judiciaire qui conteste la décision du Commissariat d’enquêter et de poursuivre l’enquête ainsi que le processus d’enquête lui-même (dossier no T‑473‑20).
La Cour fédérale a entendu les 2 affaires en mars 2023. Le 13 avril 2023, la Cour a rejeté la demande de contrôle judiciaire de Facebook au motif que l’entreprise n’avait pas présenté sa demande dans les délais prescrits et que le Commissariat n’avait pas manqué à ses obligations en matière d’équité procédurale.
Le 13 avril 2023, la Cour a également rejeté la demande du Commissariat. Elle était d’avis, en particulier, que la preuve était insuffisante pour conclure que Facebook n’avait pas obtenu le consentement valable des utilisateurs.
Le Commissariat a annoncé en mai 2023 qu’il portait en appel la décision de la Cour aux motifs que les enjeux au cœur de cette affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens et que ces enjeux gagneraient à être clarifiés par la Cour d’appel fédérale.
Renvoi visant Google (A‑250‑21) (Cour d’appel fédérale)
En 2018, le Commissariat s’est adressé à la Cour fédérale afin d’obtenir des précisions quant à savoir si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne.
Il a demandé à la Cour d’examiner la question à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant de façon évidente dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom faisait l’objet d’une recherche.
Google a fait valoir que la LPRPDE ne s’applique pas dans ce contexte et que, si elle s’applique et nécessite le déréférencement des articles, cela serait inconstitutionnel.
En juillet 2021, la Cour fédérale a rendu sa décision. Elle s’est dite d’accord avec la position du Commissariat selon laquelle la LPRPDE s’applique au moteur de recherche de Google.
En septembre 2021, Google a porté cette décision en appel. La Cour d’appel fédérale, qui a instruit cet appel en octobre 2022, n’a pas encore rendu sa décision.
Cain c. Canada (Ministre de la Santé) (T‑645‑20 et T‑641‑20) et Hayes c. Canada (Ministre de la Santé) (T‑637‑20)
Santé Canada a reçu des demandes d’information concernant l’inscription de producteurs de cannabis médical, au titre de la Loi sur l’accès à l’information, notamment des demandes de renseignements comme le code postal des producteurs. Selon la position adoptée par ce ministère, il devrait communiquer uniquement le premier caractère des codes postaux, car l’utilisation d’une portion plus complète de ces codes accroîtrait de façon inacceptable le risque de communication de renseignements concernant des individus identifiables.
La Commissaire à l’information du Canada, qui était en désaccord avec la position de Santé Canada, a saisi la Cour fédérale de ce dossier. Le Commissariat est intervenu dans cette affaire afin de recommander un cadre pour la mise en œuvre du critère visant à déterminer s’il y a de fortes probabilités d’identification des individus.
La Cour fédérale a rendu sa décision (en anglais seulement) le 25 janvier 2023. Elle a conclu que le fait de communiquer une portion des codes postaux plus grande qu’uniquement le premier caractère entraînait une forte probabilité qu’un individu puisse être identifié par suite de l’utilisation de ce renseignement, seul ou en combinaison avec d’autres renseignements accessibles. Dans sa décision, la Cour a réitéré qu’elle reconnaissait la nature fondamentale et quasi‑constitutionnelle du droit à la vie privée.
Annexes
Annexe 1 : Définitions
Types de plaintes
- Accès
- À la suite d’une demande officielle d’accès à l’information, l’institution ou l’organisation aurait refusé à une ou à plusieurs personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.
- Avis de prorogation
- En vertu de la LPRP, l’institution n’aurait pas donné une justification appropriée pour la prorogation, aurait fait la demande de prorogation après le délai initial de 30 jours ou aurait fixé l’échéance à plus de 60 jours après la date de réception de la demande.
- Collecte
- L’institution ou l’organisation aurait recueilli des renseignements personnels non nécessaires ou les aurait recueillis par des moyens inéquitables ou illicites.
- Consentement
- En vertu de la LPRPDE, une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement valable de la personne en cause ou, pour le motif qu’elle fournit un bien ou un service, a exigé que la personne consente à une collecte, à une utilisation ou à une communication déraisonnable de renseignements personnels.
- Conservation et retrait
- L’institution ou l’organisation n’aurait pas conservé des renseignements personnels selon le calendrier de conservation pertinent – les renseignements auraient été détruits trop rapidement ou conservés trop longtemps.
- Correction ou annotation (accès)
- L’institution ou l’organisation n’aurait pas corrigé des renseignements personnels ou, en cas de désaccord avec les corrections demandées, n’aurait pas annoté le dossier pour en faire état.
- Correction ou annotation (délais)
- En vertu de la LPRP, l’institution n’aurait pas corrigé les renseignements personnels ou n’aurait pas annoté le dossier en conséquence dans les 30 jours suivant la réception de la demande de correction.
- Délais
- L’institution n’aurait pas répondu à une demande dans les délais prescrits par la LPRP.
- Détermination des fins de la collecte des renseignements
- En vertu de la LPRPDE, une organisation n’a pas déterminé les fins de la collecte de renseignements personnels avant la collecte ou au moment de celle-ci.
- Exactitude
- L’institution ou l’organisation n’aurait pas pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés sont exacts, à jour et complets.
- Frais
- L’institution ou l’organisation aurait exigé indûment des frais pour répondre à une demande d’accès à des renseignements personnels.
- Langue
- En réponse à une demande présentée en vertu de la LPRP, l’institution n’aurait pas fourni les renseignements personnels dans la langue officielle choisie par le demandeur.
- Mesures de protection
- En vertu de la LPRPDE, une organisation n’a pas protégé par des mesures de protection appropriées les renseignements personnels qu’elle détient.
- Possibilité de porter plainte
- En vertu de la LPRPDE, une organisation n’a pas mis en place des procédures ou des politiques permettant à une personne de porter plainte à l’égard du non-respect de la Loi ou elle a enfreint ses propres procédures et politiques.
- Répertoire
- InfoSource (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur le même sujet – qu’elle possède) ne décrirait pas de façon adéquate le fonds de renseignements personnels d’une institution.
- Responsabilité
- En vertu de la LPRPDE, une organisation ne s’est pas acquittée de ses responsabilités à l’égard des renseignements personnels en sa possession ou sous sa garde ou elle n’a pas désigné une personne responsable de s’assurer qu’elle se conforme à la Loi.
- Transparence
- En vertu de la LPRPDE, une organisation n’a pas rendu facilement accessibles aux demandeurs des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
- Utilisation et communication
- L’institution ou l’organisation aurait utilisé ou communiqué des renseignements personnels sans le consentement de la personne en cause ou les aurait utilisés ou communiqués de façon non conforme aux usages et aux communications prévus par la loi.
Décisions
- Fondée
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE.
- Fondée et résolue
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE, mais elle a par la suite pris des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
- Fondée et conditionnellement résolue
- L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE. L’institution ou l’organisation s’est engagée à mettre en œuvre des mesures correctives satisfaisantes approuvées par le Commissariat.
- Non fondée
- L’enquête n’a pas mis au jour des éléments de preuve suffisants pour conclure que l’institution ou l’organisation a enfreint une loi sur la protection des renseignements personnels.
- Résolue
- En vertu de la LPRP, l’enquête a révélé que la plainte découle essentiellement d’une mauvaise communication, d’un malentendu, etc., entre les parties, et/ou l’institution a accepté de prendre des mesures pour remédier à la situation à la satisfaction du Commissariat.
- Réglée
- Le Commissariat a aidé à négocier en cours d’enquête une solution satisfaisante pour toutes les parties en cause et n’a publié aucune conclusion.
- Abandonnée
- En vertu de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que le plaignant ne veuille plus poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’il fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.
En vertu de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le Commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.
- Hors du champ d’application
- On a déterminé qu’aucune loi fédérale sur la protection des renseignements personnels ne s’applique à l’institution ou à l’organisation ou ne régit l’objet de la plainte. Par conséquent, le Commissariat ne produit aucun rapport.
- Règlement rapide (RR)
- La situation a été réglée à la satisfaction du plaignant dès le début du processus d’enquête. Le Commissariat n’a publié aucune conclusion.
- Refus d’enquêter
- En vertu de la LPRPDE, le Commissaire a refusé d’amorcer l’examen d’une plainte, car il estime :
- que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement offerts;
- que la plainte pourrait avantageusement être instruite selon d’autres procédures prévues par le droit fédéral ou provincial; ou,
- que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, comme le prévoit l’article 12(1) de la LPRPDE.
- Retrait
- En vertu de la LPRPDE, le plaignant a retiré sa plainte volontairement ou ne pouvait plus être joint dans les faits. Le Commissariat ne publie aucun rapport.
Annexe 2 : Tableaux statistiques
Tableaux relatifs à la LPRP
Tableau 1 – Décisions sur les plaintes relatives à l’accès et à la protection des renseignements personnels en vertu de la LPRP, par institution fédérale
Intimé |
Abandonnée
|
Non fondée
|
Résolue
|
Réglée
|
Fondée
|
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait
|
Total |
Administration canadienne de la sûreté du transport aérien |
|
|
1 |
|
|
|
1 |
|
2 |
Affaires mondiales Canada |
|
1 |
2 |
|
|
|
|
|
3 |
Agence de la santé publique du Canada |
|
|
3 |
|
|
|
|
|
3 |
Agence des services frontaliers du Canada |
|
|
14 |
|
1 |
1 |
2 |
|
18 |
Agence du revenu du Canada |
|
3 |
13 |
|
|
|
3 |
1 |
20 |
Anciens Combattants Canada |
|
|
8 |
1 |
|
|
|
|
9 |
Bibliothèque et Archives Canada |
|
|
4 |
|
|
|
|
|
4 |
Bureau de l’Ombudsman du ministère de la Défense nationale et des Forces armées canadiennes |
|
|
1 |
|
|
|
|
|
1 |
Bureau du Conseil privé |
1 |
1 |
1 |
|
|
|
|
|
3 |
Bureau du vérificateur général du Canada |
2 |
|
|
|
|
|
|
|
2 |
Centre de la sécurité des télécommunications |
|
2 |
2 |
|
|
|
|
|
4 |
Centre de recherches pour le développement international |
1 |
|
|
|
|
|
|
|
1 |
Comité externe d’examen des griefs militaires |
1 |
|
|
|
|
|
|
|
1 |
Commissariat à l’information du Canada |
2 |
|
|
|
|
|
|
|
2 |
Commission canadienne des droits de la personne |
|
3 |
1 |
|
|
|
1 |
|
5 |
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
|
|
2 |
|
|
|
|
|
2 |
Commission d’examen des plaintes concernant la police militaire du Canada |
1 |
|
|
|
|
|
|
|
1 |
Commission de l’immigration et du statut de réfugié du Canada |
|
|
|
|
1 |
|
|
|
1 |
Commission de la fonction publique |
1 |
|
1 |
|
|
|
|
|
2 |
Conseil national de recherches Canada |
|
|
|
|
|
1 |
|
|
1 |
Défense nationale |
2 |
5 |
10 |
2 |
|
1 |
|
|
20 |
École de la fonction publique du Canada |
|
|
|
|
|
|
1 |
|
1 |
Élections Canada / Bureau du directeur général des élections |
|
|
1 |
|
|
|
|
|
1 |
Emploi et Développement social Canada |
1 |
|
14 |
|
|
|
2 |
|
17 |
Gendarmerie royale du Canada |
3 |
5 |
43 |
1 |
1 |
|
1 |
|
54 |
Immigration, Réfugiés et Citoyenneté Canada |
|
1 |
34 |
|
|
1 |
|
|
36 |
Innovation, Sciences et Développement économique Canada |
|
|
2 |
|
|
|
|
|
2 |
Ministère de la Justice |
|
1 |
3 |
1 |
|
|
|
|
5 |
Pêches et Océans Canada |
|
|
8 |
|
|
|
|
|
8 |
Régie de l’énergie du Canada |
|
|
1 |
|
|
|
|
|
1 |
Relations Couronne-Autochtones et Affaires du Nord Canada |
|
|
9 |
|
|
|
|
|
9 |
Ressources naturelles Canada |
|
|
2 |
|
|
|
|
|
2 |
Santé Canada |
|
1 |
10 |
|
|
|
|
|
11 |
Secrétariat du Conseil du Trésor du Canada |
2 |
|
20 |
1 |
|
2 |
|
|
25 |
Sécurité publique Canada |
1 |
|
1 |
|
|
|
|
|
2 |
Service Canada |
|
|
4 |
|
|
|
|
|
4 |
Service canadien d’appui aux tribunaux administratifs |
1 |
|
4 |
|
|
|
1 |
|
6 |
Service canadien du renseignement de sécurité |
|
4 |
7 |
|
|
|
|
|
11 |
Service correctionnel Canada |
|
12 |
48 |
2 |
1 |
1 |
2 |
|
66 |
Service des poursuites pénales du Canada |
|
1 |
|
|
|
|
|
|
1 |
Services aux Autochtones Canada |
|
|
3 |
1 |
|
1 |
1 |
|
6 |
Services partagés Canada |
|
1 |
|
|
|
1 |
|
|
2 |
Services publics et Approvisionnement Canada |
1 |
|
9 |
2 |
|
|
1 |
|
13 |
Société canadienne des postes |
|
|
8 |
|
|
|
2 |
|
10 |
Société immobilière du Canada Limitée |
1 |
|
|
|
|
|
|
|
1 |
Société Radio-Canada |
|
|
1 |
1 |
|
|
|
|
2 |
Statistique Canada |
|
|
2 |
|
|
|
|
|
2 |
Téléfilm Canada |
|
|
1 |
|
|
|
|
|
1 |
Transports Canada |
|
|
3 |
|
|
1 |
|
|
4 |
Tribunal des anciens combattants (révision et appel) |
|
|
1 |
|
|
|
|
|
1 |
Total |
21 |
41 |
302 |
12 |
4 |
10 |
18 |
1 |
409 |
Tableau 2 – Enquêtes en vertu de la LPRP – Délais de traitement moyens, par type de plainte et de règlement
Type de plainte |
Règlement rapide |
Autres règlements |
Toutes les enquêtes |
Nombre |
Délai de traitement moyen, en mois |
Nombre |
Délai de traitement moyen, en mois |
Nombre |
Délai de traitement moyen, en mois |
Accès |
146 |
8,9 |
60 |
15,8 |
206 |
10,9 |
Accès |
144 |
8,9 |
58 |
15,8 |
202 |
10,9 |
Correction ou annotation |
2 |
10,1 |
1 |
22,8 |
3 |
14,4 |
Répertoire |
|
|
1 |
11,5 |
1 |
11,5 |
Protection des renseignements personnels |
152 |
6,8 |
51 |
18,8 |
203 |
9,8 |
Exactitude |
3 |
5,0 |
|
|
3 |
5,0 |
Collecte |
18 |
7,9 |
15 |
25,7 |
33 |
16,0 |
Conservation et retrait |
4 |
5,4 |
2 |
17,6 |
6 |
9,5 |
Utilisation et communication |
127 |
6,7 |
34 |
15,9 |
161 |
8,6 |
Délais |
171 |
1,3 |
419 |
2,4 |
590 |
2,1 |
Correction – Délais |
1 |
6,6 |
|
|
1 |
6,6 |
Avis de prorogation |
|
|
3 |
0,9 |
3 |
0,9 |
Délais |
170 |
1,3 |
416 |
2,4 |
586 |
2,1 |
Total |
469 |
5,4 |
530 |
5,5 |
999 |
5,5 |
Tableau 3 – Délais de traitement des plaintes en vertu de la LPRP – Tous les dossiers fermés, par décision
Type de plainte |
Nombre |
Délai de traitement moyen, en mois |
Règlement rapide |
469 |
5,4 |
Autres règlements |
530 |
5,5 |
Abandonnée |
37 |
6,9 |
Non fondée |
41 |
17,0 |
Résolue |
5 |
11,4 |
Réglée |
12 |
20,9 |
Fondée |
4 |
18,4 |
Fondée et conditionnellement résolue |
182 |
2,9 |
Fondée – Présomption de refus |
58 |
4,3 |
Fondée et résolue |
190 |
4,0 |
Retrait |
1 |
21,4 |
Total |
999 |
5,5 |
Tableau 4 – Atteintes en vertu de la LPRP, par institution
Intimé |
Nombre d’incidents |
Affaires mondiales Canada |
6 |
Agence du revenu du Canada |
30 |
Anciens Combattants Canada |
1 |
Bibliothèque et Archives Canada |
2 |
Bureau du secrétaire du gouverneur général |
1 |
Bureau du vérificateur général du Canada |
1 |
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
1 |
Commission de l’immigration et du statut de réfugié du Canada |
1 |
Commission de la fonction publique |
10 |
Construction de Défense Canada |
1 |
Défense nationale |
1 |
Emploi et Développement social Canada |
196 |
Financement agricole Canada |
1 |
Gendarmerie royale du Canada |
6 |
Immigration, Réfugiés et Citoyenneté Canada |
7 |
Pêches et Océans Canada |
4 |
Régie de l’énergie du Canada |
1 |
Ressources naturelles Canada |
3 |
Santé Canada |
1 |
Secrétariat du Conseil du Trésor du Canada |
1 |
Service canadien du renseignement de sécurité |
2 |
Service correctionnel Canada |
14 |
Service des poursuites pénales du Canada |
3 |
Services partagés Canada |
1 |
Société canadienne des postes |
2 |
Transports Canada |
1 |
Total |
298 |
Tableau 5 – Plaintes et atteintes en vertu de la LPRP
Catégorie |
Total |
Acceptées |
Accès |
332 |
Protection des renseignements personnels |
252 |
Délais |
657 |
Total des plaintes acceptées |
1241 |
Fermées à la suite d’un règlement rapide |
Accès |
146 |
Protection des renseignements personnels |
152 |
Délais |
171 |
Total |
469 |
Fermées à la suite d’autres règlements |
Accès |
60 |
Protection des renseignements personnels |
51 |
Délais |
419 |
Total |
530 |
Total des plaintes fermées |
999 |
Atteintes signalées |
Communication non autorisée |
99 |
Perte |
132 |
Vol |
2 |
Accès non autorisé |
65 |
Total des atteintes signalées |
298 |
Tableau 6 – Plaintes en vertu de la LPRP acceptées, par type de plainte
Type de plainte |
Règlement rapide |
Enquête sommaire* |
Enquête officielle |
Total |
Nombre
|
Pourcentage
|
Nombre
|
Pourcentage
|
Nombre
|
Pourcentage
|
Nombre
|
Pourcentage
|
Accès |
Accès |
267 |
40 % |
12 |
3 % |
50 |
45 % |
329 |
27 % |
Correction ou annotation |
3 |
0 % |
|
|
|
|
3 |
0 % |
Protection des renseignements personnels |
Exactitude |
2 |
0 % |
|
|
2 |
2 % |
4 |
0 % |
Collecte |
23 |
3 % |
|
|
12 |
11 % |
35 |
3 % |
Conservation et retrait |
6 |
1 % |
|
|
|
|
6 |
0 % |
Utilisation et communication |
158 |
24 % |
1 |
0 % |
48 |
43 % |
207 |
17 % |
Délais |
Avis de prorogation |
|
|
8 |
2 % |
|
|
8 |
1 % |
Délais |
213 |
32 % |
436 |
95 % |
|
|
649 |
52 % |
Total |
672 |
100 % |
457 |
100 % |
112 |
100 % |
1241 |
100 % |
* Les enquêtes sommaires sont des enquêtes plus courtes qui se soldent par la publication d’un bref rapport ou d’une lettre de conclusions. |
Tableau 7 – Les 10 institutions fédérales visées par le plus grand nombre de plaintes acceptées en vertu de la LPRP par année financière
Intimé |
2017-2018 |
2018-2019 |
2019-2020 |
2020-2021 |
2021-2022 |
2022-2023 |
Gendarmerie royale du Canada |
232 |
273 |
176 |
186 |
179 |
262 |
Service correctionnel Canada |
440 |
426 |
155 |
130 |
182 |
199 |
Immigration, Réfugiés et Citoyenneté Canada |
29 |
59 |
44 |
47 |
49 |
131 |
Agence du revenu du Canada |
63 |
79 |
63 |
40 |
48 |
79 |
Agence des services frontaliers du Canada |
76 |
109 |
42 |
48 |
53 |
78 |
Défense nationale |
93 |
121 |
33 |
51 |
53 |
74 |
Emploi et Développement social Canada |
24 |
39 |
25 |
41 |
26 |
54 |
Services publics et Approvisionnement Canada |
49 |
27 |
70 |
42 |
19 |
36 |
Affaires mondiales Canada |
2 |
20 |
19 |
18 |
11 |
26 |
Société canadienne des postes |
33 |
29 |
4 |
22 |
45 |
23 |
Total |
1041 |
1182 |
631 |
625 |
665 |
962 |
Tableau 8 – Plaintes en vertu de la LPRP acceptées, par institution
Intimé |
Règlement rapide
|
Enquête sommaire |
Enquête officielle
|
Total |
Administration canadienne de la sûreté du transport aérien |
1 |
|
1 |
2 |
Administration portuaire de Halifax |
1 |
|
|
1 |
Affaires mondiales Canada |
16 |
4 |
6 |
26 |
Agence canadienne d’inspection des aliments |
2 |
1 |
1 |
4 |
Agence de la santé publique du Canada |
12 |
2 |
5 |
19 |
Agence des services frontaliers du Canada |
37 |
33 |
8 |
78 |
Agence d'évaluation d'impact du Canada |
3 |
|
|
3 |
Agence du revenu du Canada |
51 |
20 |
8 |
79 |
Anciens Combattants Canada |
10 |
|
3 |
13 |
Bibliothèque et Archives Canada |
8 |
2 |
|
10 |
Bureau de l’Ombudsman du ministère de la Défense nationale et des Forces armées canadiennes |
1 |
|
|
1 |
Bureau de l'enquêteur correctionnel du Canada |
1 |
|
|
1 |
Bureau du Conseil privé |
1 |
3 |
|
4 |
Bureau du surintendant des institutions financières |
|
1 |
1 |
2 |
Centre canadien d'hygiène et de sécurité au travail |
1 |
|
|
1 |
Centre d’analyse des opérations et déclarations financières du Canada |
|
|
1 |
1 |
Centre de la sécurité des télécommunications |
4 |
2 |
|
6 |
Centre de recherches pour le développement international |
|
|
1 |
1 |
Comité externe d’examen des griefs militaires |
|
|
1 |
1 |
Commissariat à l’information du Canada |
|
|
3 |
3 |
Commissariat à l’intégrité du secteur public du Canada |
|
|
1 |
1 |
Commission canadienne des droits de la personne |
1 |
|
2 |
3 |
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
3 |
|
|
3 |
Commission d’examen des plaintes concernant la police militaire du Canada |
1 |
|
1 |
2 |
Commission de l’immigration et du statut de réfugié du Canada |
3 |
3 |
4 |
10 |
Commission de la fonction publique |
1 |
3 |
1 |
5 |
Commission des libérations conditionnelles du Canada |
3 |
|
|
3 |
Conseil de recherches en sciences humaines |
1 |
|
|
1 |
Conseil national de recherches Canada |
2 |
|
1 |
3 |
Construction de Défense Canada |
1 |
|
|
1 |
Défense nationale |
41 |
30 |
3 |
74 |
Développement économique Canada pour le Pacifique |
|
|
3 |
3 |
Développement économique Canada pour les Prairies |
|
1 |
|
1 |
Élections Canada / Bureau du directeur général des élections |
1 |
|
|
1 |
Emploi et Développement social Canada |
41 |
8 |
5 |
54 |
Environnement et Changement climatique Canada |
5 |
|
|
5 |
Gendarmerie royale du Canada |
99 |
151 |
12 |
262 |
Gouvernement fédéral du Canada |
1 |
|
|
1 |
Immigration, Réfugiés et Citoyenneté Canada |
72 |
53 |
6 |
131 |
Innovation, Sciences et Développement économique Canada |
4 |
|
1 |
5 |
Instituts de recherche en santé du Canada |
|
2 |
|
2 |
Ministère de la Justice |
5 |
6 |
|
11 |
Musée canadien pour les droits de la personne |
1 |
|
|
1 |
Office de surveillance des activités en matière de sécurité nationale et de renseignement |
|
1 |
8 |
9 |
Office des transports du Canada |
1 |
1 |
|
2 |
Parcs Canada |
1 |
|
|
1 |
Passeport Canada |
2 |
|
1 |
3 |
Pêches et Océans Canada |
16 |
2 |
2 |
20 |
Régie de l’énergie du Canada |
1 |
|
|
1 |
Relations Couronne-Autochtones et Affaires du Nord Canada |
5 |
2 |
|
7 |
Ressources naturelles Canada |
1 |
|
1 |
2 |
Santé Canada |
14 |
1 |
1 |
16 |
Secrétariat du Conseil du Trésor du Canada |
19 |
|
3 |
22 |
Sécurité publique Canada |
|
|
1 |
1 |
Service Canada |
5 |
|
|
5 |
Service canadien d’appui aux tribunaux administratifs |
2 |
|
|
2 |
Service canadien du renseignement de sécurité |
7 |
3 |
3 |
13 |
Service correctionnel Canada |
94 |
99 |
6 |
199 |
Service des poursuites pénales du Canada |
1 |
|
|
1 |
Services aux Autochtones Canada |
7 |
2 |
|
9 |
Services de bien-être et moral des Forces canadiennes / Biens non publics et Personnel des fonds non publics des Forces canadiennes |
1 |
|
|
1 |
Services partagés Canada |
1 |
2 |
2 |
5 |
Services publics et Approvisionnement Canada |
24 |
10 |
2 |
36 |
Société canadienne des postes |
21 |
2 |
|
23 |
Société Radio-Canada |
1 |
|
|
1 |
Statistique Canada |
5 |
2 |
2 |
9 |
Trans Mountain Corporation |
|
|
1 |
1 |
Transports Canada |
7 |
5 |
|
12 |
VIA Rail Canada |
1 |
|
|
1 |
Total |
672 |
457 |
112 |
1241 |
Tableau 9 – Décisions en vertu de la LPRP, par type de plainte
Type de plainte |
Abandonnée
|
Non fondée
|
Résolue
|
Réglée
|
Fondée
|
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Retrait
|
Total |
Accès |
8 |
31 |
148 |
7 |
|
1 |
|
11 |
|
206 |
Accès |
7 |
31 |
146 |
7 |
|
|
|
11 |
|
202 |
Correction ou annotation |
1 |
|
2 |
|
|
|
|
|
|
3 |
Répertoire |
|
|
|
|
|
1 |
|
|
|
1 |
Protection des renseignements personnels |
13 |
10 |
154 |
5 |
4 |
9 |
|
7 |
1 |
203 |
Exactitude |
|
|
3 |
|
|
|
|
|
|
3 |
Collecte |
3 |
8 |
19 |
|
|
1 |
|
2 |
|
33 |
Conservation et retrait |
1 |
|
4 |
1 |
|
|
|
|
|
6 |
Utilisation et communication |
9 |
2 |
128 |
4 |
4 |
8 |
|
5 |
1 |
161 |
Délais |
16 |
|
172 |
|
|
172 |
58 |
172 |
|
590 |
Correction – Délais |
|
|
1 |
|
|
|
|
|
|
1 |
Avis de prorogation |
|
|
|
|
|
|
|
3 |
|
3 |
Délais |
16 |
|
171 |
|
|
172 |
58 |
169 |
|
586 |
Total |
37 |
41 |
474 |
12 |
4 |
182 |
58 |
190 |
1 |
999 |
Tableau 10 – Décisions sur les plaintes relatives aux délais en vertu de la LPRP, par institution
Intimé |
Abandonnée
|
Résolue
|
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Total |
Administration canadienne de la sûreté du transport aérien |
|
1 |
|
|
|
1 |
Affaires mondiales Canada |
|
8 |
1 |
3 |
1 |
13 |
Agence de la santé publique du Canada |
|
2 |
|
1 |
1 |
4 |
Agence des services frontaliers du Canada |
2 |
13 |
10 |
6 |
10 |
41 |
Agence du revenu du Canada |
|
13 |
8 |
|
8 |
29 |
Bibliothèque et Archives Canada |
|
4 |
|
|
2 |
6 |
Bureau de l'enquêteur correctionnel du Canada |
|
1 |
|
|
|
1 |
Bureau du Conseil privé |
|
|
|
|
2 |
2 |
Centre de la sécurité des télécommunications |
2 |
|
|
|
|
2 |
Commission canadienne des droits de la personne |
|
1 |
|
|
|
1 |
Commission civile d'examen et de traitement des plaintes relatives à la GRC |
|
1 |
|
|
|
1 |
Défense nationale |
1 |
15 |
16 |
3 |
9 |
44 |
Emploi et Développement social Canada |
|
5 |
4 |
|
1 |
10 |
Environnement et Changement climatique Canada |
|
1 |
|
|
|
1 |
Gendarmerie royale du Canada |
2 |
38 |
47 |
31 |
64 |
182 |
Immigration, Réfugiés et Citoyenneté Canada |
7 |
35 |
2 |
3 |
40 |
87 |
Instituts de recherche en santé du Canada |
|
|
1 |
|
|
1 |
Ministère de la Justice |
|
1 |
2 |
3 |
1 |
7 |
Musée canadien pour les droits de la personne |
|
1 |
|
|
|
1 |
Office des transports du Canada |
|
|
|
|
1 |
1 |
Pêches et Océans Canada |
|
1 |
1 |
|
1 |
3 |
Relations Couronne-Autochtones et Affaires du Nord Canada |
|
|
|
|
1 |
1 |
Santé Canada |
|
1 |
|
|
|
1 |
Service correctionnel Canada |
1 |
19 |
76 |
6 |
15 |
117 |
Services aux Autochtones Canada |
|
|
1 |
|
|
1 |
Services de bien-être et moral des Forces canadiennes / Biens non publics et Personnel des fonds non publics des Forces canadiennes |
|
1 |
|
|
|
1 |
Services partagés Canada |
|
|
|
1 |
1 |
2 |
Services publics et Approvisionnement Canada |
|
7 |
|
|
10 |
17 |
Société canadienne des postes |
|
1 |
|
1 |
2 |
4 |
Statistique Canada |
|
|
|
|
1 |
1 |
Transports Canada |
1 |
2 |
3 |
|
1 |
7 |
Total |
16 |
172 |
172 |
58 |
172 |
590 |
Tableaux relatifs à la LPRPDE
Tableau 1 – Plaintes en vertu de la LPRPDE acceptées, par secteur de l’industrie
Secteur de l’industrie |
Nombre |
Proportion de l’ensemble des plaintes acceptées |
Aliments et boissons |
5 |
1 % |
Assurances |
22 |
5 % |
Construction |
1 |
0 % |
Divertissement |
12 |
3 % |
Édition (sauf Internet) |
9 |
2 % |
Extraction minière et extraction de pétrole et de gaz |
1 |
0 % |
Fabrication |
10 |
2 % |
Finances |
116 |
26 % |
Gouvernement |
4 |
1 % |
Hébergement |
19 |
4 % |
Internet |
55 |
12 % |
Location |
2 |
0 % |
Non précisé |
14 |
3 % |
Organismes sans but lucratif |
2 |
0 % |
Professionnels |
26 |
6 % |
Santé |
24 |
5 % |
Services |
36 |
8 % |
Télécommunications |
38 |
8 % |
Transports |
22 |
5 % |
Ventes et détail |
36 |
8 % |
Total |
454 |
100 % |
Tableau 2 – Plaintes en vertu de la LPRPDE acceptées, par type de plainte
Type de plainte |
Nombre |
Proportion de l’ensemble des plaintes acceptées |
Accès |
120 |
26 % |
Collecte |
39 |
9 % |
Consentement |
63 |
14 % |
Conservation |
43 |
9 % |
Correction ou annotation |
9 |
2 % |
Délais |
67 |
15 % |
Exactitude |
4 |
1 % |
Mesures de protection |
11 |
2 % |
Responsabilité |
4 |
1 % |
Transparence |
2 |
0 % |
Utilisation et communication |
92 |
20 % |
Total |
454 |
100 % |
Tableau 3 – Dossiers d’enquête liés à la LPRPDE fermés, par secteur de l’industrie et décision
Secteur de l’industrie |
Réglée rapidement
|
Abandonnée (article 12.2) |
Hors du champ d'application
|
Non fondée
|
Réglée
|
Fondée
|
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait
|
Total |
Aliments et boissons |
3 |
|
|
1 |
|
|
1 |
|
1 |
6 |
Assurances |
15 |
3 |
|
2 |
|
|
|
1 |
1 |
22 |
Construction |
1 |
|
|
|
|
|
|
|
|
1 |
Divertissement |
5 |
|
|
|
1 |
|
|
|
|
6 |
Édition (sauf Internet) |
2 |
2 |
|
|
|
2 |
|
|
|
6 |
Extraction minière et extraction de pétrole et de gaz |
1 |
|
|
|
|
|
|
|
|
1 |
Fabrication |
1 |
|
|
|
|
|
|
|
|
1 |
Finances |
71 |
7 |
1 |
5 |
10 |
1 |
3 |
2 |
1 |
101 |
Gouvernement |
3 |
|
|
|
|
|
|
1 |
|
4 |
Hébergement |
21 |
2 |
|
|
6 |
|
2 |
|
|
31 |
Internet |
28 |
|
|
|
|
|
|
|
3 |
31 |
Location |
|
1 |
|
1 |
|
|
|
|
|
2 |
Non précisé |
2 |
|
|
|
|
|
|
|
|
2 |
Organismes sans but lucratif |
1 |
|
|
|
|
|
|
|
|
1 |
Professionnels |
19 |
2 |
|
2 |
|
1 |
|
|
|
24 |
Santé |
3 |
1 |
|
1 |
1 |
|
|
|
9 |
15 |
Services |
24 |
2 |
|
1 |
|
|
|
|
2 |
29 |
Télécommunications |
39 |
2 |
|
|
1 |
|
|
1 |
1 |
44 |
Transports |
21 |
1 |
|
1 |
1 |
|
1 |
|
1 |
26 |
Ventes et détail |
22 |
2 |
|
2 |
1 |
1 |
|
2 |
1 |
31 |
Total |
282 |
25 |
1 |
16 |
21 |
5 |
7 |
7 |
20 |
384 |
Tableau 4 – Dossiers d’enquête en vertu de la LPRPDE fermés par type de plainte et décision
Secteur de l’industrie |
Réglée rapidement
|
Abandonnée (article 12.2) |
Hors du champ d'application
|
Non fondée
|
Réglée
|
Fondée
|
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait
|
Total |
Accès |
67 |
10 |
1 |
6 |
1 |
1 |
2 |
3 |
2 |
93 |
Collecte |
34 |
2 |
|
4 |
|
|
1 |
|
1 |
42 |
Consentement |
26 |
3 |
|
1 |
9 |
|
2 |
1 |
2 |
44 |
Conservation |
21 |
1 |
|
|
2 |
|
|
|
|
24 |
Correction ou annotation |
6 |
|
|
|
1 |
|
|
|
|
7 |
Délais |
45 |
|
|
1 |
|
|
|
|
9 |
55 |
Exactitude |
2 |
|
|
|
|
|
|
|
1 |
3 |
Fins acceptables |
|
|
|
|
|
|
|
|
1 |
1 |
Mesures de protection |
13 |
|
|
|
7 |
1 |
2 |
1 |
1 |
25 |
Responsabilité |
1 |
1 |
|
|
|
|
|
|
|
2 |
Transparence |
1 |
|
|
|
|
|
|
|
|
1 |
Utilisation et communication |
66 |
8 |
|
4 |
1 |
3 |
|
2 |
3 |
87 |
Total |
282 |
25 |
1 |
16 |
21 |
5 |
7 |
7 |
20 |
384 |
Tableau 5 – Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par décision
Décision |
Nombre |
Délai de traitement moyen, en mois |
Résolue par règlement rapide |
282 |
7,8 |
Abandonnée (article 12.2) |
25 |
10,9 |
Hors du champ d’application |
1 |
6,7 |
Non fondée |
16 |
12,6 |
Réglée |
21 |
11,2 |
Fondée |
5 |
13,5 |
Fondée et conditionnellement résolue |
7 |
36,2 |
Fondée et résolue |
7 |
16,1 |
Retrait |
20 |
8,9 |
Total |
384 |
|
Moyenne générale pondérée |
|
9,2 |
Tableau 6 – Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par type de plainte et de règlement
Type de plainte |
Règlement rapide |
Autres règlements |
Toutes les enquêtes |
Nombre |
Délai de traitement moyen, en mois |
Nombre |
Délai de traitement moyen, en mois |
Nombre |
Délai de traitement moyen, en mois |
Accès |
67 |
8,4 |
26 |
11,9 |
93 |
9,4 |
Collecte |
34 |
8,8 |
8 |
13,0 |
42 |
9,6 |
Consentement |
26 |
8,5 |
18 |
17,2 |
44 |
12,0 |
Conservation |
21 |
7,7 |
3 |
9,6 |
24 |
8,0 |
Correction ou annotation |
6 |
9,8 |
1 |
10,2 |
7 |
9,9 |
Délais |
45 |
5,2 |
10 |
4,8 |
55 |
5,1 |
Exactitude |
2 |
8,4 |
1 |
48,4 |
3 |
21,7 |
Fins acceptables |
|
|
1 |
17,6 |
1 |
17,6 |
Mesures de protection |
13 |
9,3 |
12 |
19,4 |
25 |
14,1 |
Responsabilité |
1 |
10,1 |
1 |
9,4 |
2 |
9,8 |
Transparence |
1 |
9,6 |
|
|
1 |
9,6 |
Utilisation et communication |
66 |
7,8 |
21 |
10,1 |
87 |
8,4 |
Total |
282 |
7,8 |
102 |
13,0 |
384 |
9,2 |
Tableau 7 – Déclarations des atteintes en vertu de la LPRPDE, par secteur de l’industrie et type d’incident
Secteur |
Type d’incident |
Perte
|
Vol
|
Accès non autorisé |
Communication non autorisée |
Total des incidents par secteur |
Proportion de l’ensemble des incidents* |
Agriculture, foresterie, chasse et pêche |
|
|
1 |
|
1 |
0 % |
Aliments et boissons |
|
|
9 |
|
9 |
1 % |
Assurances |
5 |
3 |
10 |
28 |
46 |
7 % |
Construction |
1 |
1 |
6 |
|
8 |
1 % |
Divertissement |
|
|
8 |
|
8 |
1 % |
Édition (sauf Internet) |
|
|
15 |
2 |
17 |
2 % |
Extraction minière et extraction de pétrole et de gaz |
|
|
4 |
1 |
5 |
1 % |
Fabrication |
|
|
26 |
1 |
27 |
4 % |
Finances |
12 |
12 |
105 |
56 |
185 |
27 % |
Gouvernement |
|
1 |
5 |
1 |
7 |
1 % |
Hébergement |
|
|
7 |
1 |
8 |
1 % |
Internet |
|
1 |
9 |
3 |
13 |
2 % |
Organismes sans but lucratif |
1 |
4 |
23 |
8 |
36 |
5 % |
Professionels |
2 |
4 |
37 |
25 |
68 |
10 % |
Santé |
2 |
|
11 |
10 |
23 |
3 % |
Services |
|
1 |
22 |
7 |
30 |
4 % |
Télécommunications |
|
|
101 |
14 |
115 |
17 % |
Transports |
|
|
15 |
2 |
17 |
2 % |
Ventes et détail |
6 |
3 |
37 |
12 |
58 |
9 % |
Total |
29 |
30 |
451 |
171 |
681 |
|
* Les nombres ayant été arrondis, leur somme pourrait ne pas correspondre aux totaux indiqués. |
Tableau 8 – Nombre de comptes canadiens touchés par type d’incident
Type d’incident |
Nombre de comptes touchés |
Perte |
867 |
Vol |
3 630 |
Accès non autorisé |
10 222 970 |
Communication non autorisée* |
2 047 639 |
Total |
12 275 106 |
* Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRPDE, que ce soit intentionnellement ou accidentellement. Ce terme a été remplacé par « communication non autorisée », conformément au libellé de la LPRPDE, mais le sens demeure le même. |
Annexe 3 : Lois essentiellement similaires
En vertu du paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques ( ), le Commissariat à la protection de la vie privée du Canada doit déposer chaque année au Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires ».
En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de la partie 1 de cette loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province ayant adopté une loi provinciale « essentiellement similaire » à la partie 1 de la LPRPDE.
Le 3 août 2002, Industrie Canada (maintenant connu sous le nom d’Innovation, Sciences et Développement économique Canada) a publié le Processus de détermination du caractère « essentiellement similaire » d’une loi provinciale par le gouverneur en conseil. On y présente la politique et les critères utilisés pour déterminer si une loi provinciale sera considérée comme essentiellement similaire. En vertu de la politique, les lois essentiellement similaires :
- fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
- intègrent les 10 principes de l’annexe 1 de la LPRPDE;
- fournissent un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
- restreignent la collecte, l’utilisation et la communication des renseignements personnels à des fins appropriées et légitimes.
Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la partie 1 de la LPRPDE en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels à l’intérieur de la province en cause.
La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province en cause ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.
Les lois provinciales considérées comme essentiellement similaires à la partie 1 de la LPRPDE sont les suivantes :
- Loi sur la protection des renseignements personnels dans le secteur privé du Québec;
- Personal Information Protection Act de la Colombie-Britannique;
- Personal Information Protection Act de l’Alberta;
- Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (dépositaires de renseignements sur la santé);
- Loi sur l’accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (dépositaires de renseignements sur la santé);
- Personal Health Information Act de Terre-Neuve-et-Labrador (dépositaires de renseignements sur la santé);
- Personal Health Information Act de la Nouvelle-Écosse (dépositaires de renseignements sur la santé).
Annexe 4 : Rapport de la commissaire spéciale à la protection de la vie privée
En ma qualité de commissaire spéciale à la protection de la vie privée, mon rôle consiste à examiner des cas où des individus ont demandé à avoir accès à des renseignements détenus par le Commissariat à la protection de la vie privée du Canada et que celui‑ci refuse la demande ou, encore, où il est soutenu que le Commissariat a traité les renseignements personnels d’une personne d’une manière inappropriée. Le Commissariat est lui-même assujetti à la Loi sur la protection des renseignements personnels, dont il surveille la conformité. Ces cas ouvrent le droit de déposer une plainte à la commissaire spéciale à la protection de la vie privée.
Au cours de l’exercice visé par le présent rapport, soit du 1er avril 2022 au 31 mars 2023, j’ai été saisie de 10 nouveaux dossiers, dont la plupart concernaient des enquêtes menées par le Commissariat sur des plaintes relatives à la protection des renseignements personnels. À titre de commissaire spéciale, je n’ai pas pu accueillir ces plaintes, car elles n’étaient pas de mon ressort. Pour contester les conclusions d’une enquête menée par le Commissariat, il faut plutôt présenter une demande de contrôle judiciaire auprès de la Cour fédérale.
Même si je n’étais pas en mesure d’accueillir ces plaintes, j’ai tout de même fourni des explications aux individus concernés et je les ai dirigés au bon endroit pour qu’ils puissent exprimer leurs préoccupations. Je souhaitais ainsi rendre service à ces personnes en leur permettant de faire la distinction entre les différents processus d’examen, ce qui – on peut le comprendre – n’est pas évident.
Il y a eu 1 plainte qui était de mon ressort. Dans ce dossier, un individu avait déjà déposé une plainte au Commissariat pour atteinte à sa vie privée en lien avec le traitement de ses renseignements personnels par une institution fédérale.
Par l’entremise de sa Direction de la conformité, le Commissariat avait mené une enquête à la suite de laquelle il avait conclu que la plainte était non fondée. Cherchant à en savoir plus, l’individu a présenté une demande d’accès aux renseignements qui figuraient dans le dossier d’enquête portant sur sa plainte. Au Commissariat, les demandes d’accès sont déposées auprès du directeur de l’accès à l’information et de la protection des renseignements personnels. Dans sa réponse, ce dernier a refusé de fournir certains renseignements à l’individu, notamment des renseignements personnels le concernant. C’est donc à la suite de ce refus que j’ai été saisie de cette plainte.
En menant mon examen, je me suis attachée à établir si le paragraphe 22.1(1) de la Loi sur la protection des renseignements personnels avait été bien appliqué. Selon cette disposition, le Commissariat est tenu de refuser de communiquer certains renseignements personnels qui figurent dans son dossier d’enquête sur une plainte concernant une autre institution fédérale, au motif qu’il lui est interdit de communiquer les renseignements obtenus par une institution fédérale au cours des enquêtes qu’il mène à la suite de plaintes d’atteinte à la vie privée.
La règle énoncée au paragraphe 22.1(1) est très stricte et va jusqu’à interdire la communication de renseignements personnels obtenus par le Commissariat, même s’ils concernent l’auteur de la demande et même si les renseignements sont déjà connus par l’individu qui en fait la demande. Il s’agit de la conclusion à laquelle j’en suis arrivée dans ce dossier. J’estime donc que la réponse du Commissariat était conforme à la loi. Néanmoins, les conclusions de mon examen ont permis de répondre aux préoccupations de l’individu et de préciser les raisons pour lesquelles il ne pouvait pas avoir accès à certains renseignements demandés.
En général, les conclusions de cette nature font connaître le processus de traitement des demandes d’accès aux dossiers d’enquête sur les plaintes du Commissariat, en particulier lorsqu’il s’agit d’individus qui souhaitent accéder à leurs propres renseignements personnels, ce qui peut être délicat. Ce processus peut être difficile à comprendre, comme je l’ai souligné précédemment.
Il va sans dire que tous les dossiers dont je suis saisie sont importants et intéressants. Même si je ne peux pas accueillir tous ces dossiers, je m’efforce de fournir à chaque individu un service pertinent et utile.
C’est pourquoi je compte continuer, au cours de l’année à venir, d’être au service des personnes qui solliciteront mon intervention.
Le tout respectueusement soumis,
La commissaire spéciale à la protection de la vie privée,
Anne E. Bertrand, c.r.