Commissariat à la protection de la vie privée du Canada
30, rue Victoria
Gatineau (Québec) K1A 1H3
© Sa Majesté le Roi du chef du Canada pour le Commissariat à la protection de la vie privée du Canada, 2024
Numéro de catalogue : IP51-1F-PDF
ISSN : 1913-3375
Le 6 juin 2024
L’honorable Raymonde Gagné, sénatrice
Présidente du Sénat
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Madame la Présidente,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2023 au 31 mars 2024, qui s’intitule Renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Philippe Dufresne
Le 6 juin 2024
L’honorable Greg Fergus, député
Président de la Chambre des communes
Chambre des communes
Ottawa (Ontario) K1A 0A6
Monsieur le Président,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2023 au 31 mars 2024, qui s’intitule Renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Philippe Dufresne
Grandes tendances en matière de protection de la vie privée
Pleins feux sur les priorités stratégiques
La LPRP : rétrospective de l’exercice
Prestation de services-conseils au gouvernement
Mesures de conformité en application de la LPRP
Atteintes sous le régime de la LPRP
Activités de l’Unité de surveillance de la conformité
La LPRPDE : rétrospective de l’exercice
Application de la LPRPDE
Atteintes sous le régime de la LPRPDE
Activités de l’Unité de surveillance de la conformité
Services-conseils et activités de sensibilisation à l’intention des entreprises concernant la LPRPDE
Points saillants des autres travaux menés par le Commissariat
Conseils au Parlement
Coopération avec les autorités canadiennes et étrangères
Programme des contributions
Sensibilisation des Canadiennes et des Canadiens
Devant les tribunaux
Annexe 1 : Définitions
Annexe 2 : Tableaux statistiques
Annexe 3 : Lois essentiellement similaires
Annexe 4 : Rapport de la commissaire spéciale à la protection de la vie privée
Je suis heureux de remettre au Parlement le rapport annuel 2023-2024 du Commissariat à la protection de la vie privée du Canada, qui fait état des activités de l’organisme au cours du dernier exercice financier.
Ce rapport présente les activités et les réalisations que le Commissariat a accomplies pour protéger et promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens. Il traite à la fois des travaux exécutés pour veiller au respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est la loi fédérale en la matière dans le secteur privé au Canada.
Le lancement de mon plan stratégique en janvier 2024 a été au cœur des travaux de la dernière année. Ce plan, qui s’intitule Une feuille de route pour renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique, orientera les activités du Commissariat jusqu’en 2027.
Il se concentre sur trois grandes priorités :
Les réalisations du Commissariat au cours de la dernière année ainsi que les résultats découlant de la collaboration entamée avec mes homologues nationaux et internationaux chargés de la protection des données témoignent de ces priorités. Parmi ces réalisations, notons la publication d’une déclaration commune sur l’IA générative avec les autorités de protection des données et de la vie privée du G7 et le lancement des nouveaux Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée avec mes homologues des provinces et des territoires.
Au printemps 2023, j’ai lancé une enquête conjointe avec mes homologues du Québec, de la Colombie-Britannique et de l’Alberta sur l’outil ChatGPT d’OpenAI.
En décembre, j’ai également eu le plaisir d’organiser un symposium international sur la protection de la vie privée et l’IA. Cet événement a réuni des experts du milieu universitaire, de l’industrie, de la société civile et du gouvernement, ainsi que des homologues chargés de la protection de la vie privée, dans la région de la capitale nationale, afin de se pencher sur la façon de protéger la vie privée tout en tirant parti de l’innovation dans le contexte de l’IA.
Un autre fait saillant de ma collaboration avec mes collègues des autorités de protection de la vie privée des provinces et des territoires est l’adoption de résolutions communes sur la protection de la vie privée des jeunes et des employés sur les lieux de travail.
Aussi, dans le but de soutenir le travail du Commissariat dans le secteur public, un formulaire de présentation en ligne a été lancé afin de permettre aux institutions fédérales de présenter des évaluations des facteurs relatifs à la vie privée.
Le présent rapport donne aussi de l’information sur les conseils et les recommandations que j’ai fournis aux parlementaires sur les questions de législation et de vie privée qui faisaient l’objet d’une étude par des comités.
À mesure que le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, franchissait les étapes du processus parlementaire, j’ai aussi eu l’occasion de comparaître devant des législateurs afin de discuter de certains des moyens par lesquels la nouvelle loi proposée en matière de protection des renseignements personnels dans le secteur privé pourrait être améliorée en vue de mieux protéger le droit fondamental à la vie privée.
Les renseignements personnels sont de plus en plus convoités à l’ère numérique, et la protection de la vie privée est devenue l’un des principaux défis de notre époque. De récentes enquêtes témoignent de l’importance de la protection de la vie privée. Parmi ces enquêtes, notons celle sur Aylo, l’entreprise qui exploite Pornhub.
Cette enquête a révélé d’importants problèmes qui ont permis la mise en ligne de contenu intime de nature très sensible sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci. Cette situation a entraîné des conséquences dévastatrices pour la femme au cœur de cette enquête et pour d’autres victimes, notamment de la stigmatisation sociale, des préjudices psychologiques, des pertes financières et même des tentatives de suicide. J’ai publié les conclusions de l’enquête sur Aylo en février, au moment même où les parlementaires commençaient à débattre de la Loi sur les préjudices en ligne, qui vise à résoudre des problèmes similaires à ceux sur lesquels nous nous sommes penchés dans ladite enquête.
Tout comme les données servent à stimuler l’innovation, l’innovation doit servir à protéger les données. Au moment où le monde adopte le numérique et les possibilités qu’il offre, nous devons faire en sorte que ce virage soit fait d’une manière respectueuse de la vie privée. C’est le message que j’ai l’intention de répéter à l’approche de la présidence du G7 par le Canada en 2025, lorsque j’accueillerai mes collègues des organismes de réglementation de la protection des données du G7 à une table ronde où il y aura bon nombre de discussions sur le sujet.
En tant que Commissaire à la protection de la vie privée du Canada, je m’engage à déployer sans relâche des efforts sur plusieurs fronts : la défense des intérêts, la sensibilisation de la population, la promotion du droit à la vie privée, l’application des lois en la matière et, surtout, la collaboration. Le présent rapport fait état des activités de sensibilisation du Commissariat auprès des individus, des entreprises et des institutions fédérales ainsi que des engagements de celui-ci auprès de ses partenaires nationaux et internationaux. À une époque où les données n’ont plus de frontière, la protection adéquate de la vie privée exige un effort mondial. Je me réjouis à l’idée de poursuivre le travail de collaboration entrepris en vue d’assurer la protection du droit fondamental à la vie privée pour les générations actuelles et futures.
Le Commissaire à la protection de la vie privée du Canada,
Philippe Dufresne
Principales activités du Commissariat à la protection de la vie privée du Canada en 2023-2024.
Le Commissaire Dufresne annonce l’ouverture d’une enquête sur l’entreprise qui est à l’origine de ChatGPT, un robot conversationnel doté d’une intelligence artificielle (IA). Dans les semaines suivantes, le Commissaire et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta annoncent qu’ils mèneront une enquête conjointe sur cette affaire.
Le Rapport spécial au Parlement fait état des résultats de plusieurs enquêtes et consultations menées par le Commissariat qui portaient sur les moyens pris par le gouvernement fédéral pour protéger la vie privée dans le cadre des mesures adoptées durant la pandémie.
Dans la déclaration commune, on invite les développeurs et les fournisseurs de technologies de service d’IA générative à intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion de leurs nouveaux produits et services.
Le Commissaire Dufresne se joint à ses homologues du Bureau de la concurrence et du Conseil de la radiodiffusion et des télécommunications canadiennes dans le cadre d’un nouveau forum qui renforcera la collaboration sur les questions liées aux marchés et aux plateformes numériques.
Le Commissaire Dufresne et des représentants de 11 autres organismes de l’Assemblée mondiale pour la protection de la vie privée signent une déclaration commune visant à atténuer les risques que présente l’extraction illégale de données.
Lors d’une comparution devant un comité de la Chambre des communes chargé d’étudier la Loi de 2022 sur la mise en œuvre de la Charte du numérique, le Commissaire Dufresne affirme que le projet de loi « est un pas dans la bonne direction », mais qu’il « doit être amélioré davantage » pour protéger le droit fondamental à la vie privée. Il a d’ailleurs présenté 15 recommandations en ce sens.
Le Commissariat publie des documents d’orientation provisoires sur les obligations en matière de protection de la vie privée pour le traitement des données biométriques, lesquels sont destinés aux entreprises et aux institutions publiques.
Le Commissariat présente un mémoire en réponse au document de consultation du ministère des Finances du Canada qui vise à examiner les moyens d’améliorer le Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes.
Les autorités fédérale, provinciales et territoriales chargées de la protection de la vie privée demandent à leurs gouvernements respectifs d’en faire plus afin de protéger le droit à la vie privée des jeunes et des travailleurs.
Des enquêtes sous le régime de la Loi sur la protection des renseignements personnels (LPRP) et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sont ouvertes à la suite d’une cyberattaque qui a compromis les renseignements personnels d’employés qui ont travaillé ou qui travaillent encore pour le gouvernement du Canada ainsi que de membres des Forces armées canadiennes et de la Gendarmerie royale du Canada (GRC).
Le Commissaire Dufresne accueille des experts dans le cadre d’un symposium afin que ceux-ci se penchent sur les occasions et les risques que présente l’IA générative ainsi que sur la meilleure façon de collaborer pour s’y préparer. De concert avec les autorités canadiennes de protection de la vie privée, le Commissaire présente des principes visant à favoriser des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée.
Pour souligner le 75e anniversaire de la proclamation de la Déclaration universelle des droits de l’homme, le Commissaire Dufresne signe une déclaration au nom du Groupe de travail sur la protection des données et des autres droits et libertés de l’Assemblée mondiale pour la protection de la vie privée. Cette déclaration est également signée par Ana Brian Nougrères, rapporteuse spéciale des Nations Unies sur le droit à la vie privée.
Le Commissaire Dufresne lance la Semaine de la protection des données en publiant son plan stratégique, lequel présente trois priorités stratégiques, à savoir : protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, ainsi que défendre le droit à la vie privée des enfants.
Le Commissaire Dufresne annonce qu’il ouvre une enquête après avoir reçu plusieurs plaintes concernant une atteinte à la sécurité des données à Affaires mondiales Canada (AMC). L’atteinte en question, qui découle d’une cyberattaque perpétrée sur le réseau interne d’AMC, a compromis les renseignements personnels d’utilisateurs de ce réseau, dont des employés.
Deux enquêtes distinctes menées sous le régime de la LPRP révèlent que des mesures de sécurité plus robustes et une vigilance accrue s’imposent pour mieux protéger la vie privée des Canadiennes et des Canadiens.
Le Commissaire Dufresne publie les conclusions de son enquête sur l’exploitant de Pornhub et d’autres sites pornographiques. Cette enquête a permis de conclure qu’Aylo a enfreint la loi canadienne sur la protection des renseignements personnels en permettant que des images intimes soient publiées sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir leur consentement.
Dans une déclaration, le Commissaire Dufresne et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta accueillent favorablement la décision d’Airbnb de mettre à jour sa politique sur l’utilisation de caméras de sécurité à l’intérieur des logements loués et de mettre en œuvre les recommandations que les organismes de protection de la vie privée avaient formulées à l’entreprise l’année précédente.
Le Commissariat facilite la tâche des institutions fédérales pour la présentation des évaluations des facteurs relatifs à la vie privée (EFVP) en lançant un nouveau formulaire de présentation en ligne des EFVP.
La technologie et l’interconnectivité numérique continuent de transformer la vie des gens et soulèvent de nouveaux enjeux dans le domaine de la protection de la vie privée. Voici cinq grandes tendances qui façonnent le contexte de ce domaine au Canada et ailleurs dans le monde.
Le volume de données publiées, utilisées et stockées en ligne n’a jamais été aussi grand. Malgré l’utilisation accrue des plateformes numériques, les gens ne sont pas toujours convaincus que leurs renseignements personnels sont protégés – en particulier lorsqu’il s’agit des entreprises de médias sociaux – et ils sont de plus en plus préoccupés par la manière dont les renseignements personnels sont protégés à l’ère numérique.
Au Canada, seule une personne sur dix déclare faire confiance aux entreprises de médias sociaux pour protéger ses renseignements personnels. (Commissariat à la protection de la vie privée du Canada, Sondage auprès des Canadiens sur les enjeux liés à la protection de la vie privée, 2022-2023)
Un accroissement à l’échelle mondiale des préoccupations relatives à la protection de la vie privée des enfants est à l’origine de l’élaboration de nouvelles lois, de nouveaux règlements et de nouvelles lignes directrices visant à renforcer leur droit à la vie privée par les gouvernements et les autorités de protection des données de partout dans le monde. Parmi les mesures adoptées, notons des mesures législatives au Royaume-Uni et ailleurs visant à ajouter des exigences de conception adaptées à l’âge, ainsi que l’imposition d’amendes importantes à des entreprises comme TikTok et Meta à la suite d’enquêtes liées à la protection de la vie privée des enfants.
Au Canada, 78 % des jeunes utilisent YouTube et les médias sociaux pour regarder des vidéos, ce qui en fait l’activité en ligne la plus populaire. L’utilisation de la messagerie arrive au deuxième rang, à 70 %. (OTM Junior, Les jeunes et les médias sociaux : quoi de neuf? Les médias sociaux et les jeunes, 2023)
Les atteintes à la sécurité des données se sont multipliées au cours des 10 dernières années. On assiste notamment à une hausse marquée des attaques par rançongiciel et logiciel malveillant. Les organisations des secteurs privé et public s’inquiètent particulièrement du risque de faire l’objet de cyberattaques et de vols de données informatiques de la part de divers acteurs malveillants. De même, la majorité des personnes sondées estiment que le vol d’identité est préoccupant.
Au Canada comme ailleurs, la prolifération de l’intelligence artificielle (IA) et des technologies de l’IA générative soulève des préoccupations concernant la protection de la vie privée.
En tout, 91 % des organisations déclarent qu’elles doivent en faire plus pour rassurer leurs clients sur la manière dont leurs données sont utilisées avec l’IA. (CISCO 2024 Data Privacy Benchmark Study) (en anglais seulement)
S’inspirant de l’expérience de l’Union européenne avec le Règlement général sur la protection des données (RGPD), de nombreux pays édictent des lois renouvelées sur la protection des renseignements personnels. Au Canada, des travaux semblables sont en cours en vue de moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur privé en y intégrant des règles plus strictes, des pouvoirs de réglementation plus grands et des mesures incitatives en vue de renforcer le droit des individus à la vie privée.
En janvier 2024, le Commissaire Dufresne a lancé son plan stratégique pour le Commissariat à la protection de la vie privée du Canada : Une feuille de route pour renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique. Ce plan stratégique orientera les travaux du Commissariat au cours des trois prochaines années, en mettant l’accent sur les trois grandes priorités suivantes :
Ces priorités stratégiques mettent l’accent là où le Commissariat peut avoir le plus d’incidence. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si on ne s’y attaque pas. Elles sont fondées sur la vision de la protection de la vie privée formulée par le Commissaire à la suite de sa nomination en 2022, soit : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada; et la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques. Le Plan offre une vue d’ensemble des initiatives que le Commissariat entreprend pour donner suite aux priorités et présente les résultats que le Commissaire souhaite obtenir. Chacune de ces trois priorités aborde les thèmes suivants : interactions, partenariats, collaboration et apprentissage continu.
Cette priorité sert de base à l’accomplissement du mandat actuel du Commissariat, à l’application des lois actuelles aux défis nouveaux et émergents ainsi qu’à la préparation du Commissariat en vue d’éventuelles modifications aux lois fédérales sur la protection des renseignements personnels. Elle oblige le Commissariat à renforcer sa gouvernance et ses capacités, à favoriser la communication et la collaboration à l’interne et à entretenir des partenariats et des réseaux, tant au pays qu’à l’étranger, de manière à optimiser les programmes et les services qui répondent aux besoins du Canada et de la population canadienne.
En 2023-2024, les démarches entreprises pour faire progresser cette priorité sont les suivantes :
L’évolution et la transformation rapides des technologies, comme l’IA, présentent des possibilités et des avantages, mais elles peuvent également accroître les risques pour la vie privée.
Pour donner suite à cette priorité, le Commissariat s’applique à renforcer ses capacités internes, à former des partenariats stratégiques, à favoriser une culture de la protection de la vie privée et à encourager l’utilisation des principes de protection de la vie privée dès la conception pour les technologies actuelles et émergentes qui soutiennent l’innovation tout en protégeant le droit à la vie privée.
En 2023-2024, le Commissariat a entrepris différentes démarches en vue de soutenir cette priorité :
Cette priorité stratégique tient compte des caractéristiques propres à la vie privée des enfants et de la nécessité de garantir la protection de leurs droits afin qu’ils puissent profiter de la technologie sans que leur bien-être et leur vie privée soient compromis. Le Commissariat approfondit ses connaissances et son expertise dans ce domaine en invitant les jeunes et ceux qui défendent leurs intérêts à contribuer au développement d’outils d’éducation et de sensibilisation, en élargissant les partenariats pour favoriser l’utilisation des ressources du Commissariat et en tenant compte de la protection de la vie privée des enfants dans le cadre de ses travaux de conformité.
Parmi les activités du Commissariat en lien avec la protection de la vie privée des enfants au cours de 2023-2024, on peut citer les suivantes :
Le Commissariat a sollicité des observations sur le Plan stratégique 2024-2027 au moment où ce dernier a été rendu public. Ces observations permettront d’orienter la mise en œuvre des trois priorités qui se recoupent et de proposer des façons de les faire progresser efficacement. Reconnaissant la nature dynamique des priorités choisies, le Commissariat entend demeurer agile afin de pouvoir s’adapter en toute circonstance, de bien faire état des progrès accomplis et de collaborer adéquatement avec ses nombreux partenaires et parties prenantes dans le cadre des travaux importants à venir.
Dans le cadre de ses travaux portant sur le secteur public en 2023-2024, le Commissariat a remarqué que les ministères fédéraux démontraient un intérêt accru pour les technologies numériques.
Une part importante du mandat du Commissariat consiste à épauler les institutions fédérales dans leurs efforts pour cerner les répercussions que les nouvelles technologies peuvent avoir sur la vie privée et les atténuer. Les évaluations des facteurs relatifs à la vie privée (EFVP) sont un outil important pour y arriver. Le Commissariat a d’ailleurs consulté des ministères et diverses parties prenantes sur les moyens de renforcer et d’améliorer le processus d’EFVP. À la suite des commentaires reçus, un nouveau formulaire a été mis en ligne pour permettre aux institutions fédérales de présenter au Commissariat leurs EFVP de façon simple et sécurisée.
Le Commissariat a également demandé l’avis d’organisations gouvernementales sur son document d’orientation provisoire sur la biométrie dans le cadre d’une consultation publique lancée en octobre 2023. Le recours à la biométrie est un sujet qui revient de plus en plus dans les enquêtes menées par le Commissariat. Au moment de la rédaction du présent rapport, le Commissariat analysait les observations reçues dans le cadre de sa consultation.
En 2023-2024, le Commissariat a mené à terme 1 278 enquêtes relatives à des plaintes contre des institutions fédérales, à la fois par règlement rapide et par enquête officielle, y compris par enquête sommaire. Il s’agit d’une hausse de 28 % par rapport à 2022-2023, où 999 enquêtes avaient été fermées.
En février 2024, le Commissariat a déposé deux rapports spéciaux au Parlement dans lesquels il présentait les résultats de deux enquêtes distinctes menées sous le régime de la Loi sur la protection des renseignements personnels (LPRP). Le premier faisait état d’une atteinte grave à la vie privée visant Emploi et Développement social Canada (EDSC) et l’Agence du revenu du Canada (ARC) et mettant en cause de grandes quantités de renseignements personnels sensibles. Le second portait sur le recours par la Gendarmerie royale du Canada (GRC) à des services de surveillance et de suivi offerts par le secteur privé dans le cadre de ses activités d’application de la loi.
Le Commissaire Dufresne a aussi lancé des enquêtes à la suite de deux cyberattaques majeures ciblant des institutions fédérales. La première enquête ouverte en novembre 2023 portait sur une atteinte touchant les renseignements personnels d’employés du gouvernement fédéral ayant eu recours à des services de réinstallation retenus par le gouvernement au cours des 20 dernières années. Dans cette enquête, plusieurs institutions fédérales ainsi que deux tiers avec lesquels le gouvernement du Canada avait conclu des contrats étaient en cause. La seconde enquête ouverte en février 2024 portait sur une atteinte au réseau privé virtuel d’Affaires mondiales Canada (AMC).
La section ci-après présente les principales initiatives menées en 2023-2024 sous le régime de la LPRP.
| Plaintes acceptées | 1 113 |
|---|---|
| Plaintes fondées | 412 |
| Plaintes fermées par règlement rapide | 642 |
| Plaintes fermées à l’issue d’une enquête officielle | 636 |
| Rapports d’atteintes à la sécurité des données reçus | 561 |
| Nouvelles activités de liaison des services-conseils avec le secteur public | 89 |
| Évaluations des facteurs relatifs à la vie privée (EFVP) reçues | 123 |
| Avis donnés à des organisations du secteur public à la suite de l’examen d’une EFVP ou d’une consultation à cet égard | 137 |
| Communications de renseignements dans l’intérêt public par les institutions fédérales | 569 |
Des membres de la Direction des services-conseils au gouvernement du Commissariat à une conférence de l’Association canadienne d’accès à l’information et de protection des renseignements personnels à Ottawa, en Ontario.
Le Commissariat aide les institutions fédérales à comprendre et à appliquer la LPRP et à intégrer d’emblée à leurs programmes et à leurs activités une analyse des risques d’atteinte à la vie privée ainsi que des mesures de protection des renseignements personnels. À cette fin, la Direction des services-conseils au gouvernement (DSCG) offre des présentations et des ateliers visant à améliorer les connaissances et à renforcer les capacités des institutions fédérales relatives au traitement des renseignements personnels.
Au cours de l’exercice 2023-2024, le Commissariat s’est affairé à sensibiliser un plus grand nombre d’institutions fédérales aux services-conseils à leur disposition et à mieux faire connaître les principes fondamentaux des EFVP. Il a notamment offert des présentations ciblées s’adressant à des institutions fédérales en particulier ainsi que des webinaires, des tables rondes et des activités menées de concert avec le Secrétariat du Conseil du Trésor du Canada (SCT) et organisées par l’École de la fonction publique du Canada (EFPC). Les dix activités de rayonnement tenues par le Commissariat lui ont permis de sensibiliser 127 institutions fédérales assujetties à la LPRP.
Le Commissariat et le SCT jouent des rôles distincts et complémentaires pour ce qui est de veiller au respect de la LPRP. En effet, le Commissaire à la protection de la vie privée du Canada, en tant qu’agent du Parlement, est un défenseur indépendant du droit à la vie privée des Canadiennes et des Canadiens, tandis que le SCT élabore des politiques, des directives et des lignes directrices applicables à l’ensemble du gouvernement.
En 2023-2024, le Commissariat a rencontré le SCT afin de se pencher sur des enjeux de vie privée et a formulé des avis et des conseils au sujet de plusieurs instruments de politique du SCT.
En septembre 2023, la GRC a présenté une EFVP sur son recours à des outils d’enquête sur appareil pour recueillir des renseignements à même des appareils numériques – une obligation prévue par une directive du SCT – qui, selon le Commissariat, n’avait pas été respectée au cours de l’année précédente.
Après avoir examiné l’EFVP, le Commissariat a recommandé à la GRC d’évaluer périodiquement la nécessité de recourir à ces outils et l’efficacité de ceux-ci, et de décrire clairement les circonstances contraignantes qui pourraient conduire à l’utilisation de ces outils sans autorisation judiciaire. Le Commissariat lui a aussi recommandé de veiller à ce que la prestation de services connexes à d’autres ministères ou organismes fédéraux soit régie par des ententes d’échange de renseignements.
Le Commissariat a également recommandé à la GRC de mettre en place des procédures pour éliminer les renseignements personnels recueillis qui ne font l’objet d’aucun mandat ou qui ne sont pas nécessaires pour son enquête. Nos travaux dans ce dossier se poursuivent.
Le recours par la GRC de la technologie de reconnaissance faciale pour mener des enquêtes sur la traite de personnes et l’exploitation sexuelle d’enfants est un exemple de partenariat public-privé qui s’inscrit à la fois dans l’application de la LPRP et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Dans le cadre de sa consultation avec la GRC, le Commissariat a réitéré à celle-ci l’importance de cerner et d’atténuer les risques d’atteinte à la vie privée avant de mettre en œuvre de nouvelles technologies, en particulier celles qui comportent une fonction de reconnaissance faciale. Le Commissariat lui a aussi recommandé de ne pas utiliser une technologie de reconnaissance faciale en particulier tant qu’elle n’aura pas procédé à une évaluation rigoureuse des risques d’atteinte à la vie privée et de la conformité des activités en question aux lois canadiennes sur la protection des renseignements personnels dans les secteurs public et privé. Au moment de la rédaction du présent rapport, le Commissariat attendait encore une EFVP en réponse aux préoccupations soulevées lors de la consultation.
Depuis plus de 30 ans, le SCT recueille des renseignements personnels pour les besoins du processus de déclaration volontaire aux fins de l’équité en matière d’emploi au sein de la fonction publique fédérale. Le SCT a récemment lancé une démarche visant à élargir la portée de la collecte de renseignements en ajoutant un nouveau champ de texte ouvert où les répondants peuvent saisir d’autres facteurs identitaires qui ne figurent pas actuellement dans les options du formulaire.
Le Commissariat a fait remarquer au SCT que les renseignements en lien avec la déclaration volontaire peuvent être considérés comme étant de nature sensible et que l’élargissement des catégories est susceptible d’accroître la quantité de renseignements personnels recueillis. Le Commissariat échange avec le SCT sur ce processus depuis plusieurs années et a reçu une EFVP de ce dernier en juillet 2023.
Le Commissariat a recommandé au SCT de surveiller de près la collecte de nouvelles données relatives à la déclaration volontaire et d’évaluer si la pratique s’avère un moyen efficace d’atteindre l’objectif établi, qui consiste à mettre au jour la discrimination systémique et à promouvoir l’équité dans les pratiques de dotation.
Le Commissariat a formulé des observations au Groupe de travail du gouvernement sur l’examen de la Loi sur l’équité en matière d’emploi, précisant que le droit à la vie privée est un droit fondamental qui sous-tend les valeurs de l’autonomie, de l’identité, de la dignité et de l’intégrité de la personne, lesquelles sont inhérentes aux objectifs de base du Cadre sur l’équité en matière d’emploi.
Dans son mémoire, le Commissariat a affirmé qu’il appuyait les objectifs importants de la Loi sur l’équité en matière d’emploi et le travail essentiel du Groupe de travail. Le Commissariat a fait valoir la nécessité pour les institutions d’être clairement autorisées, au titre de l’article 4 de la LPRP, à mener une telle activité. Les renseignements personnels devraient par ailleurs être recueillis directement auprès des employés et ceux-ci devraient en être clairement avisés. À cet égard, le Commissariat a émis une mise en garde contre le fait de recueillir plus de renseignements que nécessaire.
Le Commissariat mène de nombreuses consultations auprès des différents ministères du gouvernement fédéral chargés de déployer le nouveau Régime canadien de soins dentaires, un programme du gouvernement fédéral qui vise à fournir une couverture aux Canadiennes et aux Canadiens admissibles qui ne bénéficient pas d’une assurance dentaire.
Le Commissariat a conseillé aux ministères de veiller à ce que les pratiques de protection de la vie privée adoptées par les entrepreneurs tiers soient suffisantes. Par ailleurs, le Commissariat a fait remarquer qu’il faut mettre en place des mesures de protection adéquates pour recueillir et traiter les renseignements personnels que doivent fournir les demandeurs pour obtenir des prestations dans le cadre du programme. Il a recommandé que toutes les parties concluent des ententes d’échange de renseignements rigoureuses afin d’assurer une protection uniforme de la vie privée dans l’ensemble des ministères. Le Commissariat poursuivra ses discussions à cet égard dans le but de veiller à ce que la protection de la vie privée soit intégrée à la conception du programme, à mesure que le Régime canadien de soins dentaires sera déployé par étapes au cours des prochaines années.
En 2023, le Commissariat a examiné un projet pilote d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) portant sur les demandes de passeport en ligne et a formulé des recommandations à cet égard. Le projet se limite aux demandes de renouvellement simplifié de passeport présentées en territoire canadien, et il a été mis à l’essai avec la participation volontaire de fonctionnaires fédéraux.
Dans le cadre du projet, les demandeurs transmettent des photos numériques prises en direct à un service externe de stockage infonuagique géré par IRCC. Les données sont téléchargées puis saisies manuellement dans le Système mondial de gestion des cas du ministère aux fins du traitement des demandes de renouvellement de passeport.
Le Commissariat s’attend à recevoir une EFVP en vue du déploiement intégral du programme de demandes de renouvellement de passeport en ligne et recommande à IRCC de bien cerner les risques d’atteinte à la vie privée d’ordre technique, notamment ceux qui sont associés à l’utilisation d’un service infonuagique.
Sécurité publique Canada et AMC ont demandé conseil au Commissariat concernant l’élaboration d’un programme qui permettrait à des groupes humanitaires de demander l’autorisation d’exercer des activités dans des emplacements géographiques contrôlés par des groupes terroristes.
Tout soutien apporté à une activité terroriste ou toute mesure au profit d’une personne exerçant des activités terroristes constitue une infraction prévue au Code criminel. Toutefois, une nouvelle loi prévoit des exceptions pour la prestation d’activités d’aide humanitaire par des organisations impartiales dont le fonctionnement est régi par le droit international dans des régions contrôlées par des groupes terroristes. Les organisations canadiennes peuvent dorénavant solliciter expressément l’autorisation de mettre en œuvre des programmes visant les droits de la personne, de soutenir les activités menées par un organisme du gouvernement et de fournir une aide alimentaire et d’autres formes de soutien à la population générale dans ces régions.
Étant donné la nature sensible des renseignements recueillis et le fait que plusieurs institutions fédérales participeront à l’examen des demandes et à la délivrance des autorisations, le Commissariat a réitéré la nécessité de conclure des ententes d’échange de renseignements qui sont assorties de dispositions rigoureuses en matière de protection de la vie privée. La collecte des renseignements personnels dans les médias sociaux pour les besoins de ce processus de vérification devrait être régie par des règles claires. Le Commissariat a également indiqué que les déclarations de consentement et les énoncés d’avis de confidentialité transmis aux demandeurs doivent décrire de façon claire et détaillée comment les renseignements recueillis seront utilisés.
Le Commissariat s’attend à recevoir une EFVP pluri-institutionnelle pour ce programme, dirigé par Sécurité publique Canada. Le Commissariat continuera de fournir des services-conseils aux représentants des ministères au fur et à mesure que l’initiative progressera.
En 2023-2024, le Commissariat a accepté 1 113 plaintes déposées sous le régime de la LPRP. Il s’agit d’une baisse de 10 % par rapport à 2022-2023, où 1 241 plaintes avaient été acceptées.
Comme c’était le cas en 2022-2023, la GRC (266 plaintes) et le Service correctionnel du Canada (SCC) (201 plaintes) sont les institutions pour lesquelles le Commissariat a accepté le plus grand nombre de plaintes. Viennent ensuite IRCC (110 plaintes), l’Agence des services frontaliers du Canada (ASFC) (103 plaintes) et le ministère de la Défense nationale (MDN) (78 plaintes).
Plus de la moitié (54 %; 603 plaintes) des plaintes acceptées concernaient le délai de réponse des institutions aux demandes d’accès aux renseignements personnels – ce que l’on appelle les plaintes relatives aux délais. Le Commissariat a aussi reçu de nombreuses plaintes relatives à l’application d’exemptions pour refuser de communiquer les renseignements demandés ou à des allégations de dossiers manquants (30 %) ainsi qu’à des allégations de collecte, d’utilisation et de communication non autorisées de renseignements personnels (16 %).
Par ailleurs, le Commissariat a observé une augmentation du nombre de plaintes déposées sous le régime de la LPRP par des personnes qui ne sont pas des citoyens canadiens. Le Décret d’extension no 3, qui est entré en vigueur en juillet 2022, confère aux ressortissants étrangers qui se trouvent à l’extérieur du Canada le droit d’accéder à leurs renseignements personnels détenus par les organisations assujetties à la LPRP et de faire corriger ces renseignements. En tout, 268 plaintes ont été déposées par des ressortissants étrangers. De ce nombre, 68 % (183) ont été fermées à l’étape de l’admission, la plupart étant liées à des demandes de visa, un domaine qui ne relève pas de la compétence du Commissariat.
En ce qui concerne les atteintes à la vie privée, le Commissariat a reçu 561 signalements de la part d’institutions fédérales. La majorité (68 %) était liée à des documents contenant des renseignements personnels qui avaient été perdus ou égarés. L’accès non autorisé par des employés ayant abusé de leurs droits d’accès et les attaques par piratage psychologique sont au deuxième rang des atteintes les plus fréquemment signalées (16 %). Les communications non autorisées, quant à elles, comptaient pour 15 % des atteintes, la majorité étant attribuable à des erreurs commises par des employés, par exemple une correspondance mal acheminée ou un traitement inadéquat des renseignements.
En ce qui concerne la charge de travail, le financement temporaire reçu dans le cadre du budget fédéral de 2023 a permis au Commissariat d’embaucher des ressources supplémentaires et de réduire l’arriéré des plaintes. À la fin de mars 2024, l’arriéré représentait 20 % de toutes les enquêtes en cours, ce qui comprend les enquêtes sous le régime de la LPRP et de la LPRPDE. Il s’agit d’une diminution par rapport à 2022-2023, où l’arriéré représentait 24 % des enquêtes en cours.
Par suite d’un examen diagnostique réalisé en 2022-2023, le Commissariat a aussi commencé à mettre en œuvre des stratégies visant à obtenir des gains d’efficacité. Cela dit, bien qu’il s’efforce constamment de trouver des moyens efficaces de régler les plaintes et de mener ses enquêtes, le Commissariat croit que, sans financement permanent supplémentaire, l’arriéré risque de demeurer important.
| Institution intimée | Nombre |
|---|---|
| Gendarmerie royale du Canada | 266 |
| Service correctionnel du Canada | 201 |
| Immigration, Réfugiés et Citoyenneté Canada | 110 |
| Agence des services frontaliers du Canada | 103 |
| Ministère de la Défense nationale | 78 |
| Agence du revenu du Canada | 76 |
| Emploi et Développement social Canada | 32 |
| Service canadien du renseignement de sécurité | 23 |
| Affaires mondiales Canada | 21 |
| Transports Canada | 20 |
| Société canadienne des postes | 20 |
| Exercice | Délai de traitement moyen, en mois |
|---|---|
| 2023-2024 | 1,80 |
| 2022-2023 | 2,10 |
| 2021-2022 | 2,91 |
| 2020-2021 | 5,04 |
| 2019-2020 | 7,50 |
Le processus de règlement rapide est un outil d’enquête indispensable auquel le Commissariat a recours pour régler rapidement et de manière efficace les plaintes peu complexes et non systémiques. Le Commissariat a recours à des approches comme les discussions et la négociation en vue d’obtenir le résultat optimal pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête officiel.
Dans certains cas, le Commissariat mènera une enquête sommaire pour traiter des plaintes peu complexes et non systémiques. Les enquêtes sommaires sont envisagées en fonction de divers facteurs lorsqu’il a été établi que le règlement de l’affaire n’est plus possible, mais que l’enquête est en grande partie ou totalement terminée.
En 2023-2024, 87 % de toutes les plaintes déposées en vertu de la LPRP, y compris les enquêtes sur le délai de réponse des institutions aux demandes d’accès aux renseignements personnels (enquêtes relatives aux délais), ont été réglées rapidement ou ont fait l’objet d’une enquête sommaire.
| Exercice | Pourcentage |
|---|---|
| 2023-2024 | 50 % |
| 2022-2023 | 47 % |
| 2021-2022 | 40 % |
| 2020-2021 | 52 % |
| 2019-2020 | 25 % |
Voici des exemples de plaintes réglées cette année au moyen du processus de règlement rapide au titre de la LPRP :
La personne plaignante a présenté une demande d’accès à un dossier de parrain, dossier qu’elle avait soumis à IRCC. La personne a déposé une plainte au Commissariat après qu’IRCC a répondu qu’il ne possédait pas ledit dossier.
Quand le Commissariat a effectué un suivi auprès d’IRCC, ce dernier s’est rendu compte que la demande de la personne plaignante n’avait pas été envoyée au bureau pertinent du ministère. Grâce à l’intervention du Commissariat, la demande a été réacheminée, et cette fois au bon bureau. Les documents en question ont finalement été fournis à la personne plaignante.
Une personne plaignante a reçu des documents à la suite d’une demande d’accès qu’elle avait faite en vertu de la LPRP, mais estimait qu’il aurait dû y en avoir plus.
Grâce à la collaboration du Commissariat avec Services publics et Approvisionnement Canada (SPAC), des fonctionnaires du ministère ont réacheminé la demande et ont finalement fourni 149 pages supplémentaires de documents pertinents à la personne plaignante.
Dans un rapport spécial déposé au Parlement en février 2024, le Commissaire à la protection de la vie privée du Canada a présenté les conclusions de son enquête sur le projet Wide Awake de la GRC. Dans le cadre de ce projet, la GRC a eu recours aux services d’un tiers pour recueillir des renseignements personnels provenant de diverses sources, dont les médias sociaux, le Web caché, des services basés sur la localisation et des bases de données privées payantes.
L’enquête a permis de conclure que la GRC doit améliorer ses processus d’évaluation des services de surveillance et de suivi offerts par le secteur privé avant d’y avoir recours.
Dans le rapport de conclusions d’enquête sur le projet Wide Awake, le Commissariat a recommandé à la GRC de réaliser des évaluations exhaustives pour obtenir un niveau d’assurance suffisant que les fournisseurs de services tiers auxquels elle a recours respectent les lois pertinentes sur la protection des renseignements personnels. Le Commissariat a également recommandé à la GRC de faire preuve de plus de transparence en ce qui a trait à la collecte de renseignements personnels qu’elle effectue dans le cadre de la collecte du renseignement de source ouverte et à propos des fins auxquelles les différents types de renseignements recueillis pourraient être utilisés.
L’individu en cause a déposé une plainte au Commissariat après qu’IRCC lui a donné accès à certains dossiers, mais lui a refusé l’accès à d’autres. L’individu, qui cherchait à venir au Canada, avait demandé à IRCC de lui fournir tous les documents à propos de ses enfants et de lui-même permettant d’expliquer pourquoi leurs visas avaient été révoqués puis délivrés de nouveau. Le représentant de la personne plaignante a soutenu qu’IRCC avait contrevenu à la LPRP en ne communiquant pas tous les renseignements pertinents demandés.
L’enquête du Commissariat visait à établir si IRCC avait procédé à une recherche suffisante des dossiers. Cette enquête a permis de conclure qu’IRCC avait effectué une recherche incomplète parce qu’il avait réduit la portée de la demande de la personne plaignante sans l’accord de celle-ci et, par conséquent, n’avait pas vérifié si d’autres bureaux auraient pu détenir des renseignements pertinents.
À la suite d’une discussion sur cette affaire avec le Commissariat, IRCC a accepté d’élargir ses recherches. Le ministère n’a cependant pas été en mesure de trouver les documents demandés parce qu’ils avaient été détruits selon sa politique de conservation de deux ans.
Enfin, même si le Commissariat a constaté qu’IRCC n’avait pas procédé à une recherche suffisante des dossiers, il a finalement conclu que le ministère avait respecté ses obligations prévues par la Loi, parce que les dossiers n’existaient plus.
Un individu a communiqué avec le Commissariat en invoquant qu’IRCC avait communiqué sa demande de renouvellement de carte de résidence permanente de façon inappropriée à l’ASFC, qui l’avait ensuite utilisée à l’appui d’une demande de révocation de son statut de résident permanent.
L’ASFC faisait enquête sur la personne plaignante parce que cette dernière avait fréquemment voyagé dans le pays en raison duquel elle avait demandé l’asile et qu’elle avait obtenu un nouveau passeport de ce même pays. C’est dans ce contexte que l’ASFC a demandé à IRCC de lui fournir la demande de renouvellement de carte de résidence permanente de la personne plaignante. Cette demande contenait des précisions sur les déplacements de la personne en cause, lesquelles étaient utiles à l’enquête visant à constater la perte de l’asile.
La personne plaignante a soutenu qu’IRCC n’était pas autorisé à communiquer ses renseignements personnels à l’ASFC parce que les fins de cette communication étaient différentes de celles pour lesquelles les renseignements avaient été recueillis.
Au cours de l’enquête, le Commissariat a établi qu’IRCC et l’ASFC ont un mandat commun au titre de la Loi sur l’immigration et la protection des réfugiés. Par conséquent, la communication de renseignements entre ces deux entités à des fins d’administration et d’application de ladite loi est considérée comme un « usage compatible » et est donc autorisée par la LPRP.
Après avoir examiné ce qu’ont affirmé la personne plaignante, IRCC et l’ASFC, le Commissariat a conclu qu’IRCC avait communiqué les renseignements personnels de la personne plaignante à l’ASFC pour un usage compatible avec les fins auxquelles les renseignements avaient été recueillis et que, par conséquent, les plaintes déposées contre les deux entités étaient jugées non fondées.
Le Commissariat a mené une enquête sur une plainte reçue selon laquelle le MDN a refusé de communiquer les renseignements personnels d’un militaire décédé à la personne chargée de l’exécution testamentaire.
Par l’entremise d’un représentant, cette personne a demandé au MDN de lui fournir les documents relatifs à une enquête portant sur des allégations contre le défunt, ainsi que les documents relatifs à toute mesure prise par la chaîne de commandement à l’endroit de ce dernier en réponse aux allégations.
Les Forces armées canadiennes ont fini par communiquer certains des renseignements demandés, mais ont refusé l’accès à d’autres.
L’enquête du Commissariat visait à établir si le représentant était autorisé à présenter une demande en vertu de la LPRP au nom de la personne chargée de l’exécution testamentaire aux fins de gestion de la succession, et s’il était par conséquent autorisé à accéder aux renseignements demandés. La LPRP accorde à un individu le droit d’accès à ses renseignements personnels relevant d’une institution fédérale. Une personne qui est autorisée à gérer la succession d’une personne décédée peut agir au nom de cette dernière et avoir accès à ses renseignements personnels uniquement aux fins de gestion de la succession.
Dans les observations qu’il a présentées au MDN, le représentant a expliqué que la personne plaignante, soit celle chargée de l’exécution testamentaire, souhaitait obtenir les renseignements pour deux raisons. D’abord, elle comptait déposer une plainte au nom de la succession concernant les allégations qui pesaient contre le défunt. Ensuite, elle voulait se renseigner avant une commission d’enquête sur le décès du soldat.
Le Commissariat a estimé que la preuve fournie ne permettait pas de conclure que les renseignements demandés étaient nécessaires à la gestion de la succession et que, par conséquent, le MDN a eu raison de conclure que ni la personne chargée de l’exécution testamentaire ni son représentant n’avaient le droit d’y accéder.
En 2023-2024, les signalements d’atteinte à la vie privée visant des institutions du gouvernement fédéral reçus par le Commissariat ont augmenté de 88 %, passant à 561, comparativement à 298 l’année précédente.
Certains signalements font toujours l’objet d’enquêtes, dont un portant sur une atteinte à la sécurité des données à AMC et un autre concernant une compromission qu’a subie un tiers fournissant des services de réinstallation à des employés du gouvernement, qui a touché plusieurs ministères fédéraux. Des enquêtes en cours au titre de la LPRPDE menées auprès de deux entreprises avec lesquelles le gouvernement avait conclu des contrats dans le cadre du programme de réinstallation sont également liées à cette compromission.
En février 2024, le Commissaire à la protection de la vie privée du Canada a déposé un rapport spécial au Parlement sur une cyberattaque visant l’ARC et EDSC, rendue possible en raison de failles dans les mesures de protection en matière de cybersécurité. Ces attaques ont compromis les renseignements financiers, bancaires et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraude et de vol d’identité – dont un grand nombre de demandes frauduleuses pour la Prestation canadienne d’urgence (PCU).
Depuis plusieurs années, le Commissariat trouve préoccupant le sous-signalement des atteintes dans le secteur public fédéral. Dans cette optique, l’augmentation de signalements d’atteinte reçus est vue positivement.
| Institution | Atteintes déclarées |
|---|---|
| Emploi et Développement social Canada | 377 |
| Agence du revenu du Canada | 71 |
| Service correctionnel du Canada | 20 |
| Gendarmerie royale du Canada | 14 |
| Immigration, Réfugiés et Citoyenneté Canada | 8 |
| Commission de la fonction publique du Canada | 8 |
En particulier, le Commissariat a reçu un nombre accru de signalements (377) de la part d’EDSC. La quantité d’atteintes à la vie privée qui ont été relevées par EDSC peut refléter les efforts de détection des atteintes à la vie privée déployés par le ministère ainsi que d’autres facteurs, comme son mandat, qui comprend la collecte et l’utilisation de quantités importantes de renseignements personnels.
Malgré la hausse du nombre total de signalements et la grande visibilité de certains de ces incidents, le Commissariat demeure préoccupé par le fait que, trop souvent, les atteintes à la vie privée ne sont pas détectées ou sont mal évaluées, entraînant ainsi un sous-signalement des atteintes à la vie privée dans le secteur public.
Bien que plusieurs institutions fédérales traitent des renseignements personnels de nature sensible dans le cadre de leur mandat, le Commissariat ne reçoit pas un grand nombre de signalements d’atteinte à la vie privée de la part de ces institutions. Dans le secteur public, les institutions fédérales assujetties à la LPRP sont tenues de signaler les atteintes à la vie privée en application d’une politique du SCT et non d’une loi, contrairement au secteur privé, qui est tenu de les signaler en application de la LPRPDE.
La perte de renseignements personnels était la principale cause des 561 incidents signalés (382 incidents ou 68 % du total), suivie de l’accès non autorisé aux renseignements personnels (89 incidents; 16 %). Par ailleurs, 85 des atteintes signalées (15 %) résultaient de communications non autorisées, qui étaient pour la plupart attribuables à des erreurs commises par des employés.
Le Commissariat continue également de constater un écart important entre les secteurs privé et public en ce qui concerne le signalement des cyberincidents. En 2023-2024, le Commissariat a reçu 321 signalements de cyberincidents du secteur privé et seulement 37 des institutions fédérales.
En raison de la nature complexe sur le plan technique des atteintes signalées, le Commissariat consacre de plus en plus d’efforts à l’analyse technique afin de déterminer les facteurs qui ont mené à une atteinte en particulier et de confirmer le caractère adéquat des mesures d’atténuation techniques qui auraient pu être prises par les institutions concernées.
Même si ce n’est pas de son ressort, le Commissariat a également constaté une hausse des atteintes touchant les infrastructures publiques essentielles, comme dans les administrations municipales et les conseils scolaires. Il s’agit là d’un autre indicateur que les institutions gouvernementales sont de plus en plus ciblées par les auteurs de menaces.
En février 2024, le Commissaire a publié ses conclusions d’enquête dans un rapport spécial au Parlement au sujet d’une atteinte grave à la vie privée à EDSC et à l’ARC mettant en cause de grandes quantités de renseignements personnels sensibles. Dans le cadre de cette enquête, le Commissariat a constaté que les pirates informatiques se sont servis d’identifiants volés pour accéder au portail de connexion de l’ARC et au service d’authentification « CléGC » d’EDSC. Cette technique, appelée « bourrage d’identifiants », a permis aux acteurs malveillants d’accéder à des comptes en ligne, de les modifier ou d’en créer de nouveaux à partir de ces identités. Ils ont ainsi pu accéder de manière frauduleuse à des services du gouvernement et présenter des demandes de prestations ou détourner des paiements à leur intention.
L’attaque a compromis les renseignements financiers, banquiers et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraudes et de vols d’identité – dont un grand nombre de demandes frauduleuses pour la PCU. Les préjudices subis par les individus touchés sont multiples : difficultés financières, diminution de la cote de solvabilité, atteintes à la vie privée et stress psychologique.
Le Commissariat a conclu que l’ARC et EDSC avaient sous-évalué le niveau de validation de l’identité requis pour les services en ligne touchés, compte tenu de la nature sensible des renseignements personnels en cause. De plus, les institutions ne disposaient pas de mesures de surveillance adéquates visant à détecter l’atteinte et à la limiter rapidement. Cette situation résulte en partie du caractère inadéquat de leurs évaluations de sécurité et de leurs essais visant leurs systèmes de gestion de l’authentification et des justificatifs d’identité ainsi que de lacunes au chapitre de la responsabilité et de l’échange de renseignements entre les institutions.
Le Commissariat a formulé un certain nombre de recommandations et les entités les ont toutes acceptées.
Une erreur humaine commise dans l’utilisation d’une feuille de calcul Excel a entraîné l’envoi par erreur d’un courriel qui était destiné à quelqu’un d’autre à près de 500 personnes qui demandaient le statut de résident permanent.
IRCC préparait un envoi de masse pour informer les personnes admissibles d’une mesure spéciale qui leur permettrait de rester au Canada grâce à un permis de travail pendant que le ministère terminait le traitement de leur demande de résidence permanente. Les courriels envoyés par erreur contenaient des noms, des adresses et des adresses de courriel. De plus, le courriel en question révélait que tous les destinataires détenaient un permis de travail ouvert et avaient demandé une résidence permanente.
Le Commissariat a établi qu’il ne s’agissait pas d’une atteinte substantielle, car le risque de préjudice était faible pour les personnes concernées.
Afin d’éviter un autre incident du genre qui, dans un contexte différent, aurait pu entraîner un risque réel de préjudice grave, le Commissariat a recommandé qu’IRCC crée un aide-mémoire étape par étape à l’intention de ses employés et forme ces derniers à cet égard, instaure des mesures de surveillance et vérifie régulièrement que ces mesures sont suivies. Le Commissariat a depuis confirmé qu’IRCC avait mis en œuvre ces recommandations.
En 2023, le Commissariat a reçu une plainte provenant d’un individu dont les renseignements ont été utilisés par un imposteur afin de demander et de toucher la PCU.
Le compte Mon dossier de la personne plaignante à l’ARC a été compromis à la suite d’une atteinte en 2020. En conséquence, un imposteur a réussi à accéder à son compte, en ligne et lors d’une communication téléphonique avec un agent de l’ARC. L’imposteur a modifié les coordonnées et les renseignements relatifs au dépôt direct associés au compte, puis a présenté une demande de PCU.
Ayant accès à ces renseignements, il a ensuite présenté une demande d’assurance-emploi et a reçu ces prestations d’EDSC. La personne plaignante, quant à elle, a ainsi reçu un nouveau relevé de cotisation pour l’année d’imposition 2021 qui lui indiquait qu’elle devait une somme considérable.
Dans cette affaire, l’enquête a révélé que la faiblesse des mesures de sécurité, le manque de mesures d’atténuation des risques associés à des données à incidence élevée comme les données de dépôt direct et des lacunes au chapitre de la validation de l’identité et des identifiants ont été des facteurs qui ont permis l’atteinte. Dans son rapport d’enquête, le Commissariat a aussi signalé que les mesures de protection appliquées pour éviter l’accès et la modification non autorisés devaient être proportionnelles à la sensibilité des renseignements détenus par l’organisation.
Depuis l’incident, l’ARC a apporté des changements à cet égard, dont le renforcement de ses procédures de confirmation des demandes d’autorisation reçues, notamment celles reçues par téléphone, et l’ajout de mesures de sécurité pour les modifications à incidence élevée qui sont apportées aux renseignements personnels.
Dans le cadre de la présente enquête, le Commissariat a établi qu’un ministère du gouvernement fédéral a enfreint la LPRP en omettant de prendre des mesures suffisantes pour éviter des atteintes à la vie privée aux employés ayant le même nom.
Une employée de ce ministère a porté plainte parce que ses renseignements personnels ont été transmis plusieurs fois à une autre employée du même nom par erreur, et ce, malgré les nombreuses plaintes à cet égard formulées auprès des secteurs concernés au sein de leur ministère ayant transmis les renseignements.
L’employée a également fait remarquer que des changements dans les systèmes des ressources humaines et des technologies de l’information ont souvent été apportés au mauvais compte d’employé, malgré le fait que sa date de naissance ne corresponde pas à celle de l’autre employée et qu’elles possèdent des codes d’identification de dossier personnel différents.
Le ministère a fait valoir que le degré de sensibilité des renseignements communiqués était « de faible à moyen », mais le Commissariat n’était pas de cet avis. Ce dernier a fait remarquer que les types de renseignements communiqués, comme les adresses postales, les adresses courriel personnelles, les renseignements financiers et les renseignements relatifs à la santé, auraient pu mener à un vol d’identité dans d’autres contextes.
La plupart des incidents qui se sont produits étaient le fruit d’une erreur humaine. Cependant, le caractère répété de ces erreurs et le fait qu’elles n’ont pas cessé malgré les plaintes de l’employée démontrent qu’il s’agissait là d’un problème systémique. Ce dernier aurait pu être réglé, par exemple, en mettant en place des mesures pour confirmer l’identité de chaque employée avant d’envoyer un courriel contenant des renseignements personnels ou de modifier un dossier personnel.
Le ministère a d’abord déclaré qu’il n’était pas au fait des incidents en question parce que ceux-ci n’avaient pas été signalés à son bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP). Dans son rapport, le Commissariat a précisé que le fait que ni la personne plaignante ni aucun autre employé qui était au courant du problème n’ait signalé ces atteintes au bureau de l’AIPRP dénote un manque général de connaissance de la procédure de signalement des atteintes ainsi que du rôle et des responsabilités du bureau de l’AIPRP du ministère.
À la suite de la publication du rapport du Commissariat, le ministère s’est engagé à mettre en œuvre les recommandations qui y sont formulées, dont celle de mettre en place des mesures pour prévenir les communications non autorisées des renseignements personnels des employés. Le ministère rappellera aussi à l’ensemble de ses employés leur obligation de signaler les atteintes à la sécurité des renseignements personnels au bureau de l’AIPRP.
En 2023-2024, le Commissaire a lancé plusieurs enquêtes en lien avec des allégations d’importantes atteintes à la vie privée et des activités qui ont attiré l’attention des médias. Ces enquêtes sont encore en cours.
Le Commissaire Dufresne a annoncé en mars 2024 que le Commissariat mènera une enquête sur les allégations de non-conformité aux obligations en matière de protection de la vie privée après avoir reçu une plainte contre l’Agence des services frontaliers du Canada concernant la conception de l’application mobile ArriveCAN.
L’enquête permettra d’examiner les pratiques contractuelles en lien avec ArriveCAN, et plus précisément les mesures en place pour protéger les renseignements personnels lors de la conception de l’application afin d’évaluer la conformité à la LPRP.
Le Commissaire Dufresne a ouvert deux enquêtes sur une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement pendant plus de deux décennies.
L’atteinte concerne des renseignements personnels détenus par Services globaux de relogement Brookfield (BGRS) et sa société affiliée (Sirva), avec lesquelles le gouvernement du Canada a conclu des contrats pour offrir des services de réinstallation aux employés.
La première enquête permettra d’évaluer si SPAC et le SCT – les deux ministères qui ont retenu les services des entreprises en question – s’étaient conformés à la LPRP. La seconde enquête permettra d’établir si les deux entreprises s’étaient conformées à la LPRPDE.
Le Commissaire a lancé une enquête sur une atteinte à la sécurité des données à AMC. Les renseignements personnels d’utilisateurs du réseau, dont des employés, ont été compromis après que des individus ont accédé sans autorisation au réseau privé virtuel d’AMC.
Le Commissariat a reçu plusieurs plaintes à ce sujet. Cette enquête permettra d’établir si les mesures de protection mises en place pour protéger les renseignements personnels étaient adéquates, et si la LPRP a été respectée.
Dans le cadre de ses enquêtes, le Commissariat formule des recommandations aux institutions en vue de les aider à respecter la LPRP. Dans certains cas, il a recours à sa fonction de surveillance de la conformité pour s’assurer que les institutions mettent en œuvre ces recommandations comme elles se sont engagées à le faire, et ce, dans les délais fixés. Contrairement à la LPRPDE, la LPRP ne prévoit pas la conclusion d’accords de conformité.
En 2023-2024, en plus des 15 dossiers de surveillance de la conformité qui ont été fermés sous le régime de la LPRPDE, 23 dossiers sous le régime de la LPRP ont aussi été menés à terme, dont les deux dossiers ci-dessous.
En juillet 2023, à la suite d’une plainte déposée contre l’EFPC, le Commissariat a mené une enquête et conclu que le groupe AIPRP de l’EFPC avait communiqué de manière inappropriée la demande d’accès d’une personne plaignante à l’équipe de la sécurité de l’EFPC.
Au terme de l’enquête, le Commissariat a recommandé que l’EFPC mette en œuvre les mesures suivantes dans un délai de neuf mois :
L’EFPC a adopté les mesures en question dans le délai fixé. Le Commissariat a constaté après examen que l’EFPC avait fait ce qu’il fallait pour régler les préoccupations soulevées dans la plainte.
En août 2023, une enquête du Commissariat sur le SCC a révélé que ce dernier avait communiqué de façon inappropriée les renseignements personnels d’une personne plaignante. Le nom de cette personne figurait dans une lettre relative à une question de ressources humaines qui a été envoyée par erreur à un autre employé. Celui-ci a donc pu avoir accès à de l’information concernant l’employé dont les renseignements ont été communiqués de façon inappropriée.
Au cours de son enquête, le Commissariat a constaté que le SCC n’avait pas mis en œuvre de manière adéquate les recommandations formulées antérieurement lors d’une enquête menée en 2021 relativement à la collecte, à l’utilisation et à la communication par celui-ci des renseignements d’une personne plaignante.
Au terme de l’enquête menée en août 2023, le Commissariat a recommandé au SCC d’élaborer un document d’orientation à l’intention de ses employés concernant les atteintes à la vie privée et d’offrir de la formation sur le sujet.
La plus récente enquête du Commissariat lui a permis de constater que le SCC avait suivi ses recommandations dans le délai imparti. Le Commissariat est d’avis que les préoccupations soulevées dans la plainte sont désormais réglées.
En mai 2023, le Commissariat a mené une enquête sur le programme Marketing Intelliposte de Postes Canada. Celle-ci a révélé que Postes Canada a utilisé les renseignements personnels tirés de ses données opérationnelles à des fins de marketing, et ce, sans obtenir l’autorisation nécessaire des individus concernés. Dans le cadre de ce programme, Postes Canada a créé des listes de marketing à l’aide de diverses sources de renseignements, comme ceux figurant sur les enveloppes et les colis livrés partout au pays.
Le Commissariat a recommandé que Postes Canada cesse d’utiliser et de communiquer les renseignements personnels recueillis dans le cadre de ses activités de marketing postal tant qu’elle n’aura pas demandé et obtenu l’autorisation des Canadiennes et des Canadiens.
Au terme de l’enquête, Postes Canada a mis en place certaines mesures pour accroître la transparence à cet égard, comme mettre à jour l’information en ligne sur le programme et ajouter des brochures à des points de vente. Depuis, Postes Canada a aussi annoncé qu’elle prendrait les mesures supplémentaires suivantes :
En outre, Postes Canada a fait part au Commissariat des améliorations qu’elle compte apporter à son programme Marketing Intelliposte, notamment les mesures qu’elle met en place pour accroître la transparence de ses pratiques de protection des données et de la vie privée. Le Commissariat a examiné les mesures proposées par Postes Canada, en particulier celle de cesser de combiner les données des annuaires téléphoniques publics à ses données opérationnelles pour valider les adresses incomplètes.
Le Commissariat estime que cette mesure permet de régler les préoccupations soulevées dans la plainte.
L’engagement de Postes Canada à améliorer ses pratiques dans ce domaine devrait assurer une responsabilité accrue quant à la protection du droit à la vie privée des Canadiennes et des Canadiens.
L’influence de la technologie sur la protection de la vie privée a été l’un des thèmes principaux qui se sont dégagés des travaux du Commissariat à la protection de la vie privée du Canada sous le régime de la LPRPDE en 2023-2024.
La publication d’un rapport du Commissaire à la protection de la vie privée du Canada sur les conclusions d’une enquête sur Aylo, l’entreprise qui exploite Pornhub et d’autres sites pornographiques bien connus, est l’un des faits saillants de la dernière année. L’enquête menée par le Commissariat a permis de conclure qu’Aylo a enfreint les lois canadiennes sur la protection des renseignements personnels en permettant la publication d’images intimes sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci.
L’enquête a mis au jour d’importants manquements en matière de consentement qui ont conduit à cette situation. Les victimes en ont subi de graves conséquences, qui se sont notamment traduites par de la stigmatisation sociale, des préjudices psychologiques, des pertes financières et même des tentatives de suicide.
Le consentement est aussi une question centrale dans les enquêtes en cours sur TikTok et OpenAI. Menées conjointement avec des homologues du Commissariat au Québec, en Colombie-Britannique et en Alberta, ces enquêtes visent à établir, entre autres, si les deux entreprises en question obtiennent un consentement valide pour l’utilisation, la collecte et la communication de renseignements personnels. Dans le cas de TikTok, l’enquête prendra notamment en considération la part importante des jeunes qui utilisent la plateforme.
En raison de l’augmentation de la menace et de la gravité des cyberattaques dans le monde entier au cours des dernières années, la technologie est un élément clé dans les enquêtes du Commissariat. Ce dernier a observé que même si le nombre d’incidents signalés n’a connu qu’une légère hausse, le nombre de comptes personnels touchés a augmenté de façon plus importante. En outre, des infrastructures essentielles sont de plus en plus la cible de cyberattaques de masse.
La protection de la vie privée et l’innovation sont complémentaires. Les organisations qui prennent au sérieux la vie privée de leurs clients et qui mettent en place des mesures visant à protéger adéquatement les renseignements personnels suscitent la confiance et connaissent une croissance. Afin d’épauler les entreprises dans l’adoption de pratiques rigoureuses en matière de protection de la vie privée, le Commissariat compte sur une équipe de services-conseils formée d’experts qui peuvent aider celles-ci à mieux comprendre leurs obligations au titre de la loi.
La section ci-après présente les résultats clés obtenus en 2023-2024 sous le régime de la LPRPDE.
| Plaintes acceptées | 446 |
|---|---|
| Plaintes fondées | 16 |
| Plaintes fermées par règlement rapide | 363 |
| Plaintes fermées à l’issue d’une enquête officielle | 42 |
| Signalements d’atteintes à la sécurité des données reçus | 693 |
| Activités de liaison des services-conseils avec le secteur privé | 16 |
En 2023-2024, le Commissariat a accepté 446 plaintes déposées sous le régime de la LPRPDE. La majeure partie d’entre elles visait des entreprises du secteur financier (112 plaintes, ou 25 % de toutes les plaintes acceptées qui ont été déposées sous le régime de la LPRPDE) et du secteur des services numériques ou en ligne (72 plaintes, ou 16 % de toutes les plaintes acceptées). Le secteur des services numériques ou en ligne comprend les fournisseurs de services Internet et informatiques ainsi que les entreprises qui offrent d’autres services en ligne, comme des nouvelles, des logiciels et des applications mobiles, des répertoires, des portails de recherche et des plateformes de médias sociaux.
Quel que soit le secteur d’activité, toutes les plaintes reçues soulevaient des questions relativement à la collecte et à l’utilisation sans consentement de renseignements sur le crédit, à la difficulté d’obtenir l’accès aux renseignements personnels, au délai de règlement des plaintes concernant la protection de la vie privée, aux procédures de conservation et de suppression des renseignements personnels et à l’utilisation à grande échelle des renseignements personnels.
Le Commissariat a aussi constaté une hausse des plaintes présentées par des locataires d’habitation concernant les pratiques de leurs propriétaires en matière de vie privée. Ces plaintes avaient trait notamment à la vidéosurveillance à l’extérieur des unités locatives et à l’utilisation de services en ligne par les propriétaires pour sélectionner les locataires éventuels.
Comme il a été mentionné précédemment, à la fin du mois de mars 2024, 20 % (152) de toutes les enquêtes en cours du Commissariat avaient commencé depuis plus de 12 mois. Bien que le risque d’une augmentation de l’arriéré demeure, le Commissariat continue de chercher des moyens créatifs et innovants d’obtenir encore plus de gains d’efficacité et à mettre en œuvre des mesures en ce sens.
Comme il a été mentionné précédemment dans le présent rapport, le Commissariat tente de régler les plaintes peu complexes et non systémiques, lorsque cela est possible, selon une méthode reposant sur la négociation ou les discussions, laquelle permet habituellement d’obtenir les meilleurs résultats pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête officiel.
| Exercice | Pourcentage des plaintes |
|---|---|
| 2023-2024 | 90 % |
| 2022-2023 | 73 % |
| 2021-2022 | 85 % |
| 2020-2021 | 71 % |
| 2019-2020 | 69 % |
Voici un exemple d’un tel cas au titre de la LPRPDE :
Un individu a déposé une plainte au Commissariat parce qu’il soupçonnait que les caméras de surveillance de son immeuble enregistraient à la fois de l’audio et de la vidéo. L’entreprise de gestion immobilière avait avisé les locataires de la vidéosurveillance, mais ne les avait pas informés que l’enregistrement audio serait aussi activé.
À la suite de l’intervention du Commissariat, l’entreprise a désactivé la fonction d’enregistrement audio.
Une enquête portant sur Aylo, l’un des plus importants exploitants de sites pornographiques au monde, a permis de conclure que l’entreprise a enfreint la LPRPDE en permettant la publication d’images intimes sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci.
L’enquête a été ouverte pour donner suite à la plainte d’une personne qui a découvert que son ancien partenaire avait téléversé une vidéo et des photos intimes d’elle, ainsi que d’autres renseignements permettant de l’identifier, sur divers sites d’Aylo.
À la demande de la personne plaignante, Aylo a d’abord pris des mesures pour retirer le contenu en question. Toutefois, les mesures de protection de la vie privée mises en place par l’entreprise n’ont pas empêché la vidéo d’être téléversée à plusieurs reprises sur les sites Web d’Aylo, où elle a pu être téléchargée et diffusée à nouveau par les utilisateurs du site Web. Finalement, plus de 700 occurrences des images se retrouvaient sur plus de 80 sites Web.
La personne a déclaré que cette perte de contrôle permanente de ses images intimes a fait en sorte qu’elle s’est retirée de la vie sociale, qu’elle a perdu une possibilité d’emploi et qu’elle vit constamment dans la peur d’être reconnue à partir des images qui circulent en ligne.
L’enquête a permis d’établir que dans de nombreux cas, Aylo s’en remettait aux téléverseurs pour confirmer que chaque individu représenté dans les vidéos et les images ont consenti à leur téléversement, malgré le fait que l’entreprise ait elle-même constaté que cette méthode était inadéquate. L’enquête a aussi révélé que lorsque des individus qui n’avaient pas donné leur consentement au téléversement du contenu demandaient à Aylo de le retirer, ils se sont heurtés à un processus très lourd et inefficace.
Le Commissaire à la protection de la vie privée du Canada a formulé plusieurs recommandations qui visent à faire en sorte qu’Aylo se conforme à la loi. Celui-ci lui a notamment recommandé de prendre des mesures pour obtenir un consentement valide directement de chaque personne qui figure dans les images et les vidéos publiées sur ses sites Web, de supprimer tout le contenu pour lequel un consentement valide n’a pas été obtenu et de simplifier son processus de retrait.
Bien qu’Aylo ait apporté des changements à ses pratiques en matière de consentement dans les dernières années afin de remédier à ces problèmes, l’entreprise n’a pas fourni au Commissariat des éléments de preuve démontrant qu’elle avait réglé les infractions définies dans le cadre de l’enquête.
La publication du rapport d’enquête était initialement prévue pour mai 2023. Cependant, elle a été retardée quand Aylo a intenté une action en justice, empêchant le Commissaire de publier le rapport jusqu’à ce que la Cour d’appel fédérale rejette ladite action en justice le 29 février 2024.
En 2023-2024, le Commissaire a aussi mené plusieurs enquêtes très médiatisées sur les pratiques de traitement des renseignements personnels des entreprises. Ces enquêtes étaient encore en cours au moment de la rédaction du présent rapport.
Le Commissaire à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, mène une enquête sur les pratiques d’OpenAI en matière de protection de la vie privée.
Le Commissaire Dufresne a lancé une enquête à la suite d’une plainte selon laquelle des renseignements personnels avaient été recueillis, utilisés et communiqués sans consentement. Étant donné que l’intelligence artificielle a une vaste portée, que ses répercussions sur la vie privée sont importantes et qu’elle touche toute la population canadienne, les quatre autorités ont décidé d’enquêter conjointement sur cette affaire.
L’enquête permettra d’établir si OpenAI a :
Le Commissaire à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, mène une enquête sur les pratiques de TikTok en matière de protection de la vie privée.
Les quatre autorités établiront si les pratiques de l’organisation sont conformes aux lois canadiennes fédérales et provinciales sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement valide et éclairé pour la collecte, l’utilisation et la communication de renseignements personnels. L’enquête visera aussi à établir si l’entreprise respecte ses obligations de transparence, notamment lors de la collecte des renseignements personnels de ses utilisateurs.
Compte tenu de l’importance de protéger la vie privée des enfants, l’enquête conjointe porte en particulier sur les pratiques de protection des renseignements personnels de TikTok en ce qui concerne les jeunes utilisateurs.
Le Commissariat mène une enquête à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom faisait l’objet d’une recherche. L’individu a affirmé que les articles de presse en question étaient désuets et inexacts et qu’ils divulguaient des renseignements de nature sensible à son sujet, ce qui lui a causé un préjudice grave.
L’enquête a été mise en suspens le temps que le Commissariat demande à la Cour fédérale de préciser si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne. En septembre 2023, la Cour d’appel fédérale a confirmé la position du Commissariat : l’exploitation du service de moteur de recherche de Google est assujettie à la LPRPDE. L’enquête a été relancée et devrait être achevée dans les mois à venir.
Le Commissariat a constaté une augmentation de l’ampleur et de la complexité des atteintes de même que l’application de techniques de plus en plus sophistiquées par les auteurs de menaces, y compris ceux qui sont parrainés par un État et ceux qui sont liés au crime organisé.
De plus, il y a une hausse des atteintes touchant des entreprises responsables d’infrastructures essentielles, comme des sociétés de financement et des entreprises de télécommunications. Ces atteintes représentent respectivement 25 % et 17 % des signalements reçus.
Les tiers fournisseurs de services, notamment dans le domaine des technologies de l’information et des logiciels, ont aussi été ciblés plus fréquemment en 2023-2024. Les conséquences de telles atteintes peuvent être très importantes. Par exemple, une atteinte mettant en cause une entreprise de traitement de données peut faire un très grand nombre de victimes puisqu’elle touche les clients de plusieurs entreprises, parfois même de centaines d’entreprises.
Toutefois, selon la LPRPDE, les entreprises de traitement des données ne sont pas tenues de signaler les atteintes à la vie privée; cette responsabilité incombe plutôt à leurs clients. Il peut donc être difficile de déterminer la pleine portée d’une atteinte si les entreprises de traitement des données ne signalent pas les atteintes aux entreprises avec lesquelles elles font affaire.
Il est intéressant de noter qu’en 2023-2024, même si le nombre d’incidents signalés est resté le même, le nombre d’individus touchés a doublé par rapport à l’année précédente. En 2023-2024, les organisations du secteur privé ont signalé au Commissariat 693 atteintes qui ont touché environ 25 millions de comptes canadiens, contre 681 atteintes ayant touché environ 12 millions de comptes l’année précédente.
Le nombre de cyberattaques signalées qui ont entraîné des atteintes à la vie privée a augmenté de 13 %. En 2023-2024, 321 des atteintes signalées (46 %) ont été identifiées comme des cyberincidents, alors que 278 cyberattaques avaient été signalées au cours de l’exercice 2022-2023.
Le Commissariat croit que de nombreuses atteintes ne sont pas signalées – voire qu’elles passent inaperçues – en particulier dans le cas des petites et moyennes entreprises (PME). Les PME représentent près de 90 % des entreprises au Canada, mais elles signalent pratiquement le même nombre d’atteintes que les grandes entreprises comme les fournisseurs de services de télécommunications ou de communication, les banques, les compagnies d’assurance et les sociétés de divertissement.
| Secteur de l’industrie | 2020-2021 | 2021-2022 | 2022-2023 | 2023-2024 |
|---|---|---|---|---|
| Finances | 22 % | 20 % | 27 % | 25 % |
| Télécommunications | 14 % | 14 % | 17 % | 17 % |
| Services professionnels | 8 % | 12 % | 14 % | 10 % |
| Services | 6 % | 5 % | 4 % | 8 % |
|
Vente et commerce de détail |
10 % | 8 % | 9 % | 7 % |
| Secteur manufacturier | 6 % | 8 % | 4 % | 7 % |
| Type d’atteinte | 2020-2021 | 2021-2022 | 2022-2023 | 2023-2024 |
|---|---|---|---|---|
| Accès non autorisé | 64 % | 65 % | 66 % | 75 % |
| Communication non autorisée | 28 % | 25 % | 25 % | 18 % |
| Vol | 5 % | 3 % | 4 % | 3 % |
| Perte | 3 % | 7 % | 4 % | 3 % |
Le risque réel de préjudice grave (RRPG) est le seuil juridique minimal pour signaler une atteinte sous le régime de la LPRPDE. Toutefois, il peut parfois être difficile d’établir si ce seuil est atteint.
Pour aider les organisations dans cet exercice et orienter l’évaluation du risque, le Commissariat a conçu un outil qui devrait être lancé en 2024-2025. Cet outil comprend une série de questions qui visent à cerner les préjudices qui pourraient être causés aux personnes touchées par l’atteinte et à établir si l’incident pose un risque réel de préjudice grave.
Les éléments servant à établir si une atteinte aux mesures de sécurité présente un RRPG incluent le degré de sensibilité des renseignements personnels qui sont visés par l’atteinte et la probabilité que ceux-ci aient été mal utilisés ou soient en train ou sur le point de l’être.
Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, des effets négatifs sur le dossier de crédit, le dommage aux biens ou leur perte, ainsi que la perte de possibilités d’emploi, d’occasions d’affaires ou d’activités professionnelles.
Les organisations qui n’arrivent pas à établir si une atteinte doit être signalée sont invitées à communiquer avec le Commissariat pour obtenir des conseils.
Un client a avisé Brinks Home qu’il avait accès aux renseignements personnels d’autres clients du système de sécurité au moyen de son portail de compte en ligne. Après avoir remarqué qu’il y avait toujours accès 10 semaines plus tard, il en a informé l’entreprise une seconde fois et a déposé une plainte à cet égard auprès du Commissariat.
Peu de temps après le second avis, Brinks Home a réglé le cas d’accès non autorisé, qui s’est avéré être le résultat d’une erreur de la part d’un employé. Cette erreur a fait en sorte que 102 clients ont eu accès aux renseignements personnels de 3 340 autres clients de Brinks Home pendant au moins plusieurs mois.
L’enquête du Commissariat a révélé que Brinks Home n’avait pas adéquatement protégé les renseignements personnels des clients contre les accès non autorisés. Cela dit, à la suite de cette atteinte, l’entreprise a mis en place diverses mesures pour éviter qu’une situation semblable ne se reproduise à l’avenir : elle a mis à jour son processus d’inscription des clients et amélioré la formation sur le service à la clientèle, entre autres.
Le Commissariat s’est aussi penché, dans le cadre de cette enquête, sur la question de savoir si Brinks Home s’était conformée à ses exigences en matière de signalement des atteintes. Il a été établi que les renseignements personnels en cause pouvaient être considérés comme sensibles, mais que la probabilité d’une mauvaise utilisation de ces renseignements dans les circonstances était faible, puisqu’il ne s’agissait pas d’un cas de piratage de la part d’acteurs malveillants. L’enquête a permis de confirmer qu’au plus 20 clients de Brinks Home, c’est-à-dire ceux qui s’étaient connectés à leur portail au cours de la période en question, auraient pu accéder aux données d’autres clients sans autorisation.
Par conséquent, il a été établi que, dans les circonstances, l’incident n’était pas associé à un risque réel de préjudice grave, qui constitue le seuil de signalement des atteintes. Brinks Home n’était donc pas tenue de signaler l’incident au Commissariat ni d’en aviser les personnes concernées.
Lorsque les organisations du secteur privé acceptent de conclure une entente de conformité avec le Commissariat ou qu’elles acceptent de mettre en œuvre ses recommandations au terme d’une enquête, le Commissariat assure un suivi pour veiller à ce que ces organisations prennent les mesures qui s’imposent.
En 2023-2024, en plus de fermer 23 dossiers sous le régime de la LPRP, l’Unité de vérification de la conformité a fermé 15 dossiers de suivi sous le régime de la LPRPDE, dont les deux dossiers suivants.
En 2022, une enquête conjointe que le Commissariat a menée avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta a révélé que l’application mobile de Tim Hortons suivait et enregistrait constamment les déplacements des utilisateurs de l’application à chaque minute, chaque jour, même lorsque l’application n’était pas ouverte. La compagnie a utilisé ces renseignements pour déduire où habitaient et travaillaient les utilisateurs, en plus d’établir s’ils étaient en déplacement. L’application générait un « événement » chaque fois que les utilisateurs entraient dans les lieux suivants ou en sortaient : concurrents de Tim Hortons, principaux sites où se tiennent des événements sportifs, lieu de résidence et lieu de travail.
Les quatre autorités de protection de la vie privée ont formulé plusieurs recommandations. Elles ont notamment recommandé à Tim Hortons de supprimer toutes les données de géolocalisation et d’exiger des fournisseurs de services tiers qu’ils fassent de même. Elles ont aussi recommandé que la compagnie instaure un programme de gestion de la protection des renseignements personnels relativement aux applications, afin d’assurer la conformité aux lois sur la protection des renseignements personnels à l’avenir.
Tim Hortons a mis en œuvre ces recommandations dans le délai imparti. Après un examen en 2023 auquel ont participé ses homologues provinciaux, le Commissariat s’est dit satisfait des mesures prises par Tim Hortons et a conclu que les préoccupations soulevées par la plainte avaient été réglées.
En 2022, une enquête du Commissariat portant sur une atteinte subie par Marriott International Inc. a révélé que les mesures de protection appliquées par la chaîne hôtelière au moment de l’atteinte n’étaient pas suffisantes. Après l’incident, Marriott a apporté plusieurs améliorations à ses mesures de protection.
Le Commissariat a recommandé à Marriott de faire appel à un évaluateur externe pour étudier les améliorations apportées à ses mesures de protection et de mener des examens périodiques de ses pratiques en matière de protection de la vie privée afin d’éviter qu’une atteinte similaire se reproduise.
Marriott a mis en œuvre ces recommandations et, après examen des mesures prises, le Commissariat a indiqué que les préoccupations soulevées par l’enquête avaient été réglées.
Le Commissariat fournit des conseils aux organisations pour qu’elles puissent s’assurer que leurs initiatives et leurs pratiques de gestion des renseignements personnels sont conformes à la LPRPDE.
La Direction des services-conseils à l’entreprise du Commissariat a offert un soutien à des organisations innovantes de nombreux secteurs, notamment ceux de la santé, de l’éducation, des finances, de la vente au détail, du marketing, des services, de l’automobile, des ressources humaines, de la technologie et de l’analytique.
L’adoption de technologies avancées, comme l’intelligence artificielle et la technologie de reconnaissance faciale, continue de s’accélérer. Le Commissariat a fourni des conseils aux entreprises qui envisagent d’utiliser et qui adoptent des modèles, des structures et des pratiques de traitement des données de plus en plus complexes, en plus de se pencher sur des initiatives qui prévoient l’application de technologies informatiques de pointe, afin de prévenir les fraudes et les crimes potentiels.
Un membre de la Direction des services-conseils à l’entreprise du Commissariat donne une présentation sur la LPRPDE à Halifax, en Nouvelle-Écosse.
En 2023-2024, en plus des autres activités de promotion du Commissariat, une équipe est allée en Nouvelle-Écosse, au Nouveau-Brunswick et au Yukon pour animer en personne des ateliers sur la protection de la vie privée et donner des séances d’information sur la conformité à la LPRPDE à l’intention des entreprises.
Tout d’abord, à l’automne 2023, les membres de l’équipe se sont rendus dans le Canada atlantique. À Halifax, ils ont présenté à des entreprises des pratiques exemplaires et les principes énoncés dans la LPRPDE, en plus d’offrir des ateliers à ce sujet. À Moncton, dans le cadre de l’événement Techtoberfest organisé par Venn Innovation, ils ont fait une présentation et animé une table ronde sur la LPRPDE et la protection des données. Ces activités ont attiré le plus grand nombre de participants à l’événement.
Ensuite, en février 2024, les membres de l’équipe se sont rendus dans le Nord canadien dans le but de rencontrer des entreprises, de les renseigner sur la conformité à la loi fédérale sur la protection des renseignements personnels et de faire la promotion des services offerts par la Direction des services-conseils à l’entreprise. Ces rencontres et ces activités de sensibilisation ont permis au Commissariat de nouer ou de renforcer des relations avec les principales parties prenantes et entreprises sur place, et de mieux comprendre les besoins et les défis du milieu des affaires de cette région.
Là-bas, les membres de l’équipe ont aussi tenu des ateliers sur la protection de la vie privée et des réunions avec les parties prenantes. Ils ont notamment fait une présentation sur la LPRPDE pour le personnel de l’Agence canadienne de développement économique du Nord. Ils ont tenu un kiosque à l’occasion d’un événement organisé par le ministère du Développement économique du gouvernement du Yukon, auquel ont assisté plus de 250 personnes. Ils se sont aussi entretenus avec des entrepreneurs et des représentants de jeunes entreprises, ainsi qu’avec des intervenants d’associations industrielles telles que Tech Yukon et Yukonstruct, l’Université du Yukon et d’autres parties prenantes dans les domaines de la technologie, de l’hôtellerie et du tourisme.
Les gens d’affaires se sont informés de leurs obligations au titre de la LPRPDE et ont abordé des questions particulières de conformité avec l’équipe, comme les obligations en matière de protection de la vie privée des entreprises qui ont recours à des systèmes informatiques et à des services de stockage infonuagiques.
Alors que les technologies continuent d’évoluer et ne cessent de se complexifier, il est important d’avoir des experts en technologie capables de soutenir le travail du Commissariat dans ce domaine.
La Direction de l’analyse de la technologie joue un rôle de plus en plus important dans le travail d’enquête du Commissariat. Par exemple, elle participe aux enquêtes portant sur des plateformes en ligne comme TikTok et OpenAI. En fournissant une analyse et des conseils d’expert en réponse à des préoccupations concernant la protection de la vie privée dans des environnements numériques, la Direction permet au Commissariat de mieux comprendre les facteurs technologiques en cause dans certaines enquêtes afin de recommander des solutions adéquates. La Direction réalise également des analyses spécialisées sur des technologies en appui aux services offerts par les directions chargées des services-conseils au gouvernement et à l’entreprise.
Les technologues du Commissariat mènent des recherches dans leur laboratoire technologique, lesquelles portent, par exemple, sur les préoccupations soulevées par des dispositifs pour maison intelligente et par les avancées dans le domaine de l’IA, à savoir les grands modèles de langage et l’IA générative.
Ces technologues collaborent aussi avec des partenaires internationaux, comme ceux du Groupe de travail international sur la protection des données dans les technologies, également connu sous le nom de « Groupe de Berlin », afin de jeter les bases des prochaines évaluations des technologies. Par ailleurs, les analystes de cette direction rédigent périodiquement des billets de blogue qui sont publiés sur le site Web du Commissariat. Parmi les sujets traités, mentionnons la cryptographie post-quantique et le chiffrement homomorphe. Ces billets de blogue visent à mieux faire comprendre au grand public et aux professionnels les enjeux relatifs à la protection de la vie privée et à la technologie.
Le Commissariat commande un sondage tous les deux ans auprès des entreprises canadiennes pour mieux comprendre à quel point elles sont sensibilisées à la protection de la vie privée et pour connaître l’approche à cet égard dans le secteur privé canadien. Les résultats du sondage permettent au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels, et de renforcer ses efforts de sensibilisation auprès des entreprises.
Le sondage de 2023-2024 a montré que :
| % des répondants | |
|---|---|
| 7 – Extrêmement important | 69 % |
| 6 | 11 % |
| 5 | 10 % |
| 4 | 3 % |
| 3 | 2 % |
| 2 | 1 % |
| 1 – Pas du tout important | 5 % |
En plus de veiller au respect de la LPRP et de la LPRPDE, le Commissariat remplit activement son mandat de protéger et de promouvoir le droit à la vie privée. Par exemple, il conseille le Parlement, collabore avec des partenaires nationaux et internationaux et appuie la recherche sur la protection de la vie privée.
La section suivante donne une vue d’ensemble des activités menées par le Commissariat dans ces domaines en 2023-2024.
| Projets de loi, études parlementaires et projets de règlement examinés sous l’angle de leurs répercussions sur la vie privée | 38 |
|---|---|
| Comparutions devant des comités parlementaires sur des questions de protection de la vie privée | 10 |
| Demandes d’information | 2 548 |
| Annonces et communiqués diffusés | 58 |
| Allocutions et présentations | 64 |
| Publications sur X (Twitter) | 838 |
| Abonnés sur X (Twitter) | 20 170 |
| Publications sur LinkedIn | 501 |
| Abonnés sur LinkedIn | 33 207 |
| Consultations du site Web | 3 147 433 |
| Consultations du blogue | 68 047 |
| Publications diffusées | 11 366 |
Un volet important du rôle du Commissariat consiste à prodiguer des conseils au Parlement concernant les lois sur la protection des renseignements personnels et d’autres questions. En 2023-2024, le Commissariat a présenté cinq mémoires au Parlement et au gouvernement, tandis que le Commissaire a comparu à dix reprises devant des comités de la Chambre des communes et du Sénat. Voici le résumé de quelques comparutions et d’un mémoire :
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles au sujet des modifications à la Loi électorale du Canada proposées dans le projet de loi C-47, Loi d’exécution du budget, qui permettraient à tout parti politique et à ses affiliés de recueillir, d’utiliser, de communiquer et de conserver des renseignements personnels ainsi que de procéder à leur retrait (conformément à la politique du parti sur la protection des renseignements personnels).
Le Commissaire a affirmé que les partis politiques devraient être assujettis à des obligations en matière de protection de la vie privée qui s’appuient sur une loi et qui sont fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale.
Il a ajouté qu’en raison de l’importance de la vie privée et de la nature sensible des renseignements recueillis, les Canadiennes et les Canadiens ont besoin et sont en droit de bénéficier d’un régime de protection de la vie privée pour les partis politiques qui ne se limite pas à l’autoréglementation et qui prévoit des normes et une surveillance indépendante adéquates pour protéger et promouvoir le droit fondamental des électeurs à la vie privée.
En mai 2023, le Commissaire Dufresne a déposé son mémoire sur le projet de loi C-27, qui vise à moderniser la loi sur la protection des renseignements personnels dans le secteur privé. Par la suite, au cours de l’automne, le Commissaire a comparu deux fois devant le Comité permanent de l’industrie et de la technologie (INDU) pour présenter ses 15 principales recommandations visant à renforcer ce projet de loi.
Au cours de sa comparution de septembre 2023, le Commissaire Dufresne a fait valoir les recommandations formulées par le Commissariat pour renforcer le projet de loi, entre autres reconnaître explicitement la protection de la vie privée comme un droit fondamental, mieux protéger le droit à la vie privée des enfants et l’intérêt supérieur de l’enfant ainsi qu’exiger des organisations qu’elles mènent des EFVP pour les initiatives à risque élevé, notamment celles qui se rapportent à l’IA.
Lors de sa comparution d’octobre 2023, le Commissaire Dufresne s’est dit ravi des déclarations du ministre de l’Innovation, des Sciences et de l’Industrie concernant d’éventuels amendements au projet de loi qui iraient dans le sens de certaines recommandations clés formulées par le Commissariat.
Des représentants du Commissariat ont comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles au sujet du projet de loi S-231, qui élargirait les circonstances dans lesquelles il serait permis de prélever, d’utiliser et de conserver des échantillons d’ADN de contrevenants pour résoudre des crimes. Ce projet de loi permettrait aussi la recherche de liens de parenté, c’est-à-dire l’utilisation par les services de police d’échantillons d’ADN pour établir des correspondances proches ou partielles dans des bases de données génétiques.
Le Comité s’est montré sensible aux préoccupations soulevées par le Commissariat et d’autres intervenants à l’égard des dispositions sur la recherche de liens de parenté proposées dans le projet de loi. Ces dispositions ont d’ailleurs été retirées au cours de l’étude du Comité.
Le Commissaire Dufresne a été invité à présenter son point de vue sur l’étude du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) sur l’utilisation des plateformes de médias sociaux pour la collecte de données et le partage non éthique ou illicite de renseignements personnels avec des entités étrangères.
Le Commissaire a recommandé qu’il soit reconnu dans une loi fédérale modernisée sur la protection des renseignements personnels que le traitement des renseignements personnels devrait protéger la vie privée des enfants et prendre en compte l’intérêt supérieur de l’enfant. Une telle reconnaissance encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services dès la conception et par défaut.
Le Commissaire Dufresne a également comparu devant le Comité ETHI pour contribuer à son étude sur l’utilisation, par le gouvernement fédéral, d’outils permettant d’extraire des données sur des appareils mobiles et ordinateurs.
Le Commissaire Dufresne a affirmé qu’il demeure important que les institutions gouvernementales portent une attention particulière aux répercussions de leurs activités sur la vie privée et les évaluent soigneusement. Il a par ailleurs réitéré une de ses recommandations, à savoir que la LPRP doit rendre officiellement obligatoires les EFVP.
Par ailleurs, le Commissaire Dufresne a comparu devant le Comité permanent de la sécurité publique et nationale (SECU) pour l’aider dans son étude du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
Le Commissaire Dufresne a souligné que les services numériques sont au cœur de notre façon de vivre, de travailler et d’interagir, de sorte qu’il est essentiel de protéger la cyberinfrastructure du Canada contre d’éventuelles menaces.
Il a affirmé appuyer fermement les objectifs du projet de loi C-26 et recommandé des mesures visant à renforcer le projet de loi afin d’atteindre ces objectifs, tout en protégeant le droit fondamental à la vie privée et en tenant compte des conséquences possibles sur la vie privée.
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des peuples autochtones (APPA) au sujet de l’étude de ce comité sur les responsabilités constitutionnelles, politiques et juridiques et les obligations découlant des traités du gouvernement fédéral envers les Premières Nations, les Inuits et les Métis et sur tout autre sujet concernant les peuples autochtones.
Dans sa déclaration, le Commissaire Dufresne a fait état des cas dans lesquels les institutions fédérales peuvent communiquer des renseignements personnels selon les dispositions de la LPRP. Il a précisé que le gouvernement fédéral devrait examiner de près les questions qui touchent les peuples autochtones lorsqu’il procédera à la modernisation tant attendue de la loi sur la protection des renseignements personnels dans le secteur public.
En août, le Commissariat a présenté au ministère des Finances du Canada un mémoire en réponse à sa Consultation sur le renforcement du Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes (LRPC-FAT). Le Commissariat s’intéresse depuis longtemps au Régime canadien de LRPC-FAT : en plus de comparaître devant le Parlement à ce sujet, il participe aux consultations à cet égard.
Le Commissariat estime depuis longtemps que le Régime de LRPC-FAT doit être efficace pour lutter contre les crimes financiers, être étayé par de solides mesures de responsabilité et tenir compte des principes de nécessité et de proportionnalité.
L’importance des partenariats nationaux et internationaux que le Commissariat établit avec les autorités de protection des données et d’autres organismes de réglementation est devenue de plus en plus manifeste en 2023-2024, alors que l’IA générative arrivait en tête de liste des technologies en plein essor qui nécessitent une intervention coordonnée.
En décembre 2023, le Commissaire Dufresne a accueilli à Ottawa le Symposium international sur la protection de la vie privée et l’IA générative. Cet événement, un fait saillant de l’exercice écoulé, a mis en lumière le travail que le Commissariat accomplit au pays et sur la scène internationale. Le Commissaire a profité de l’occasion pour lancer les principes pour un développement et une utilisation responsables de l’IA générative, qui sont le fruit d’une collaboration avec ses homologues provinciaux et territoriaux.
Le Symposium avait lieu en même temps que la 72e rencontre du Groupe de travail international sur la protection des données dans les technologies, que le Commissariat a coprésidée avec le commissaire fédéral à la protection des données et à la liberté d’information de l’Allemagne.
Pour souligner l’importance que le Commissaire Dufresne accorde à la collaboration et aux partenariats, le Commissariat a créé en 2023 la Direction des relations internationales, provinciales et territoriales, qui constituera le point de convergence des activités à l’échelle nationale et internationale.
Par ailleurs, de concert avec le Bureau de la concurrence et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Commissariat a contribué à la constitution du nouveau Forum canadien des organismes de réglementation numérique. Cette tribune permettra d’améliorer la collaboration, l’échange d’information et la coordination dans des domaines d’intérêt commun qui concernent les marchés et les plateformes numériques.
Parmi les autres exemples de collaboration menée à l’échelle nationale, mentionnons les enquêtes portant sur OpenAI – entreprise qui a conçu et lancé ChatGPT – et TikTok, que le Commissariat effectue conjointement avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta.
Au cours de leur réunion annuelle en octobre 2023, les organismes de réglementation fédéral, provinciaux et territoriaux ont adopté des résolutions communes portant sur la protection de la vie privée des employés sur les lieux de travail modernes et le droit à la vie privée des jeunes. Ils ont également élaboré une version de la résolution à l’intention des enfants et de ceux qui s’occupent d’eux ainsi qu’un document donnant des conseils supplémentaires pour aider les organisations à appliquer les principes énoncés dans la résolution.
Le Commissariat a continué de collaborer avec ses homologues internationaux dans le cadre d’organisations comme la Table ronde des autorités de protection des données et de la vie privée du G7 et l’AMVP.
En juin, à l’issue de la réunion des autorités de protection des données et de la vie privée du G7, les autorités participantes ont publié une déclaration commune sur l’IA générative et un plan d’action axé sur un renforcement de la collaboration. Dans la même optique, la réunion annuelle de l’AMVP, qui s’est déroulée en octobre, mettait l’accent sur les technologies émergentes. Les membres ont alors adopté plusieurs résolutions portant sur l’IA. L’une de ces résolutions, coparrainée par le Commissariat, demande à l’AMVP de collaborer avec les organisations qui développent ou mettent en œuvre des outils d’IA dans un contexte d’emploi, par exemple à des fins de surveillance ou de collecte et de conservation de données.
En août, le Commissaire Dufresne et des membres du Groupe de travail de l’AMVP sur la coopération internationale en matière d’application de la loi ont publié une déclaration commune sur l’extraction de données. Les signataires font état des principaux risques pour la vie privée que pose l’extraction de données et expliquent comment les exploitants de sites Web devraient protéger les renseignements personnels. Cette déclaration présente aussi les mesures que les individus peuvent prendre pour minimiser les risques d’atteinte à la vie privée.
Le Commissariat a aussi noué de nouveaux partenariats, par exemple en concluant un protocole d’entente avec les Philippines, en se ralliant à des groupes comme les parties à l’entente mondiale de coopération en matière d’application de la loi pour protéger la vie privée (Global Cooperation Arrangement for Privacy Enforcement – CAPE) et en reconduisant le protocole d’entente établi avec d’autres membres du Unsolicited Communications Enforcement Network (réseau de lutte contre les communications non sollicitées).
En décembre, pour souligner la Journée des droits de la personne, le Commissaire Dufresne et Ana Brian Nougrères, rapporteuse spéciale sur le droit à la vie privée de l’Organisation des Nations Unies, ont publié une déclaration commune sur le droit à la vie privée et les droits démocratiques. Ils ont publié cette déclaration au nom des 30 membres du Groupe de travail sur la protection des données et des autres droits et libertés de l’AMVP.
En collaboration avec l’International Consumer Protection and Enforcement Network (réseau international de contrôle et de protection des consommateurs), le Commissariat a coordonné le ratissage pour la protection de la vie privée de 2024 du Global Privacy Enforcement Network (GPEN), qui portait sur les mécanismes de conception trompeuse, aussi appelés « motifs obscurs ». Cette activité annuelle vise notamment à définir des possibilités de sensibilisation et d’application de la loi ciblées et à renforcer la confiance des consommateurs à l’égard de l’économie numérique.
Chaque année, le Commissariat finance diverses initiatives indépendantes de recherche et de sensibilisation du public au moyen de son Programme des contributions, afin de faire connaître les enjeux relatifs à la protection de la vie privée et l’importance de protéger cette dernière.
Pour 2023-2024, le Commissariat a reçu 44 propositions sur le thème « L’avenir, c’est maintenant! Évaluer et gérer les impacts sur la vie privée des technologies immersives et intégrables ». Le Commissariat a financé 11 projets, qui ont reçu une aide financière totale de près de 500 000 $.
En décembre 2023, le Commissariat a lancé un appel de propositions pour le cycle de financement 2024-2025. Les thèmes retenus cadrent avec deux des priorités stratégiques du Commissariat : tenir compte des répercussions sur la vie privée des nouvelles technologies et protéger la vie privée des enfants. De plus, le montant maximal du financement alloué à chaque projet est passé de 50 000 $ à 100 000 $.
Depuis sa création en 2004, ce programme vise à appuyer la recherche indépendante sans but lucratif sur la protection de la vie privée, à poursuivre l’élaboration de politiques en la matière et à favoriser la sensibilisation à la protection des renseignements personnels au Canada.
Un membre de l’équipe de sensibilisation du Commissariat à une conférence à Vancouver, en Colombie-Britannique, réunissant le personnel des bibliothèques.
Un autre aspect important de la mission du Commissariat consiste à sensibiliser les Canadiennes et les Canadiens aux enjeux liés à la protection de la vie privée et à les aider à les comprendre. Au moyen de ses activités de sensibilisation, le Commissariat vise à informer les individus des conséquences de leurs choix et à leur indiquer comment protéger leurs renseignements personnels, ce qui contribuera à créer une génération d’enfants, d’adolescents et d’adultes bien au fait des questions de vie privée.
Les efforts de sensibilisation en ligne du Commissariat ont notamment pris la forme de blogues pour informer les gens de leur droit à la vie privée et des mesures à prendre pour le protéger, d’éléments de contenu et de campagnes sur les médias sociaux ainsi que de conseils et de ressources à l’intention des jeunes.
Des représentants du Commissariat ont participé à des événements en présentiel où ils ont tenu un kiosque et discuté avec des jeunes, des parents, des éducateurs, des bibliothécaires, des nouveaux arrivants et des aînés partout au pays.
Le Commissariat a aussi fait la promotion de ressources éducatives auprès des enseignants, au moyen de campagnes de courriels, et a renseigné la population canadienne sur l’importance de choisir des mots de passe forts et uniques, dans le cadre d’une campagne radiophonique.
Soulignons par ailleurs la sensibilisation de dizaines de milliers de Canadiennes et de Canadiens et d’entreprises au moyen de campagnes dans les médias sociaux, comme pendant la Semaine de la sensibilisation à la protection de la vie privée, le Mois de la sensibilisation à la cybersécurité, la Semaine de la petite entreprise, la Semaine éducation médias, la Semaine de la protection des données et le Mois de la prévention de la fraude.
Le Commissariat a affecté un nombre important de ressources au traitement des litiges en 2023-2024. Celui-ci a travaillé à faire respecter le droit fondamental à la vie privée devant les tribunaux, à obtenir des précisions sur le champ d’application des lois fédérales en matière de protection des renseignements personnels et à répondre à la contestation de son champ de compétence.
En 2019, une enquête sur Facebook menée par le Commissariat a révélé que Facebook contrevenait à la LPRPDE en omettant, d’une part, d’obtenir un consentement éclairé des utilisateurs pour communiquer leurs renseignements personnels et, d’autre part, de protéger ces renseignements.
D’abord, le 6 février 2020, le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE (dossier no T-190-20) en vue d’obtenir une ordonnance obligeant Facebook à corriger ses pratiques de traitement des renseignements personnels afin de se conformer à la loi fédérale en la matière dans le secteur privé.
Ensuite, le 15 avril 2020, Facebook a présenté une demande de contrôle judiciaire qui conteste la décision du Commissariat d’enquêter et de poursuivre l’enquête ainsi que le processus d’enquête comme tel (dossier no T-473-20).
La Cour fédérale a entendu les deux affaires en mars 2023. Le 13 avril 2023, la Cour a rejeté la demande de contrôle judiciaire de Facebook au motif que l’entreprise n’avait pas présenté sa demande dans les délais prescrits et que le Commissariat n’avait pas manqué à ses obligations en matière d’équité procédurale.
Le 13 avril 2023, la Cour a également rejeté la demande du Commissariat. Elle était d’avis, en particulier, que la preuve était insuffisante pour conclure que Facebook n’avait pas obtenu le consentement éclairé des utilisateurs.
Le Commissariat a annoncé en mai 2023 qu’il portait en appel la décision de la Cour aux motifs que les enjeux au cœur de cette affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens et que ces enjeux gagneraient à être clarifiés par la Cour d’appel fédérale.
Le 21 février 2024, la Cour d’appel fédérale a entendu l’appel. Au moment de la rédaction du présent rapport, la décision de la Cour n’avait pas encore été rendue.
En octobre 2023, la Cour d’appel fédérale a rendu une décision qui a confirmé celle de la Cour fédérale rendue en 2021 : l’exploitation du service de moteur de recherche de Google est assujettie à la loi fédérale sur la protection des renseignements personnels et Google n’est pas exclue du champ d’application de la LPRPDE selon l’exception relative aux fins journalistiques.
Le Commissariat avait demandé à la Cour d’examiner la question à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant de façon évidente dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom faisait l’objet d’une recherche. L’individu affirmait que les articles de presse en question étaient désuets et inexacts et qu’ils divulguaient des renseignements personnels de nature sensible à son sujet, ce qui lui causait un préjudice grave. Le Commissariat demandait à la Cour fédérale de préciser si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne.
Google avait fait valoir que la LPRPDE ne s’appliquait pas dans ce contexte et que, si elle s’appliquait et nécessitait le déréférencement des articles, cela serait inconstitutionnel.
Cette poursuite judiciaire est en lien avec l’enquête du Commissariat sur Aylo (anciennement MindGeek), l’exploitant de Pornhub et d’autres sites pornographiques. Le Commissariat a conclu qu’Aylo a enfreint la LPRPDE en ne déployant pas les efforts raisonnables nécessaires pour s’assurer d’obtenir un consentement éclairé de la part de chaque personne qui figure dans le contenu intime téléversé sur ses sites.
En avril 2023, avant que le rapport de conclusions d’enquête final du Commissariat puisse être publié, Aylo a présenté une demande de contrôle judiciaire à la Cour fédérale (dossier T-853-23) visant, entre autres, à obtenir une déclaration indiquant que l’enquête et la décision du Commissariat d’en publier les conclusions dépassaient son champ de compétence ainsi qu’une ordonnance interdisant au Commissariat de publier son rapport de conclusions d’enquête.
En mai 2023, Aylo a déposé une requête en injonction provisoire pour empêcher le Commissariat de publier son rapport de conclusions avant que la demande de contrôle judiciaire soit entendue par la Cour.
En octobre 2023, la Cour fédérale a rejeté la requête déposée par Aylo. Celle-ci a conclu que la demande ne remplissait pas les critères d’une injonction provisoire. En rejetant la requête en injonction d’Aylo, la Cour fédérale a conclu que l’entreprise n’avait pas démontré qu’elle subirait un préjudice irréparable en raison de la production et de la publication du rapport, et que l’intérêt public milite fortement en faveur du Commissaire, en tant qu’intervenant officiel cherchant à remplir ses obligations légales. Aylo a fait appel de la décision de la Cour fédérale.
Le 29 février 2024, l’appel d’Aylo a été entendu par la Cour d’appel fédérale. Le même jour, la Cour d’appel fédérale a rendu une décision (en anglais seulement) prononcée à l’audience rejetant l’appel d’Aylo et maintenant la décision de la Cour fédérale. Le Commissariat a publié son rapport le même jour.
Sous le régime de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que le plaignant ne veuille plus poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’il fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.
Sous le régime de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.
| Intimé | Abandonnée |
Résolue par règlement rapide |
Non-fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Total |
|---|---|---|---|---|---|---|---|---|---|---|
| Administration canadienne de la sûreté du transport aérien | 1 | 1 | ||||||||
| Affaires mondiales Canada | 2 | 5 | 7 | 1 | 1 | 1 | 17 | |||
| Agence canadienne d’inspection des aliments | 2 | 2 | 4 | |||||||
| Agence de la santé publique du Canada | 3 | 3 | 6 | |||||||
| Agence de promotion économique du Canada atlantique | 1 | 1 | ||||||||
| Agence des services frontaliers du Canada | 3 | 27 | 8 | 2 | 1 | 1 | 42 | |||
| Agence d’évaluation d’impact du Canada | 1 | 2 | 2 | 1 | 1 | 7 | ||||
| Agence du revenu du Canada | 2 | 47 | 11 | 1 | 4 | 1 | 66 | |||
| Agence spatiale canadienne | 1 | 1 | ||||||||
| Agriculture et Agroalimentaire Canada | 1 | 1 | ||||||||
| Anciens Combattants Canada | 1 | 7 | 4 | 1 | 1 | 2 | 16 | |||
| Banque de développement du Canada | 1 | 1 | ||||||||
| Bibliothèque et Archives Canada | 1 | 1 | 2 | |||||||
| Bureau de l’enquêteur correctionnel | 1 | 1 | ||||||||
| Bureau du Conseil privé | 1 | 1 | 2 | |||||||
| Centre canadien d’hygiène et de sécurité au travail | 1 | 1 | ||||||||
| Centre de la sécurité des télécommunications | 1 | 1 | ||||||||
| Comité externe d’examen des griefs militaires | 1 | 1 | ||||||||
| Commissariat à l’information du Canada | 1 | 1 | ||||||||
| Commission canadienne des droits de la personne | 1 | 1 | ||||||||
| Commission civile d’examen et de traitement des plaintes relatives à la GRC | 1 | 1 | 2 | |||||||
| Commission d’examen des plaintes concernant la police militaire du Canada | 1 | 1 | ||||||||
| Commission de l’immigration et du statut de réfugié du Canada | 2 | 5 | 1 | 8 | ||||||
| Commission de la fonction publique | 1 | 1 | 1 | 1 | 4 | |||||
| Commission des libérations conditionnelles du Canada | 2 | 1 | 1 | 2 | 6 | |||||
| Conseil de la radiodiffusion et des télécommunications canadiennes | 1 | 1 | ||||||||
| Conseil de recherches en sciences humaines | 1 | 1 | ||||||||
| Conseil de recherches en sciences naturelles et en génie du Canada | 1 | 1 | ||||||||
| Conseil national de recherches Canada | 3 | 1 | 4 | |||||||
| Construction de Défense Canada | 1 | 1 | ||||||||
| Développement économique Canada pour les Prairies | 1 | 1 | ||||||||
| École de la fonction publique du Canada | 1 | 1 | ||||||||
| Élections Canada / Bureau du directeur général des élections | 1 | 1 | ||||||||
| Emploi et Développement social Canada | 1 | 28 | 12 | 1 | 3 | 2 | 47 | |||
| Environnement et Changement climatique Canada | 3 | 2 | 5 | |||||||
| Forces armées canadiennes | 1 | 1 | 2 | |||||||
| Gendarmerie royale du Canada | 2 | 53 | 18 | 4 | 2 | 79 | ||||
| Gouvernement fédéral du Canada | 1 | 1 | 2 | |||||||
| Immigration, Réfugiés et Citoyenneté Canada | 2 | 23 | 4 | 4 | 33 | |||||
| Innovation, Sciences et Développement économique Canada | 5 | 2 | 7 | |||||||
| Ministère de la Défense nationale | 1 | 28 | 6 | 2 | 37 | |||||
| Ministère de la Justice Canada | 7 | 3 | 1 | 11 | ||||||
| Ministère des Finances Canada | 1 | 1 | ||||||||
| Office de surveillance des activités en matière de sécurité nationale et de renseignement | 2 | 2 | ||||||||
| Office des transports du Canada | 1 | 1 | ||||||||
| Parcs Canada | 1 | 13 | 2 | 16 | ||||||
| Passeport Canada | 2 | 2 | ||||||||
| Patrimoine canadien | 1 | 1 | 1 | 3 | ||||||
| Pêches et Océans Canada | 13 | 4 | 1 | 18 | ||||||
| Régie de l’énergie du Canada | 1 | 1 | 2 | |||||||
| Relations Couronne - Autochtones et Affaires du Nord Canada | 4 | 4 | ||||||||
| Ressources naturelles Canada | 1 | 1 | 1 | 3 | ||||||
| Santé Canada | 9 | 3 | 1 | 13 | ||||||
| Secrétariat du Conseil du Trésor du Canada | 1 | 1 | 1 | 3 | ||||||
| Sécurité publique Canada | 2 | 2 | ||||||||
| Service Canada | 1 | 1 | ||||||||
| Service canadien d’appui aux tribunaux administratifs | 2 | 2 | ||||||||
| Service canadien du renseignement de sécurité | 7 | 4 | 11 | |||||||
| Service correctionnel Canada | 52 | 33 | 2 | 4 | 7 | 1 | 13 | 112 | ||
| Service des poursuites pénales du Canada | 2 | 2 | ||||||||
| Services aux Autochtones Canada | 5 | 2 | 7 | |||||||
| Services partagés Canada | 2 | 4 | 6 | |||||||
| Services publics et Approvisionnement Canada | 4 | 10 | 5 | 1 | 1 | 1 | 22 | |||
| Société canadienne des postes | 20 | 4 | 3 | 5 | 32 | |||||
| Société canadienne d’hypothèques et de logement | 1 | 1 | ||||||||
| Société Radio-Canada | 2 | 1 | 3 | |||||||
| Statistique Canada | 1 | 8 | 2 | 11 | ||||||
| Trans Mountain Corporation | 1 | 1 | 2 | |||||||
| Transports Canada | 13 | 3 | 1 | 17 | ||||||
| VIA Rail Canada | 1 | 1 | 2 | |||||||
| Total | 27 | 421 | 185 | 3 | 4 | 23 | 18 | 1 | 47 | 729 |
|
Règlement rapide |
Autres règlements |
Toutes les enquêtes |
||||
|---|---|---|---|---|---|---|
| Type de plainte | Nombre | Délai de traitement moyen, en mois | Nombre | Délai de traitement moyen, en mois | Nombre | Délai de traitement moyen, en mois |
| Accès | 260 | 8,3 | 166 | 11,6 | 426 | 9,6 |
| Accès | 257 | 8,3 | 166 | 11,6 | 423 | 9,6 |
| Correction ou annotation | 3 | 9,4 | 3 | 9,4 | ||
| Protection des renseignements personnels | 161 | 6,8 | 142 | 22,1 | 303 | 13,9 |
| Collecte | 25 | 7,5 | 52 | 18,6 | 77 | 16,0 |
| Conservation et retrait | 7 | 12,2 | 3 | 16,3 | 10 | 9,5 |
| Exactitude | 1 | 5,4 | 3 | 11,6 | 4 | 5,0 |
| Utilisation et communication | 128 | 5,8 | 84 | 24,9 | 212 | 8,6 |
| Délais | 221 | 1,3 | 328 | 2,4 | 549 | 1,8 |
| Avis de prorogation | 4 | 2,6 | 4 | 2,6 | ||
| Délais | 221 | 324 | 2,1 | 545 | 1,8 | |
| Total | 642 | 5,5 | 636 | 9,0 | 1 278 | 7,3 |
| Type de plainte | Nombre | Délai de traitement moyen, en mois |
|---|---|---|
| Règlement rapide | 642 | 5,5 |
| Autres règlements | 636 | 9,0 |
| Abandonnée | 29 | 15,1 |
| Non fondée | 188 | 15,5 |
| Résolue | 3 | 15,0 |
| Réglée | 4 | 38,0 |
| Fondée | 23 | 17,6 |
| Fondée et conditionnellement résolue | 234 | 3,3 |
| Fondée – Présomption de refus | 71 | 2,9 |
| Fondée et résolue | 84 | 9,9 |
| Total | 1 278 | 7,3 |
| Intimé | Nombre d’incidents |
|---|---|
| Affaires mondiales Canada | 6 |
| Agence d’évaluation d’impact du Canada | 3 |
| Agence du revenu du Canada | 71 |
| Agence fédérale de développement économique pour le Nord de l’Ontario | 1 |
| Agriculture et Agroalimentaire Canada | 1 |
| Autorité du pont Windsor-Détroit | 1 |
| Banque du Canada | 1 |
| Bureau de la sécurité des transports du Canada | 1 |
| Bureau du vérificateur général du Canada | 1 |
| CBC/Société Radio-Canada | 2 |
| Centre d’analyse des opérations et déclarations financières du Canada | 3 |
| Centre de la sécurité des télécommunications | 3 |
| Comité externe d’examen des griefs militaires | 2 |
| Commissariat au lobbying du Canada | 1 |
| Commission canadienne des droits de la personne | 1 |
| Commission canadienne des grains | 1 |
| Commission civile d’examen et de traitement des plaintes relatives à la GRC | 1 |
| Commission de l’immigration et du statut de réfugié du Canada | 1 |
| Commission de la fonction publique du Canada | 8 |
| Conseil d’examen du prix des médicaments brevetés | 1 |
| Conseil national de recherches Canada | 1 |
| Élections Canada / Bureau du directeur général des élections | 1 |
| Emploi et Développement social Canada | 377 |
| Environnement et Changement climatique Canada | 1 |
| Gendarmerie royale du Canada | 14 |
| Immigration, Réfugiés et Citoyenneté Canada | 8 |
| Infrastructure Canada | 1 |
| Innovation, Sciences et Développement économique Canada | 1 |
| Ministère de la Défense nationale | 1 |
| Ministère de la Justice Canada | 1 |
| Ministère des Finances Canada | 1 |
| Office d’investissement des régimes de pensions du secteur public | 1 |
| Patrimoine canadien | 1 |
| Régie de l’énergie du Canada | 1 |
| Ressources naturelles Canada | 1 |
| Santé Canada | 3 |
| Secrétariat du Conseil du Trésor du Canada | 3 |
| Sécurité publique Canada | 1 |
| Service correctionnel Canada | 20 |
| Service des poursuites pénales du Canada | 4 |
| Services de bien-être et moral des Forces canadiennes / Biens non publics et Personnel des fonds non publics des Forces canadiennes | 1 |
| Services partagés Canada | 1 |
| Société canadienne des postes | 3 |
| Statistique Canada | 1 |
| Transports Canada | 1 |
| Tribunal des anciens combattants (révision et appel) | 2 |
| Total | 561 |
| Catégorie | Total |
|---|---|
| Acceptées | |
| Accès | 331 |
| Délais | 603 |
| Protection des renseignements personnels | 179 |
| Total des plaintes acceptées | 1 113 |
| Fermées à la suite d’un règlement rapide | |
| Accès | 260 |
| Délais | 221 |
| Protection des renseignements personnels | 161 |
| Total | 642 |
| Fermées à la suite d’autres règlements* | |
| Accès | 166 |
| Délais | 328 |
| Protection des renseignements personnels | 142 |
| Total | 636 |
| Total des plaintes fermées | 1 278 |
| Atteintes signalées | |
| Accès non autorisé | 89 |
| Communication non autorisée | 85 |
| Perte | 382 |
| Vol | 5 |
| Total des atteintes signalées | 561 |
|
*Comprend les enquêtes sommaires |
|
| Type de plainte | Règlement rapide | Enquête sommaire* | Enquête officielle | Total | ||||
|---|---|---|---|---|---|---|---|---|
Nombre |
Pourcentage |
Nombre |
Pourcentage |
Nombre |
Pourcentage |
Nombre |
Pourcentage |
|
| Accès | ||||||||
| Accès | 238 | 33 % | 64 | 19 % | 26 | 42 % | 328 | 29 % |
| Correction ou annotation | 3 | 0 % | 3 | 0 % | ||||
| Protection des renseignements personnels | ||||||||
| Collecte | 23 | 3 % | 2 | 1 % | 10 | 16 % | 35 | 3 % |
| Conservation et retrait | 3 | 0 % | 2 | 1 % | 2 | 3 % | 7 | 1 % |
| Exactitude | 2 | 0 % | 2 | 0 % | ||||
| Utilisation et communication | 105 | 15 % | 6 | 2 % | 24 | 39 % | 135 | 12 % |
| Délais | ||||||||
| Avis de prorogation | 2 | 3 | 1 % | 5 | 0 % | |||
| Délais | 344 | 48 % | 254 | 77 % | 598 | 54 % | ||
| Total | 720 | 331 | 62 | 1 113 | ||||
|
*Les enquêtes sommaires sont des enquêtes plus courtes qui se soldent par la publication d’un bref rapport ou d’une lettre de conclusions. |
||||||||
| Intimé | 2018-2019 | 2019-2020 | 2020-2021 | 2021-2022 | 2022-2023 | 2023-2024 |
|---|---|---|---|---|---|---|
| Gendarmerie royale du Canada | 273 | 176 | 186 | 179 | 262 | 266 |
| Service correctionnel Canada | 426 | 155 | 130 | 182 | 199 | 201 |
| Immigration, Réfugiés et Citoyenneté Canada | 59 | 44 | 47 | 49 | 131 | 110 |
| Agence des services frontaliers du Canada | 109 | 42 | 48 | 53 | 78 | 103 |
| Défense nationale | 121 | 33 | 51 | 53 | 74 | 78 |
| Agence du revenu du Canada | 79 | 63 | 40 | 48 | 79 | 76 |
| Emploi et Développement social Canada | 39 | 25 | 41 | 26 | 54 | 32 |
| Service canadien du renseignement de sécurité | 24 | 15 | 16 | 14 | 13 | 23 |
| Affaires mondiales Canada | 20 | 19 | 18 | 11 | 26 | 21 |
| Transports Canada | 12 | 5 | 6 | 10 | 12 | 20 |
| Société canadienne des postes | 29 | 4 | 22 | 45 | 23 | 20 |
| Total | 1 191 | 581 | 605 | 670 | 951 | 950 |
| Intimé | Règlement rapide | Enquête sommaire | Enquête officielle | Total |
|---|---|---|---|---|
| Affaires mondiales Canada | 13 | 5 | 3 | 21 |
| Agence canadienne d’inspection des aliments | 1 | 1 | ||
| Agence de la santé publique du Canada | 4 | 4 | ||
| Agence des services frontaliers du Canada | 73 | 24 | 6 | 103 |
| Agence d’évaluation d’impact du Canada | 2 | 1 | 3 | |
| Agence du revenu du Canada | 57 | 14 | 5 | 76 |
| Anciens Combattants Canada | 10 | 1 | 2 | 13 |
| Bibliothèque et Archives Canada | 4 | 4 | ||
| Bureau de l’enquêteur correctionnel | 1 | 1 | 2 | |
| Bureau du Conseil privé | 1 | 2 | 3 | |
| Centre canadien d’hygiène et de sécurité au travail | 1 | 1 | ||
| Centre de la sécurité des télécommunications | 4 | 2 | 6 | |
| Comité externe d’examen des griefs militaires | 1 | 1 | ||
| Commissaire aux élections fédérales | 2 | 2 | ||
| Commissariat à l’information du Canada | 1 | 1 | ||
| Commission canadienne des droits de la personne | 4 | 1 | 5 | |
| Commission civile d’examen et de traitement des plaintes relatives à la GRC | 2 | 2 | 4 | |
| Commission de l’immigration et du statut de réfugié du Canada | 6 | 1 | 7 | |
| Commission de la fonction publique | 1 | 1 | ||
| Conseil de recherches en sciences humaines | 1 | 1 | ||
| Conseil national de recherches Canada | 1 | 1 | ||
| Emploi et Développement social Canada | 22 | 8 | 2 | 32 |
| Environnement et Changement climatique Canada | 2 | 3 | 5 | |
| Gendarmerie royale du Canada | 162 | 99 | 5 | 266 |
| Immigration, Réfugiés et Citoyenneté Canada | 104 | 2 | 4 | 110 |
| Innovation, Sciences et Développement économique Canada | 3 | 1 | 4 | |
| Ministère de la Défense nationale | 47 | 26 | 5 | 78 |
| Ministère de la Justice Canada | 10 | 3 | 2 | 15 |
| Office de surveillance des activités en matière de sécurité nationale et de renseignement | 1 | 2 | 3 | |
| Office des transports du Canada | 1 | 1 | ||
| Parcs Canada | 3 | 12 | 1 | 16 |
| Patrimoine canadien | 1 | 1 | ||
| Pêches et Océans Canada | 4 | 4 | ||
| Régie de l’énergie du Canada | 1 | 1 | ||
| Relations Couronne - Autochtones et Affaires du Nord Canada | 6 | 1 | 7 | |
| Ressources naturelles Canada | 1 | 1 | ||
| Santé Canada | 8 | 2 | 10 | |
| Secrétariat du Conseil du Trésor du Canada | 5 | 1 | 1 | 7 |
| Sécurité publique Canada | 2 | 1 | 3 | |
| Service canadien d’appui aux tribunaux administratifs | 1 | 1 | ||
| Service canadien du renseignement de sécurité | 14 | 3 | 6 | 23 |
| Service correctionnel Canada | 84 | 107 | 10 | 201 |
| Service des poursuites pénales du Canada | 1 | 1 | ||
| Services aux Autochtones Canada | 4 | 4 | ||
| Services partagés Canada | 1 | 1 | ||
| Services publics et Approvisionnement Canada | 10 | 2 | 12 | |
| Société canadienne des postes | 12 | 7 | 1 | 20 |
| Société canadienne d’hypothèques et de logement | 2 | 2 | ||
| Statistique Canada | 3 | 1 | 4 | |
| Transports Canada | 19 | 1 | 20 | |
| Total | 720 | 331 | 62 | 1 113 |
| Type de plainte | Abandonnée |
Non fondée |
Résolue |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Total |
|---|---|---|---|---|---|---|---|---|---|
| Accès | 15 | 101 | 262 | 3 | 8 | 5 | 1 | 31 | 426 |
| Accès | 15 | 101 | 259 | 3 | 8 | 5 | 1 | 31 | 423 |
| Correction ou annotation | 3 | 3 | |||||||
| Protection des renseignements personnels | 12 | 84 | 162 | 1 | 15 | 13 | 16 | 303 | |
| Collecte | 3 | 45 | 25 | 2 | 2 | 77 | |||
| Conservation et retrait | 2 | 7 | 1 | 10 | |||||
| Exactitude | 1 | 1 | 2 | 4 | |||||
| Utilisation et communication | 9 | 37 | 129 | 1 | 12 | 8 | 16 | 212 | |
| Délais | 2 | 3 | 221 | 216 | 70 | 37 | 549 | ||
| Avis de prorogation | 2 | 1 | 1 | 4 | |||||
| Délais | 2 | 221 | 216 | 70 | 36 | 545 | |||
| Total | 29 | 188 | 645 | 4 | 23 | 234 | 71 | 84 | 1 278 |
| Intimé | Abandonnée |
Résolue |
Non-fondée |
Fondée et conditionnellement résolue |
Fondée – Présomption de refus |
Fondée et résolue |
Total |
|---|---|---|---|---|---|---|---|
| Affaires mondiales Canada | 4 | 1 | 2 | 7 | |||
| Agence de la santé publique du Canada | 1 | 1 | |||||
| Agence des services frontaliers du Canada | 18 | 16 | 8 | 11 | 53 | ||
| Agence du revenu du Canada | 13 | 10 | 1 | 1 | 25 | ||
| Anciens Combattants Canada | 2 | 1 | 3 | ||||
| Bureau du Conseil privé | 1 | 1 | 2 | ||||
| Centre de la sécurité des télécommunications | 2 | 4 | 6 | ||||
| Commission canadienne des droits de la personne | 1 | 1 | |||||
| Commission civile d’examen et de traitement des plaintes relatives à la GRC | 1 | 1 | |||||
| Commission de l’immigration et du statut de réfugié du Canada | 2 | 1 | 3 | ||||
| Commission de la fonction publique | 1 | 1 | |||||
| Emploi et Développement social Canada | 12 | 1 | 3 | 16 | |||
| Environnement et Changement climatique Canada | 1 | 3 | 4 | ||||
| Gendarmerie royale du Canada | 1 | 55 | 78 | 21 | 12 | 167 | |
| Immigration, Réfugiés et Citoyenneté Canada | 49 | 1 | 1 | 3 | 54 | ||
| Innovation, Sciences et Développement économique Canada | 1 | 1 | |||||
| Instituts de recherche en santé du Canada | 1 | 1 | |||||
| Ministère de la Défense nationale | 18 | 11 | 15 | 2 | 46 | ||
| Ministère de la Justice Canada | 1 | 3 | 2 | 6 | |||
| Office de surveillance des activités en matière de sécurité nationale et de renseignement | 1 | 1 | 1 | 3 | |||
| Relations Couronne - Autochtones et Affaires du Nord Canada | 1 | 1 | |||||
| Santé Canada | 3 | 2 | 5 | ||||
| Secrétariat du Conseil du Trésor du Canada | 2 | 1 | 3 | ||||
| Sécurité publique Canada | 1 | 1 | 2 | ||||
| Service canadien d’appui aux tribunaux administratifs | 1 | 1 | |||||
| Service canadien du renseignement de sécurité | 2 | 2 | |||||
| Service correctionnel Canada | 22 | 78 | 15 | 2 | 117 | ||
| Services aux Autochtones Canada | 2 | 1 | 3 | ||||
| Services publics et Approvisionnement Canada | 2 | 2 | |||||
| Société canadienne des postes | 2 | 2 | 3 | 7 | |||
| Transports Canada | 3 | 2 | 5 | ||||
| Total | 2 | 221 | 3 | 216 | 70 | 37 | 549 |
| Secteur de l’industrie | Nombre | Proportion de l’ensemble des plaintes acceptées |
|---|---|---|
| Aliments et boissons | 7 | 2 % |
| Assurances | 12 | 3 % |
| Construction | 3 | 1 % |
| Divertissement | 22 | 5 % |
| Édition (sauf Internet) | 1 | 0 % |
| Extraction minière et extraction de pétrole et de gaz | 1 | 0 % |
| Fabrication | 5 | 1 % |
| Finances | 112 | 25 % |
| Gouvernement | 3 | 1 % |
| Hébergement | 24 | 5 % |
| Individu | 1 | 0 % |
| Internet* | 72 | 16 % |
| Location | 7 | 2 % |
| Organismes sans but lucratif | 2 | 0 % |
| Professionnels | 18 | 4 % |
| Santé | 7 | 2 % |
| Services | 47 | 11 % |
| Services publics | 1 | 0 % |
| Télécommunications | 33 | 7 % |
| Transports | 28 | 6 % |
| Ventes et détail | 40 | 9 % |
| Total | 446 | |
|
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux). |
||
| Type de plainte | Nombre | Proportion de l’ensemble des plaintes acceptées |
|---|---|---|
| Accès | 101 | 23 % |
| Collecte | 32 | 7 % |
| Consentement | 63 | 14 % |
| Conservation | 48 | 11 % |
| Correction ou annotation | 3 | 1 % |
| Délais | 51 | 11 % |
| Mesures de protection | 30 | 7 % |
| Non-respect des principes | 8 | 2 % |
| Responsabilité | 1 | 0 % |
| Transparence | 10 | 2 % |
| Utilisation et communication | 92 | 21 % |
| Total | 446 |
| Secteur de l’industrie | Résolue par règlement rapide |
Abandonnée |
Non-fondée |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait |
Total |
|---|---|---|---|---|---|---|---|---|---|
| Agriculture, foresterie, chasse et pêche | 1 | 1 | |||||||
| Aliments et boissons | 8 | 8 | |||||||
| Assurances | 9 | 1 | 10 | ||||||
| Construction | 2 | 2 | |||||||
| Divertissement | 18 | 1 | 19 | ||||||
| Édition (sauf Internet) | 2 | 2 | 4 | ||||||
| Extraction minière et extraction de pétrole et de gaz | 1 | 1 | |||||||
| Fabrication | 3 | 2 | 5 | ||||||
| Finances | 79 | 4 | 4 | 3 | 2 | 4 | 96 | ||
| Gouvernement | 2 | 2 | |||||||
| Hébergement | 25 | 2 | 27 | ||||||
| Individu | 1 | 1 | |||||||
| Internet* | 77 | 1 | 1 | 79 | |||||
| Location | 5 | 5 | |||||||
| Organismes sans but lucratif | 2 | 2 | |||||||
| Professionnels | 15 | 1 | 1 | 17 | |||||
| Santé | 3 | 1 | 4 | ||||||
| Services | 32 | 1 | 1 | 34 | |||||
| Télécommunications | 26 | 1 | 1 | 2 | 30 | ||||
| Transports | 23 | 1 | 1 | 25 | |||||
| Ventes et détail | 30 | 1 | 1 | 1 | 33 | ||||
| Total | 363 | 10 | 8 | 3 | 2 | 3 | 11 | 5 | 405 |
|
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux). |
|||||||||
| Type de plainte | Résolue par règlement rapide |
Abandonnée |
Non-fondée |
Réglée |
Fondée |
Fondée et conditionnellement résolue |
Fondée et résolue |
Retrait |
Total |
|---|---|---|---|---|---|---|---|---|---|
| Accès | 104 | 3 | 2 | 1 | 3 | 113 | |||
| Collecte | 41 | 1 | 42 | ||||||
| Consentement | 51 | 2 | 1 | 1 | 55 | ||||
| Conservation | 34 | 1 | 3 | 38 | |||||
| Correction ou annotation | 7 | 7 | |||||||
| Délais | 17 | 1 | 1 | 19 | |||||
| Exactitude | 7 | 7 | |||||||
| Mesures de protection | 12 | 1 | 1 | 2 | 1 | 1 | 18 | ||
| Non-respect des principes | 6 | 6 | |||||||
| Responsabilité | 5 | 5 | |||||||
| Transparence | 12 | 12 | |||||||
| Utilisation et communication | 67 | 5 | 3 | 2 | 3 | 3 | 83 | ||
| Total | 363 | 10 | 8 | 3 | 2 | 3 | 11 | 5 | 405 |
| Décision | Nombre | Délai de traitement moyen, en mois |
|---|---|---|
| Résolue par règlement rapide | 363 | 6,6 |
| Abandonnée (article 12.2) | 10 | 12,1 |
| Non fondée | 8 | 15,7 |
| Réglée | 3 | 4,5 |
| Fondée | 2 | 8,0 |
| Fondée et conditionnellement résolue | 3 | 39,5 |
| Fondée et résolue | 11 | 16,9 |
| Retrait | 5 | 3,9 |
| Total | 405 | |
| Moyenne générale pondérée | 7,4 |
| Type de plainte | Règlement rapide | Autres règlements | Toutes les enquêtes | |||
|---|---|---|---|---|---|---|
| Nombre | Délai de traitement moyen, en mois | Nombre | Délai de traitement moyen, en mois | Nombre | Délai de traitement moyen, en mois | |
| Accès | 104 | 7,2 | 9 | 12,3 | 113 | 7,6 |
| Collecte | 6 | 5,0 | 6 | 5,0 | ||
| Consentement | 41 | 7,2 | 1 | 8,9 | 42 | 7,2 |
| Conservation | 12 | 3,8 | 12 | 3,8 | ||
| Correction ou annotation | 51 | 7,0 | 4 | 5,5 | 55 | 6,9 |
| Délais | 12 | 5,6 | 6 | 29,2 | 18 | 13,4 |
| Exactitude | 5 | 6,2 | 5 | 6,2 | ||
| Mesures de protection | 34 | 5,6 | 4 | 21,0 | 38 | 7,3 |
| Non-respect des principes | 7 | 6,5 | 7 | 6,5 | ||
| Responsabilité | 67 | 7,0 | 16 | 11,2 | 83 | 7,8 |
| Transparence | 7 | 8,4 | 7 | 8,4 | ||
| Utilisation et communication | 17 | 2,8 | 2 | 9,9 | 19 | 3,6 |
| Total | 363 | 6,6 | 42 | 14,3 | 405 | 7,4 |
| Secteur de l’industrie | Type d’incident | Total des incidents par secteur | Proportion de l’ensemble des incidents* | |||
|---|---|---|---|---|---|---|
Perte |
Vol |
Accès non autorisé |
Communication non autorisée |
|||
| Agriculture, foresterie, chasse et pêche | 2 | 1 | 3 | 0 % | ||
| Aliments et boissons | 3 | 3 | 0 % | |||
| Assurances | 9 | 4 | 21 | 7 | 41 | 6 % |
| Construction | 5 | 5 | 1 % | |||
| Divertissement | 8 | 2 | 10 | 1 % | ||
| Édition (sauf Internet) | 17 | 2 | 19 | 3 % | ||
| Extraction minière et extraction de pétrole et de gaz | 5 | 5 | 1 % | |||
| Fabrication | 46 | 1 | 47 | 7 % | ||
| Finances | 7 | 5 | 110 | 48 | 170 | 25 % |
| Gouvernement | 1 | 1 | 4 | 4 | 10 | 1 % |
| Hébergement | 5 | 2 | 7 | 1 % | ||
| Internet* | 8 | 3 | 11 | 2 % | ||
| Location | 1 | 1 | 0 % | |||
| Organismes sans but lucratif | 1 | 2 | 30 | 4 | 37 | 5 % |
| Professionnels | 2 | 4 | 56 | 8 | 70 | 10 % |
| Santé | 2 | 10 | 10 | 22 | 3 % | |
| Services | 1 | 4 | 41 | 9 | 55 | 8 % |
| Services publics | 3 | 1 | 4 | 1 % | ||
| Télécommunications | 99 | 18 | 117 | 17 % | ||
| Transports | 8 | 8 | 1 % | |||
| Ventes et détail | 2 | 2 | 39 | 5 | 48 | 7 % |
| Total | 23 | 24 | 521 | 125 | 693 | |
|
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux). |
||||||
| Type d’incident | Nombre de comptes touchés |
|---|---|
| Accès non autorisé | 23 503 629 |
| Communication non autorisée* | 1 741 008 |
| Perte | 1 053 |
| Vol | 1 357 |
| Total | 25 247 047 |
| *Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRPDE, que ce soit intentionnellement ou accidentellement. Ce terme a été remplacé par « communication non autorisée », conformément au libellé de la LPRPDE, mais le sens demeure le même. | |
En vertu du paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat à la protection de la vie privée du Canada doit déposer chaque année au Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires ».
En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de la partie 1 de cette loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province ayant adopté une loi provinciale « essentiellement similaire » à la partie 1 de la LPRPDE.
Le 3 août 2002, Industrie Canada (maintenant connu sous le nom d’Innovation, Sciences et Développement économique Canada) a publié le Processus de détermination du caractère « essentiellement similaire » d’une loi provinciale par le gouverneur en conseil. On y présente la politique et les critères utilisés pour déterminer si une loi provinciale sera considérée comme essentiellement similaire. En vertu de la politique, les lois essentiellement similaires :
Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la partie 1 de la LPRPDE en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels à l’intérieur de la province en cause.
La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province en cause ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.
Les lois provinciales considérées comme essentiellement similaires à la partie 1 de la LPRPDE sont les suivantes :
En ma qualité de commissaire spéciale à la protection de la vie privée, mon rôle consiste à examiner des cas où des individus ont demandé à avoir accès à des renseignements détenus par le Commissariat à la protection de la vie privée du Canada et que celui-ci refuse la demande ou, encore, où il est soutenu que le Commissariat a traité les renseignements personnels d’une personne d’une manière inappropriée. Le Commissariat est lui-même assujetti à la Loi sur la protection des renseignements personnels, dont il surveille la conformité. Ces cas pourraient faire naître le droit de déposer une plainte à la commissaire spéciale à la protection de la vie privée.
Au cours de l’exercice visé par le présent rapport, soit du 1er avril 2023 au 31 mars 2024, deux plaintes déposées au cours de l’année précédente ont été réglées, et j’ai été saisie de 39 autres plaintes, ce qui représente beaucoup plus de cas que l’année précédente. J’ai remarqué une augmentation semblable du nombre de plaintes dans le rôle de surveillance comparable que je joue en vertu de la Loi sur l’accès à l’information, en plus d’observer une augmentation notable du niveau d’insatisfaction des individus qui demandent des renseignements aux institutions fédérales. Cette insatisfaction semble provenir du temps nécessaire pour obtenir une réponse ou du peu d’avantages réellement tirés du processus en soi. Cette raison à elle seule fait en sorte que l’augmentation relative du nombre de dossiers dans le cadre de mon travail d’examen du Commissariat n’était pas tout à fait inattendue.
Des sept nouvelles plaintes, quatre d’entre elles découlaient de réponses insatisfaisantes à des demandes de renseignements personnels. Ces demandes visaient principalement l’accès au contenu des dossiers d’enquête sur les plaintes menés par le Commissariat, dont la communication est régie par l’article 22.1, une exemption très stricte et limitative à la communication dont j’ai fait état dans des rapports annuels antérieurs.
Fait intéressant, une affaire portait sur la contestation de l’application de l’exemption prévue à l’article 26; certains des renseignements personnels du demandeur concernaient également des renseignements personnels qui portaient sur un autre individu. Selon l’article 26, le Commissariat peut envisager la possibilité de communication et refuser l’accès après avoir soupesé les facteurs en cause. Ma tâche consistait à examiner ces facteurs pour établir si la décision du Commissariat de refuser l’accès était conforme à la loi, ce qui signifie que le Commissariat devait démontrer qu’il avait examiné attentivement l’applicabilité de l’exemption et qu’il avait exercé son pouvoir discrétionnaire de bonne foi en fonction des circonstances.
Dans un autre cas, j’ai jugé irrecevable une plainte concernant une demande d’accès à l’information déposée trop tard, c’est-à-dire des semaines au-delà du délai fixé de 60 jours à compter de la date à laquelle une réponse a été donnée. J’ai le pouvoir discrétionnaire d’examiner les circonstances liées à une « déclaration tardive » et je l’ai utilisé dans le passé en vue de prolonger le délai d’acceptation de plaintes tardives. Cependant, je ne l’ai pas fait dans ce cas-ci parce que l’individu connaissait bien les règles relatives aux demandes ainsi que celles relatives au dépôt des plaintes en temps voulu. L’individu a également admis qu’il n’avait pas de raison valable pour expliquer le long délai. Deux autres plaintes concernant l’accès à l’information étaient toujours à l’étude à la fin de l’année.
Pour chacun des cas examinés et clos, un rapport de conclusions d’enquête est publié afin de répondre aux questions, de fournir des explications claires quant à l’applicabilité des règles relatives à l’accès aux renseignements personnels et de sensibiliser davantage les gens à la Loi sur la protection des renseignements personnels telle qu’elle s’applique au Commissariat.
Une nouvelle plainte relative à une atteinte à la vie privée a été déposée à la suite d’un avis d’atteinte à la vie privée que j’avais reçu plus tôt du Commissariat. Cette plainte concernait un incident survenu à l’extérieur du Commissariat, mais auquel celui-ci était lié. La plainte avait été déposée à mon attention en ma qualité d’autorité de surveillance des questions d’atteinte à la vie privée relevant du Commissariat. Je mène actuellement une enquête sur cette plainte pendant que le Commissariat fait enquête sur l’incident externe en tant qu’autorité de surveillance de la protection de la vie privée au Canada, ce qui rend ce cas non seulement complexe, mais aussi unique en son genre.
Des autres nouvelles plaintes reçues au cours de la période visée, 32 ont été jugées irrecevables parce qu’elles n’étaient pas de mon ressort : il s’agissait d’individus qui avaient demandé l’accès à leurs renseignements personnels auprès d’institutions fédérales et provinciales et qui n’étaient toujours pas satisfaits des réponses obtenues. Pour chacun de ces cas, j’ai fourni des explications et j’ai redirigé les individus vers le bureau de surveillance provincial ou fédéral approprié pour qu’il donne suite aux préoccupations de ceux-ci, ce qui m’a valu des remerciements écrits de la part de bon nombre de ces individus.
Il est indéniable que toutes les plaintes dont j’ai été saisie l’an dernier étaient dignes de mention et intéressantes, comme ce fut le cas pour l’année précédente. Je compte continuer, au cours des mois à venir, d’être au service des individus qui solliciteront mon intervention.
Le tout respectueusement soumis,
Anne E. Bertrand, c.r.
La commissaire spéciale à la protection de la vie privée
