Renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique
Rapport annuel au Parlement 2023-2024 concernant la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques
Commissariat à la protection de la vie privée du Canada 30, rue Victoria Gatineau (Québec) K1A 1H3
L’honorable Raymonde Gagné, sénatrice Présidente du Sénat Sénat du Canada Ottawa (Ontario) K1A 0A4
Madame la Présidente,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2023 au 31 mars 2024, qui s’intitule Renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Madame la Présidente, l’assurance de ma considération distinguée.
Le commissaire,
Original signé par
Philippe Dufresne
Lettre au président de la Chambre des communes
Le 6 juin 2024
L’honorable Greg Fergus, député Président de la Chambre des communes Chambre des communes Ottawa (Ontario) K1A 0A6
Monsieur le Président,
J’ai l’honneur de remettre au Parlement le rapport annuel du Commissariat à la protection de la vie privée du Canada pour la période du 1er avril 2023 au 31 mars 2024, qui s’intitule Renforcer la confiance, favoriser l’innovation et protéger le droit fondamental à la vie privée à l’ère numérique. Ce dépôt se fait en vertu des articles 38 de la Loi sur la protection des renseignements personnels et 25 de la Loi sur la protection des renseignements personnels et les documents électroniques.
Je vous prie d’agréer, Monsieur le Président, l’assurance de ma considération distinguée.
Je suis heureux de remettre au Parlement le rapport annuel 2023-2024 du Commissariat à la protection de la vie privée du Canada, qui fait état des activités de l’organisme au cours du dernier exercice financier.
Ce rapport présente les activités et les réalisations que le Commissariat a accomplies pour protéger et promouvoir le droit fondamental à la vie privée des Canadiennes et des Canadiens. Il traite à la fois des travaux exécutés pour veiller au respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est la loi fédérale en la matière dans le secteur privé au Canada.
Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés en utilisant les renseignements opérationnels pour dégager les tendances qui doivent retenir l’attention, produire des documents d’orientation et des outils de sensibilisation ciblés, tirer parti de partenariats stratégiques et se préparer à la mise en œuvre d’éventuelles nouvelles lois sur la protection des renseignements personnels;
Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, en particulier en ce qui a trait à l’intelligence artificielle (IA) et l’IA générative, dont la prolifération présente à la fois des avantages et des risques accrus pour la protection de la vie privée;
Défendre le droit à la vie privée des enfants afin de s’assurer que les besoins qui leur sont propres en la matière sont satisfaits et qu’ils peuvent exercer leurs droits.
Les réalisations du Commissariat au cours de la dernière année ainsi que les résultats découlant de la collaboration entamée avec mes homologues nationaux et internationaux chargés de la protection des données témoignent de ces priorités. Parmi ces réalisations, notons la publication d’une déclaration commune sur l’IA générative avec les autorités de protection des données et de la vie privée du G7 et le lancement des nouveaux Principes pour des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée avec mes homologues des provinces et des territoires.
Au printemps 2023, j’ai lancé une enquête conjointe avec mes homologues du Québec, de la Colombie-Britannique et de l’Alberta sur l’outil ChatGPT d’OpenAI.
En décembre, j’ai également eu le plaisir d’organiser un symposium international sur la protection de la vie privée et l’IA. Cet événement a réuni des experts du milieu universitaire, de l’industrie, de la société civile et du gouvernement, ainsi que des homologues chargés de la protection de la vie privée, dans la région de la capitale nationale, afin de se pencher sur la façon de protéger la vie privée tout en tirant parti de l’innovation dans le contexte de l’IA.
Un autre fait saillant de ma collaboration avec mes collègues des autorités de protection de la vie privée des provinces et des territoires est l’adoption de résolutions communes sur la protection de la vie privée des jeunes et des employés sur les lieux de travail.
Aussi, dans le but de soutenir le travail du Commissariat dans le secteur public, un formulaire de présentation en ligne a été lancé afin de permettre aux institutions fédérales de présenter des évaluations des facteurs relatifs à la vie privée.
Le présent rapport donne aussi de l’information sur les conseils et les recommandations que j’ai fournis aux parlementaires sur les questions de législation et de vie privée qui faisaient l’objet d’une étude par des comités.
À mesure que le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, franchissait les étapes du processus parlementaire, j’ai aussi eu l’occasion de comparaître devant des législateurs afin de discuter de certains des moyens par lesquels la nouvelle loi proposée en matière de protection des renseignements personnels dans le secteur privé pourrait être améliorée en vue de mieux protéger le droit fondamental à la vie privée.
Les renseignements personnels sont de plus en plus convoités à l’ère numérique, et la protection de la vie privée est devenue l’un des principaux défis de notre époque. De récentes enquêtes témoignent de l’importance de la protection de la vie privée. Parmi ces enquêtes, notons celle sur Aylo, l’entreprise qui exploite Pornhub.
Cette enquête a révélé d’importants problèmes qui ont permis la mise en ligne de contenu intime de nature très sensible sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci. Cette situation a entraîné des conséquences dévastatrices pour la femme au cœur de cette enquête et pour d’autres victimes, notamment de la stigmatisation sociale, des préjudices psychologiques, des pertes financières et même des tentatives de suicide. J’ai publié les conclusions de l’enquête sur Aylo en février, au moment même où les parlementaires commençaient à débattre de la Loi sur les préjudices en ligne, qui vise à résoudre des problèmes similaires à ceux sur lesquels nous nous sommes penchés dans ladite enquête.
Tout comme les données servent à stimuler l’innovation, l’innovation doit servir à protéger les données. Au moment où le monde adopte le numérique et les possibilités qu’il offre, nous devons faire en sorte que ce virage soit fait d’une manière respectueuse de la vie privée. C’est le message que j’ai l’intention de répéter à l’approche de la présidence du G7 par le Canada en 2025, lorsque j’accueillerai mes collègues des organismes de réglementation de la protection des données du G7 à une table ronde où il y aura bon nombre de discussions sur le sujet.
En tant que Commissaire à la protection de la vie privée du Canada, je m’engage à déployer sans relâche des efforts sur plusieurs fronts : la défense des intérêts, la sensibilisation de la population, la promotion du droit à la vie privée, l’application des lois en la matière et, surtout, la collaboration. Le présent rapport fait état des activités de sensibilisation du Commissariat auprès des individus, des entreprises et des institutions fédérales ainsi que des engagements de celui-ci auprès de ses partenaires nationaux et internationaux. À une époque où les données n’ont plus de frontière, la protection adéquate de la vie privée exige un effort mondial. Je me réjouis à l’idée de poursuivre le travail de collaboration entrepris en vue d’assurer la protection du droit fondamental à la vie privée pour les générations actuelles et futures.
Le Commissaire à la protection de la vie privée du Canada,
Philippe Dufresne
Chronologie
Principales activités du Commissariat à la protection de la vie privée du Canada en 2023-2024.
Le Commissaire Dufresne annonce l’ouverture d’une enquête sur l’entreprise qui est à l’origine de ChatGPT, un robot conversationnel doté d’une intelligence artificielle (IA). Dans les semaines suivantes, le Commissaire et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta annoncent qu’ils mèneront une enquête conjointe sur cette affaire.
Le Rapport spécial au Parlement fait état des résultats de plusieurs enquêtes et consultations menées par le Commissariat qui portaient sur les moyens pris par le gouvernement fédéral pour protéger la vie privée dans le cadre des mesures adoptées durant la pandémie.
Dans la déclaration commune, on invite les développeurs et les fournisseurs de technologies de service d’IA générative à intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion de leurs nouveaux produits et services.
Le Commissaire Dufresne se joint à ses homologues du Bureau de la concurrence et du Conseil de la radiodiffusion et des télécommunications canadiennes dans le cadre d’un nouveau forum qui renforcera la collaboration sur les questions liées aux marchés et aux plateformes numériques.
Le Commissaire Dufresne et des représentants de 11 autres organismes de l’Assemblée mondiale pour la protection de la vie privée signent une déclaration commune visant à atténuer les risques que présente l’extraction illégale de données.
Lors d’une comparution devant un comité de la Chambre des communes chargé d’étudier la Loi de 2022 sur la mise en œuvre de la Charte du numérique, le Commissaire Dufresne affirme que le projet de loi « est un pas dans la bonne direction », mais qu’il « doit être amélioré davantage » pour protéger le droit fondamental à la vie privée. Il a d’ailleurs présenté 15 recommandations en ce sens.
Le Commissariat publie des documents d’orientation provisoires sur les obligations en matière de protection de la vie privée pour le traitement des données biométriques, lesquels sont destinés aux entreprises et aux institutions publiques.
Le Commissariat présente un mémoire en réponse au document de consultation du ministère des Finances du Canada qui vise à examiner les moyens d’améliorer le Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes.
Les autorités fédérale, provinciales et territoriales chargées de la protection de la vie privée demandent à leurs gouvernements respectifs d’en faire plus afin de protéger le droit à la vie privée des jeunes et des travailleurs.
Des enquêtes sous le régime de la Loi sur la protection des renseignements personnels (LPRP) et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sont ouvertes à la suite d’une cyberattaque qui a compromis les renseignements personnels d’employés qui ont travaillé ou qui travaillent encore pour le gouvernement du Canada ainsi que de membres des Forces armées canadiennes et de la Gendarmerie royale du Canada (GRC).
Le Commissaire Dufresne accueille des experts dans le cadre d’un symposium afin que ceux-ci se penchent sur les occasions et les risques que présente l’IA générative ainsi que sur la meilleure façon de collaborer pour s’y préparer. De concert avec les autorités canadiennes de protection de la vie privée, le Commissaire présente des principes visant à favoriser des technologies de l’IA générative responsables, dignes de confiance et respectueuses de la vie privée.
Pour souligner le 75e anniversaire de la proclamation de la Déclaration universelle des droits de l’homme, le Commissaire Dufresne signe une déclaration au nom du Groupe de travail sur la protection des données et des autres droits et libertés de l’Assemblée mondiale pour la protection de la vie privée. Cette déclaration est également signée par Ana Brian Nougrères, rapporteuse spéciale des Nations Unies sur le droit à la vie privée.
Le Commissaire Dufresne lance la Semaine de la protection des données en publiant son plan stratégique, lequel présente trois priorités stratégiques, à savoir : protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés, faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, ainsi que défendre le droit à la vie privée des enfants.
Le Commissaire Dufresne annonce qu’il ouvre une enquête après avoir reçu plusieurs plaintes concernant une atteinte à la sécurité des données à Affaires mondiales Canada (AMC). L’atteinte en question, qui découle d’une cyberattaque perpétrée sur le réseau interne d’AMC, a compromis les renseignements personnels d’utilisateurs de ce réseau, dont des employés.
Deux enquêtes distinctes menées sous le régime de la LPRP révèlent que des mesures de sécurité plus robustes et une vigilance accrue s’imposent pour mieux protéger la vie privée des Canadiennes et des Canadiens.
Le Commissaire Dufresne publie les conclusions de son enquête sur l’exploitant de Pornhub et d’autres sites pornographiques. Cette enquête a permis de conclure qu’Aylo a enfreint la loi canadienne sur la protection des renseignements personnels en permettant que des images intimes soient publiées sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir leur consentement.
Dans une déclaration, le Commissaire Dufresne et ses homologues du Québec, de la Colombie-Britannique et de l’Alberta accueillent favorablement la décision d’Airbnb de mettre à jour sa politique sur l’utilisation de caméras de sécurité à l’intérieur des logements loués et de mettre en œuvre les recommandations que les organismes de protection de la vie privée avaient formulées à l’entreprise l’année précédente.
Le Commissariat facilite la tâche des institutions fédérales pour la présentation des évaluations des facteurs relatifs à la vie privée (EFVP) en lançant un nouveau formulaire de présentation en ligne des EFVP.
Grandes tendances en matière de protection de la vie privée
La technologie et l’interconnectivité numérique continuent de transformer la vie des gens et soulèvent de nouveaux enjeux dans le domaine de la protection de la vie privée. Voici cinq grandes tendances qui façonnent le contexte de ce domaine au Canada et ailleurs dans le monde.
Préoccupations concernant la protection de la vie privée alors que la connectivité numérique est en plein essor
Le volume de données publiées, utilisées et stockées en ligne n’a jamais été aussi grand. Malgré l’utilisation accrue des plateformes numériques, les gens ne sont pas toujours convaincus que leurs renseignements personnels sont protégés – en particulier lorsqu’il s’agit des entreprises de médias sociaux – et ils sont de plus en plus préoccupés par la manière dont les renseignements personnels sont protégés à l’ère numérique.
La connectivité numérique a doublé en 10 ans : le monde compte maintenant plus de 5,35 milliards d’internautes et 5,6 milliards d’utilisateurs d’appareils mobiles. Le Canada affiche un taux de pénétration d’Internet élevé, à savoir environ 95 %. (DataReportal, Digital 2024: Global Overview Report et Digital 2024: Canada, 2024) (en anglais seulement)
Une proportion de 91 % des Canadiennes et des Canadiens croient qu’au moins une partie de ce qu’ils font en ligne ou sur leur téléphone intelligent est surveillée par des entreprises ou des organisations. (Commissariat à la protection de la vie privée du Canada, Sondage auprès des Canadiens sur les enjeux liés à la protection de la vie privée, 2022-2023)
Les gens utilisent les médias sociaux surtout pour rester en contact avec les amis et la famille (58,2 %), pour leurs passe-temps (43,3 %) et pour consulter les nouvelles (31 %). (DataReportal, Digital 2024: Canada, 2024) (en anglais seulement)
Préoccupations plus grandes pour le droit à la vie privée des enfants
Un accroissement à l’échelle mondiale des préoccupations relatives à la protection de la vie privée des enfants est à l’origine de l’élaboration de nouvelles lois, de nouveaux règlements et de nouvelles lignes directrices visant à renforcer leur droit à la vie privée par les gouvernements et les autorités de protection des données de partout dans le monde. Parmi les mesures adoptées, notons des mesures législatives au Royaume-Uni et ailleurs visant à ajouter des exigences de conception adaptées à l’âge, ainsi que l’imposition d’amendes importantes à des entreprises comme TikTok et Meta à la suite d’enquêtes liées à la protection de la vie privée des enfants.
En tout, 59 % des jeunes dans le monde déclarent passer en moyenne plus de deux heures par jour sur les médias sociaux. (Amnistie internationale, Global Survey, 2023) (en anglais seulement)
Au total, 75 % des jeunes sondés trouvent que le langage technique des conditions d’utilisation des médias sociaux est difficile à comprendre et estiment que l’approche « à prendre ou à laisser » les oblige à choisir entre deux options : être exclus socialement ou s’y inscrire au détriment de leur vie privée. (Amnistie internationale, Global Survey, 2023) (en anglais seulement)
TikTok est la plateforme de médias sociaux préférée des jeunes Canadiennes et Canadiens, devançant Snapchat et Instagram; 53 % des jeunes sondés ont utilisé TikTok au cours du mois précédent. (OTM Junior, Les jeunes et les médias sociaux : quoi de neuf? Les médias sociaux et les jeunes, 2023)
Au total, 12 % des entreprises canadiennes déclarent qu’elles recueillent des renseignements personnels auprès de mineurs; 73 % affirment qu’elles expliquent les politiques et les pratiques en matière de protection des renseignements personnels dans un langage simple et adapté à l’âge et 27 % soutiennent qu’elles réalisent des évaluations des facteurs relatifs à la vie privée avant de lancer des produits ou des outils destinés aux jeunes. (Commissariat à la protection de la vie privée du Canada, Sondage auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels, 2023-2024)
Augmentation de la menace et de la gravité des cyberattaques
Les atteintes à la sécurité des données se sont multipliées au cours des 10 dernières années. On assiste notamment à une hausse marquée des attaques par rançongiciel et logiciel malveillant. Les organisations des secteurs privé et public s’inquiètent particulièrement du risque de faire l’objet de cyberattaques et de vols de données informatiques de la part de divers acteurs malveillants. De même, la majorité des personnes sondées estiment que le vol d’identité est préoccupant.
Entre 2013 et 2022, les atteintes à la sécurité des données ont plus que triplé. Dans les deux dernières années seulement, plus de 2,6 milliards de documents personnels ont été exposés dans le monde. (MIT/Apple, The Continued Threat to Personal Data: Key Factors Behind the 2023 Increase, 2023) (en anglais seulement)
Au cours de la dernière année, 94 % des organisations dans le monde ont subi une forme quelconque de cyberattaque; 28 % ont été victimes d’une attaque par rançongiciel et 41 % par logiciel malveillant. (Sophos, The State of Cybersecurity, 2023 / Thales, Global Data Threat Report, 2024) (rapport en anglais seulement)
Depuis 2020, la fréquence des attaques par rançongiciel dans le monde entier a augmenté, enregistrant une hausse de 50 % d’année en année, et ce, uniquement au cours du premier semestre de 2023. (Centre canadien pour la cybersécurité, Évaluation des cybermenaces nationales, 2023-2024)
Les chefs d’entreprise et les professionnels de la protection de la vie privée de partout dans le monde estiment qu’une cyberattaque ou une atteinte à la sécurité des données est le principal risque qui guette leur organisation. (Aon, Global Risk Management Survey, 2023 / IAPP/KPMG, Privacy Risk Study, 2023) (en anglais seulement)
En 2023-2024, les organisations du secteur privé ont signalé au Commissariat 693 atteintes qui ont touché environ 25 millions de comptes canadiens. L’année précédente, 681 atteintes ayant touché environ 12 millions de comptes avaient été signalées.
Intelligence artificielle : développement, utilisation et préoccupations en hausse
Au Canada comme ailleurs, la prolifération de l’intelligence artificielle (IA) et des technologies de l’IA générative soulève des préoccupations concernant la protection de la vie privée.
On estime que l’IA atteindra un taux de croissance annuel mondial de 37,3 % de 2023 à 2030. (Grandview Research, Artificial Intelligence Market Size and Trends, 2023) (en anglais seulement)
À l’échelle mondiale, 42 % des grandes entreprises déclarent avoir déjà intégré l’IA dans leurs activités et 40 % envisagent de le faire. (IBM, Global AI Adoption Index, 2023) (en anglais seulement)
Le nombre de Canadiennes et de Canadiens qui pensent que les outils fondés sur l’IA sont mauvais pour la société est en hausse (de 25 % en 2023 à 32 % en 2024), et 81 % de la population canadienne s’inquiète des risques que pose l’IA pour la vie privée. (Léger, Use of AI Tools, 2024) (en anglais seulement)
Plus de 90 % des Canadiennes et des Canadiens estiment que le développement de l’IA devrait s’appuyer sur des principes d’éthique et 78 % croient que l’utilisation de celle-ci devrait être réglementée. (Telus, Rapport sur l’IA, 2024)
Renforcement des droits fondamentaux par l’élargissement du champ d’application des lois en matière de protection de la vie privée
S’inspirant de l’expérience de l’Union européenne avec le Règlement général sur la protection des données (RGPD), de nombreux pays édictent des lois renouvelées sur la protection des renseignements personnels. Au Canada, des travaux semblables sont en cours en vue de moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur privé en y intégrant des règles plus strictes, des pouvoirs de réglementation plus grands et des mesures incitatives en vue de renforcer le droit des individus à la vie privée.
On compte 137 pays qui disposent de lois nationales sur la protection des renseignements personnels; une hausse de 14,2 % par rapport à 2017. Cela signifie que 6,3 milliards de personnes dans le monde (79,3 % de la population) sont désormais protégées par des lois en la matière. (IAPP, Identifying global privacy laws, relevant DPAs, 2024) (en anglais seulement)
En 2023, les infractions au RGPD ont coûté aux entreprises plus de 2 milliards d’euros (c.-à-d. plus que pour les années 2019, 2020 et 2021 réunies). Ces infractions ont eu des répercussions sur des entreprises situées dans des pays qui ne sont pas membres de l’Union européenne. (Statista, EU Data Protection Fines Hit Record High in 2023, 2024) (en anglais seulement)
Le Commissaire Dufresne a formulé 15 recommandations clés afin d’améliorer et de renforcer le projet de loi C-27, qui permettrait de moderniser la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, notamment en reconnaissant la protection de la vie privée comme un droit fondamental. (Commissariat à la protection de la vie privée du Canada, Les 15 principales recommandations du Commissariat sur le projet de loi C-27, 2023)
Des douzaines de pays ont déjà édicté des lois et adopté des politiques sur l’IA, comme la loi européenne sur l’intelligence artificielle, premier cadre juridique complet sur l’IA, qui pourrait avoir un effet semblable au RGPD à l’échelle mondiale. Par ailleurs, d’autres pays débattent activement des questions de protection de la vie privée liées à l’IA et rédigent des textes de loi à ce sujet. (IAPP, Global AI Law and Policy Tracker, 2024) (en anglais seulement)
Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés en utilisant les renseignements opérationnels afin de dégager les tendances qui doivent retenir l’attention, produire des documents d’orientation et des outils de sensibilisation ciblés, tirer parti de partenariats stratégiques et se préparer à la mise en œuvre d’éventuelles nouvelles lois sur la protection des renseignements personnels;
Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens, en particulier en ce qui a trait à l’intelligence artificielle (IA) et l’IA générative, dont la prolifération présente à la fois des avantages et des risques accrus pour la protection de la vie privée;
Défendre le droit à la vie privée des enfants afin de s’assurer que les besoins qui leur sont propres en la matière sont satisfaits et qu’ils peuvent exercer leurs droits.
Ces priorités stratégiques mettent l’accent là où le Commissariat peut avoir le plus d’incidence. Il s’agit aussi de domaines où résident les plus grands risques pour la vie privée si on ne s’y attaque pas. Elles sont fondées sur la vision de la protection de la vie privée formulée par le Commissaire à la suite de sa nomination en 2022, soit : la protection de la vie privée est un droit fondamental; la protection de la vie privée est un moyen de favoriser l’intérêt public et d’appuyer l’innovation et la compétitivité du Canada; et la protection de la vie privée est un moyen d’accentuer la confiance des Canadiennes et des Canadiens envers leurs institutions et en tant que citoyens numériques. Le Plan offre une vue d’ensemble des initiatives que le Commissariat entreprend pour donner suite aux priorités et présente les résultats que le Commissaire souhaite obtenir. Chacune de ces trois priorités aborde les thèmes suivants : interactions, partenariats, collaboration et apprentissage continu.
Priorité stratégique 1 : Protéger et promouvoir le droit à la vie privée de manière à optimiser les efforts déployés
Cette priorité sert de base à l’accomplissement du mandat actuel du Commissariat, à l’application des lois actuelles aux défis nouveaux et émergents ainsi qu’à la préparation du Commissariat en vue d’éventuelles modifications aux lois fédérales sur la protection des renseignements personnels. Elle oblige le Commissariat à renforcer sa gouvernance et ses capacités, à favoriser la communication et la collaboration à l’interne et à entretenir des partenariats et des réseaux, tant au pays qu’à l’étranger, de manière à optimiser les programmes et les services qui répondent aux besoins du Canada et de la population canadienne.
En 2023-2024, les démarches entreprises pour faire progresser cette priorité sont les suivantes :
Créer la Direction des relations internationales, provinciales et territoriales pour renforcer les interactions avec d’autres organismes de réglementation et de protection de la vie privée;
Créer deux nouveaux postes : le premier, le poste de sous-commissaire et avocat général principal, pour composer avec l’augmentation des activités juridiques, et le second, le poste de dirigeant principal des services et du numérique, pour orienter la mise en œuvre de la vision et du programme numériques de l’organisation;
Poursuivre les travaux de modernisation afin d’améliorer les pratiques de gestion des documents et des données, car elles servent de base à la prise de décisions éclairées fondées sur les données.
Priorité stratégique 2 : Faire valoir la protection de la vie privée à l’heure où se succèdent les changements technologiques et agir en ce sens
L’évolution et la transformation rapides des technologies, comme l’IA, présentent des possibilités et des avantages, mais elles peuvent également accroître les risques pour la vie privée.
Pour donner suite à cette priorité, le Commissariat s’applique à renforcer ses capacités internes, à former des partenariats stratégiques, à favoriser une culture de la protection de la vie privée et à encourager l’utilisation des principes de protection de la vie privée dès la conception pour les technologies actuelles et émergentes qui soutiennent l’innovation tout en protégeant le droit à la vie privée.
En 2023-2024, le Commissariat a entrepris différentes démarches en vue de soutenir cette priorité :
Former une équipe multidisciplinaire au sein du Commissariat, laquelle s’attaquera aux répercussions de l’IA sur les secteurs public et privé;
Concevoir un environnement qui permet à la Direction de l’analyse de la technologie du Commissariat de mettre à l’essai et d’analyser l’IA générative ainsi que d’entreprendre des activités de recherche dans ce domaine.
Priorité stratégique 3 : Défendre le droit à la vie privée des enfants
Cette priorité stratégique tient compte des caractéristiques propres à la vie privée des enfants et de la nécessité de garantir la protection de leurs droits afin qu’ils puissent profiter de la technologie sans que leur bien-être et leur vie privée soient compromis. Le Commissariat approfondit ses connaissances et son expertise dans ce domaine en invitant les jeunes et ceux qui défendent leurs intérêts à contribuer au développement d’outils d’éducation et de sensibilisation, en élargissant les partenariats pour favoriser l’utilisation des ressources du Commissariat et en tenant compte de la protection de la vie privée des enfants dans le cadre de ses travaux de conformité.
Parmi les activités du Commissariat en lien avec la protection de la vie privée des enfants au cours de 2023-2024, on peut citer les suivantes :
Participer au groupe de travail international sur la confirmation de l’âge (International Age Assurance Working Group) de l’Assemblée mondiale pour la protection de la vie privée (AMVP) dont les travaux visent à favoriser l’harmonisation des approches de confirmation de l’âge.
Le Commissariat a sollicité des observations sur le Plan stratégique 2024-2027 au moment où ce dernier a été rendu public. Ces observations permettront d’orienter la mise en œuvre des trois priorités qui se recoupent et de proposer des façons de les faire progresser efficacement. Reconnaissant la nature dynamique des priorités choisies, le Commissariat entend demeurer agile afin de pouvoir s’adapter en toute circonstance, de bien faire état des progrès accomplis et de collaborer adéquatement avec ses nombreux partenaires et parties prenantes dans le cadre des travaux importants à venir.
La LPRP : rétrospective de l’exercice
Dans le cadre de ses travaux portant sur le secteur public en 2023-2024, le Commissariat a remarqué que les ministères fédéraux démontraient un intérêt accru pour les technologies numériques.
Une part importante du mandat du Commissariat consiste à épauler les institutions fédérales dans leurs efforts pour cerner les répercussions que les nouvelles technologies peuvent avoir sur la vie privée et les atténuer. Les évaluations des facteurs relatifs à la vie privée (EFVP) sont un outil important pour y arriver. Le Commissariat a d’ailleurs consulté des ministères et diverses parties prenantes sur les moyens de renforcer et d’améliorer le processus d’EFVP. À la suite des commentaires reçus, un nouveau formulaire a été mis en ligne pour permettre aux institutions fédérales de présenter au Commissariat leurs EFVP de façon simple et sécurisée.
Le Commissariat a également demandé l’avis d’organisations gouvernementales sur son document d’orientation provisoire sur la biométrie dans le cadre d’une consultation publique lancée en octobre 2023. Le recours à la biométrie est un sujet qui revient de plus en plus dans les enquêtes menées par le Commissariat. Au moment de la rédaction du présent rapport, le Commissariat analysait les observations reçues dans le cadre de sa consultation.
En 2023-2024, le Commissariat a mené à terme 1 278 enquêtes relatives à des plaintes contre des institutions fédérales, à la fois par règlement rapide et par enquête officielle, y compris par enquête sommaire. Il s’agit d’une hausse de 28 % par rapport à 2022-2023, où 999 enquêtes avaient été fermées.
En février 2024, le Commissariat a déposé deux rapports spéciaux au Parlement dans lesquels il présentait les résultats de deux enquêtes distinctes menées sous le régime de la Loi sur la protection des renseignements personnels (LPRP). Le premier faisait état d’une atteinte grave à la vie privée visant Emploi et Développement social Canada (EDSC) et l’Agence du revenu du Canada (ARC) et mettant en cause de grandes quantités de renseignements personnels sensibles. Le second portait sur le recours par la Gendarmerie royale du Canada (GRC) à des services de surveillance et de suivi offerts par le secteur privé dans le cadre de ses activités d’application de la loi.
Le Commissaire Dufresne a aussi lancé des enquêtes à la suite de deux cyberattaques majeures ciblant des institutions fédérales. La première enquête ouverte en novembre 2023 portait sur une atteinte touchant les renseignements personnels d’employés du gouvernement fédéral ayant eu recours à des services de réinstallation retenus par le gouvernement au cours des 20 dernières années. Dans cette enquête, plusieurs institutions fédérales ainsi que deux tiers avec lesquels le gouvernement du Canada avait conclu des contrats étaient en cause. La seconde enquête ouverte en février 2024 portait sur une atteinte au réseau privé virtuel d’Affaires mondiales Canada (AMC).
La section ci-après présente les principales initiatives menées en 2023-2024 sous le régime de la LPRP.
La protection de la vie privée en chiffres
Loi sur la protection des renseignements personnels
Plaintes acceptées
1 113
Plaintes fondées
412
Plaintes fermées par règlement rapide
642
Plaintes fermées à l’issue d’une enquête officielle
636
Rapports d’atteintes à la sécurité des données reçus
561
Nouvelles activités de liaison des services-conseils avec le secteur public
89
Évaluations des facteurs relatifs à la vie privée (EFVP) reçues
123
Avis donnés à des organisations du secteur public à la suite de l’examen d’une EFVP ou d’une consultation à cet égard
137
Communications de renseignements dans l’intérêt public par les institutions fédérales
569
Prestation de services-conseils au gouvernement
Des membres de la Direction des services-conseils au gouvernement du Commissariat à une conférence de l’Association canadienne d’accès à l’information et de protection des renseignements personnels à Ottawa, en Ontario.
Sensibilisation et renforcement des capacités
Le Commissariat aide les institutions fédérales à comprendre et à appliquer la LPRP et à intégrer d’emblée à leurs programmes et à leurs activités une analyse des risques d’atteinte à la vie privée ainsi que des mesures de protection des renseignements personnels. À cette fin, la Direction des services-conseils au gouvernement (DSCG) offre des présentations et des ateliers visant à améliorer les connaissances et à renforcer les capacités des institutions fédérales relatives au traitement des renseignements personnels.
Au cours de l’exercice 2023-2024, le Commissariat s’est affairé à sensibiliser un plus grand nombre d’institutions fédérales aux services-conseils à leur disposition et à mieux faire connaître les principes fondamentaux des EFVP. Il a notamment offert des présentations ciblées s’adressant à des institutions fédérales en particulier ainsi que des webinaires, des tables rondes et des activités menées de concert avec le Secrétariat du Conseil du Trésor du Canada (SCT) et organisées par l’École de la fonction publique du Canada (EFPC). Les dix activités de rayonnement tenues par le Commissariat lui ont permis de sensibiliser 127 institutions fédérales assujetties à la LPRP.
Consultations auprès du Secrétariat du Conseil du Trésor du Canada
Le Commissariat et le SCT jouent des rôles distincts et complémentaires pour ce qui est de veiller au respect de la LPRP. En effet, le Commissaire à la protection de la vie privée du Canada, en tant qu’agent du Parlement, est un défenseur indépendant du droit à la vie privée des Canadiennes et des Canadiens, tandis que le SCT élabore des politiques, des directives et des lignes directrices applicables à l’ensemble du gouvernement.
En 2023-2024, le Commissariat a rencontré le SCT afin de se pencher sur des enjeux de vie privée et a formulé des avis et des conseils au sujet de plusieurs instruments de politique du SCT.
Prestation de services-conseils au gouvernement
Utilisation par la GRC d’outils d’enquête sur appareil
En septembre 2023, la GRC a présenté une EFVP sur son recours à des outils d’enquête sur appareil pour recueillir des renseignements à même des appareils numériques – une obligation prévue par une directive du SCT – qui, selon le Commissariat, n’avait pas été respectée au cours de l’année précédente.
Après avoir examiné l’EFVP, le Commissariat a recommandé à la GRC d’évaluer périodiquement la nécessité de recourir à ces outils et l’efficacité de ceux-ci, et de décrire clairement les circonstances contraignantes qui pourraient conduire à l’utilisation de ces outils sans autorisation judiciaire. Le Commissariat lui a aussi recommandé de veiller à ce que la prestation de services connexes à d’autres ministères ou organismes fédéraux soit régie par des ententes d’échange de renseignements.
Le Commissariat a également recommandé à la GRC de mettre en place des procédures pour éliminer les renseignements personnels recueillis qui ne font l’objet d’aucun mandat ou qui ne sont pas nécessaires pour son enquête. Nos travaux dans ce dossier se poursuivent.
Utilisation par la GRC de la reconnaissance faciale
Le recours par la GRC de la technologie de reconnaissance faciale pour mener des enquêtes sur la traite de personnes et l’exploitation sexuelle d’enfants est un exemple de partenariat public-privé qui s’inscrit à la fois dans l’application de la LPRP et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Dans le cadre de sa consultation avec la GRC, le Commissariat a réitéré à celle-ci l’importance de cerner et d’atténuer les risques d’atteinte à la vie privée avant de mettre en œuvre de nouvelles technologies, en particulier celles qui comportent une fonction de reconnaissance faciale. Le Commissariat lui a aussi recommandé de ne pas utiliser une technologie de reconnaissance faciale en particulier tant qu’elle n’aura pas procédé à une évaluation rigoureuse des risques d’atteinte à la vie privée et de la conformité des activités en question aux lois canadiennes sur la protection des renseignements personnels dans les secteurs public et privé. Au moment de la rédaction du présent rapport, le Commissariat attendait encore une EFVP en réponse aux préoccupations soulevées lors de la consultation.
Modernisation du processus de déclaration volontaire aux fins de l’équité en matière d’emploi
Depuis plus de 30 ans, le SCT recueille des renseignements personnels pour les besoins du processus de déclaration volontaire aux fins de l’équité en matière d’emploi au sein de la fonction publique fédérale. Le SCT a récemment lancé une démarche visant à élargir la portée de la collecte de renseignements en ajoutant un nouveau champ de texte ouvert où les répondants peuvent saisir d’autres facteurs identitaires qui ne figurent pas actuellement dans les options du formulaire.
Le Commissariat a fait remarquer au SCT que les renseignements en lien avec la déclaration volontaire peuvent être considérés comme étant de nature sensible et que l’élargissement des catégories est susceptible d’accroître la quantité de renseignements personnels recueillis. Le Commissariat échange avec le SCT sur ce processus depuis plusieurs années et a reçu une EFVP de ce dernier en juillet 2023.
Le Commissariat a recommandé au SCT de surveiller de près la collecte de nouvelles données relatives à la déclaration volontaire et d’évaluer si la pratique s’avère un moyen efficace d’atteindre l’objectif établi, qui consiste à mettre au jour la discrimination systémique et à promouvoir l’équité dans les pratiques de dotation.
Le Commissariat a formulé des observations au Groupe de travail du gouvernement sur l’examen de la Loi sur l’équité en matière d’emploi, précisant que le droit à la vie privée est un droit fondamental qui sous-tend les valeurs de l’autonomie, de l’identité, de la dignité et de l’intégrité de la personne, lesquelles sont inhérentes aux objectifs de base du Cadre sur l’équité en matière d’emploi.
Dans son mémoire, le Commissariat a affirmé qu’il appuyait les objectifs importants de la Loi sur l’équité en matière d’emploi et le travail essentiel du Groupe de travail. Le Commissariat a fait valoir la nécessité pour les institutions d’être clairement autorisées, au titre de l’article 4 de la LPRP, à mener une telle activité. Les renseignements personnels devraient par ailleurs être recueillis directement auprès des employés et ceux-ci devraient en être clairement avisés. À cet égard, le Commissariat a émis une mise en garde contre le fait de recueillir plus de renseignements que nécessaire.
Régime canadien de soins dentaires
Le Commissariat mène de nombreuses consultations auprès des différents ministères du gouvernement fédéral chargés de déployer le nouveau Régime canadien de soins dentaires, un programme du gouvernement fédéral qui vise à fournir une couverture aux Canadiennes et aux Canadiens admissibles qui ne bénéficient pas d’une assurance dentaire.
Le Commissariat a conseillé aux ministères de veiller à ce que les pratiques de protection de la vie privée adoptées par les entrepreneurs tiers soient suffisantes. Par ailleurs, le Commissariat a fait remarquer qu’il faut mettre en place des mesures de protection adéquates pour recueillir et traiter les renseignements personnels que doivent fournir les demandeurs pour obtenir des prestations dans le cadre du programme. Il a recommandé que toutes les parties concluent des ententes d’échange de renseignements rigoureuses afin d’assurer une protection uniforme de la vie privée dans l’ensemble des ministères. Le Commissariat poursuivra ses discussions à cet égard dans le but de veiller à ce que la protection de la vie privée soit intégrée à la conception du programme, à mesure que le Régime canadien de soins dentaires sera déployé par étapes au cours des prochaines années.
Projet de demandes de passeport en ligne
En 2023, le Commissariat a examiné un projet pilote d’Immigration, Réfugiés et Citoyenneté Canada (IRCC) portant sur les demandes de passeport en ligne et a formulé des recommandations à cet égard. Le projet se limite aux demandes de renouvellement simplifié de passeport présentées en territoire canadien, et il a été mis à l’essai avec la participation volontaire de fonctionnaires fédéraux.
Dans le cadre du projet, les demandeurs transmettent des photos numériques prises en direct à un service externe de stockage infonuagique géré par IRCC. Les données sont téléchargées puis saisies manuellement dans le Système mondial de gestion des cas du ministère aux fins du traitement des demandes de renouvellement de passeport.
Le Commissariat s’attend à recevoir une EFVP en vue du déploiement intégral du programme de demandes de renouvellement de passeport en ligne et recommande à IRCC de bien cerner les risques d’atteinte à la vie privée d’ordre technique, notamment ceux qui sont associés à l’utilisation d’un service infonuagique.
Régime d’autorisation pour soutenir l’aide humanitaire internationale
Sécurité publique Canada et AMC ont demandé conseil au Commissariat concernant l’élaboration d’un programme qui permettrait à des groupes humanitaires de demander l’autorisation d’exercer des activités dans des emplacements géographiques contrôlés par des groupes terroristes.
Tout soutien apporté à une activité terroriste ou toute mesure au profit d’une personne exerçant des activités terroristes constitue une infraction prévue au Code criminel. Toutefois, une nouvelle loi prévoit des exceptions pour la prestation d’activités d’aide humanitaire par des organisations impartiales dont le fonctionnement est régi par le droit international dans des régions contrôlées par des groupes terroristes. Les organisations canadiennes peuvent dorénavant solliciter expressément l’autorisation de mettre en œuvre des programmes visant les droits de la personne, de soutenir les activités menées par un organisme du gouvernement et de fournir une aide alimentaire et d’autres formes de soutien à la population générale dans ces régions.
Étant donné la nature sensible des renseignements recueillis et le fait que plusieurs institutions fédérales participeront à l’examen des demandes et à la délivrance des autorisations, le Commissariat a réitéré la nécessité de conclure des ententes d’échange de renseignements qui sont assorties de dispositions rigoureuses en matière de protection de la vie privée. La collecte des renseignements personnels dans les médias sociaux pour les besoins de ce processus de vérification devrait être régie par des règles claires. Le Commissariat a également indiqué que les déclarations de consentement et les énoncés d’avis de confidentialité transmis aux demandeurs doivent décrire de façon claire et détaillée comment les renseignements recueillis seront utilisés.
Le Commissariat s’attend à recevoir une EFVP pluri-institutionnelle pour ce programme, dirigé par Sécurité publique Canada. Le Commissariat continuera de fournir des services-conseils aux représentants des ministères au fur et à mesure que l’initiative progressera.
Mesures de conformité en application de la LPRP
En 2023-2024, le Commissariat a accepté 1 113 plaintes déposées sous le régime de la LPRP. Il s’agit d’une baisse de 10 % par rapport à 2022-2023, où 1 241 plaintes avaient été acceptées.
Comme c’était le cas en 2022-2023, la GRC (266 plaintes) et le Service correctionnel du Canada (SCC) (201 plaintes) sont les institutions pour lesquelles le Commissariat a accepté le plus grand nombre de plaintes. Viennent ensuite IRCC (110 plaintes), l’Agence des services frontaliers du Canada (ASFC) (103 plaintes) et le ministère de la Défense nationale (MDN) (78 plaintes).
Plus de la moitié (54 %; 603 plaintes) des plaintes acceptées concernaient le délai de réponse des institutions aux demandes d’accès aux renseignements personnels – ce que l’on appelle les plaintes relatives aux délais. Le Commissariat a aussi reçu de nombreuses plaintes relatives à l’application d’exemptions pour refuser de communiquer les renseignements demandés ou à des allégations de dossiers manquants (30 %) ainsi qu’à des allégations de collecte, d’utilisation et de communication non autorisées de renseignements personnels (16 %).
Par ailleurs, le Commissariat a observé une augmentation du nombre de plaintes déposées sous le régime de la LPRP par des personnes qui ne sont pas des citoyens canadiens. Le Décret d’extension no 3, qui est entré en vigueur en juillet 2022, confère aux ressortissants étrangers qui se trouvent à l’extérieur du Canada le droit d’accéder à leurs renseignements personnels détenus par les organisations assujetties à la LPRP et de faire corriger ces renseignements. En tout, 268 plaintes ont été déposées par des ressortissants étrangers. De ce nombre, 68 % (183) ont été fermées à l’étape de l’admission, la plupart étant liées à des demandes de visa, un domaine qui ne relève pas de la compétence du Commissariat.
En ce qui concerne les atteintes à la vie privée, le Commissariat a reçu 561 signalements de la part d’institutions fédérales. La majorité (68 %) était liée à des documents contenant des renseignements personnels qui avaient été perdus ou égarés. L’accès non autorisé par des employés ayant abusé de leurs droits d’accès et les attaques par piratage psychologique sont au deuxième rang des atteintes les plus fréquemment signalées (16 %). Les communications non autorisées, quant à elles, comptaient pour 15 % des atteintes, la majorité étant attribuable à des erreurs commises par des employés, par exemple une correspondance mal acheminée ou un traitement inadéquat des renseignements.
En ce qui concerne la charge de travail, le financement temporaire reçu dans le cadre du budget fédéral de 2023 a permis au Commissariat d’embaucher des ressources supplémentaires et de réduire l’arriéré des plaintes. À la fin de mars 2024, l’arriéré représentait 20 % de toutes les enquêtes en cours, ce qui comprend les enquêtes sous le régime de la LPRP et de la LPRPDE. Il s’agit d’une diminution par rapport à 2022-2023, où l’arriéré représentait 24 % des enquêtes en cours.
Par suite d’un examen diagnostique réalisé en 2022-2023, le Commissariat a aussi commencé à mettre en œuvre des stratégies visant à obtenir des gains d’efficacité. Cela dit, bien qu’il s’efforce constamment de trouver des moyens efficaces de régler les plaintes et de mener ses enquêtes, le Commissariat croit que, sans financement permanent supplémentaire, l’arriéré risque de demeurer important.
Les institutions visées par le plus grand nombre de plaintes acceptées
Institution intimée
Nombre
Gendarmerie royale du Canada
266
Service correctionnel du Canada
201
Immigration, Réfugiés et Citoyenneté Canada
110
Agence des services frontaliers du Canada
103
Ministère de la Défense nationale
78
Agence du revenu du Canada
76
Emploi et Développement social Canada
32
Service canadien du renseignement de sécurité
23
Affaires mondiales Canada
21
Transports Canada
20
Société canadienne des postes
20
Durée de traitement dans les enquêtes relatives aux délais
Exercice
Délai de traitement moyen, en mois
2023-2024
1,80
2022-2023
2,10
2021-2022
2,91
2020-2021
5,04
2019-2020
7,50
Règlement rapide
Le processus de règlement rapide est un outil d’enquête indispensable auquel le Commissariat a recours pour régler rapidement et de manière efficace les plaintes peu complexes et non systémiques. Le Commissariat a recours à des approches comme les discussions et la négociation en vue d’obtenir le résultat optimal pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête officiel.
Dans certains cas, le Commissariat mènera une enquête sommaire pour traiter des plaintes peu complexes et non systémiques. Les enquêtes sommaires sont envisagées en fonction de divers facteurs lorsqu’il a été établi que le règlement de l’affaire n’est plus possible, mais que l’enquête est en grande partie ou totalement terminée.
En 2023-2024, 87 % de toutes les plaintes déposées en vertu de la LPRP, y compris les enquêtes sur le délai de réponse des institutions aux demandes d’accès aux renseignements personnels (enquêtes relatives aux délais), ont été réglées rapidement ou ont fait l’objet d’une enquête sommaire.
Pourcentage des plaintes fermées par règlement rapide
Exercice
Pourcentage
2023-2024
50 %
2022-2023
47 %
2021-2022
40 %
2020-2021
52 %
2019-2020
25 %
Voici des exemples de plaintes réglées cette année au moyen du processus de règlement rapide au titre de la LPRP :
Le réacheminement d’une demande résout un problème de documents manquants
La personne plaignante a présenté une demande d’accès à un dossier de parrain, dossier qu’elle avait soumis à IRCC. La personne a déposé une plainte au Commissariat après qu’IRCC a répondu qu’il ne possédait pas ledit dossier.
Quand le Commissariat a effectué un suivi auprès d’IRCC, ce dernier s’est rendu compte que la demande de la personne plaignante n’avait pas été envoyée au bureau pertinent du ministère. Grâce à l’intervention du Commissariat, la demande a été réacheminée, et cette fois au bon bureau. Les documents en question ont finalement été fournis à la personne plaignante.
La collaboration du Commissariat permet à un ministère de trouver des documents
Une personne plaignante a reçu des documents à la suite d’une demande d’accès qu’elle avait faite en vertu de la LPRP, mais estimait qu’il aurait dû y en avoir plus.
Grâce à la collaboration du Commissariat avec Services publics et Approvisionnement Canada (SPAC), des fonctionnaires du ministère ont réacheminé la demande et ont finalement fourni 149 pages supplémentaires de documents pertinents à la personne plaignante.
Résumés des principales enquêtes menées en vertu de la LPRP
Rapport spécial : Projet Wide Awake de la GRC
Dans un rapport spécial déposé au Parlement en février 2024, le Commissaire à la protection de la vie privée du Canada a présenté les conclusions de son enquête sur le projet Wide Awake de la GRC. Dans le cadre de ce projet, la GRC a eu recours aux services d’un tiers pour recueillir des renseignements personnels provenant de diverses sources, dont les médias sociaux, le Web caché, des services basés sur la localisation et des bases de données privées payantes.
L’enquête a permis de conclure que la GRC doit améliorer ses processus d’évaluation des services de surveillance et de suivi offerts par le secteur privé avant d’y avoir recours.
Dans le rapport de conclusions d’enquête sur le projet Wide Awake, le Commissariat a recommandé à la GRC de réaliser des évaluations exhaustives pour obtenir un niveau d’assurance suffisant que les fournisseurs de services tiers auxquels elle a recours respectent les lois pertinentes sur la protection des renseignements personnels. Le Commissariat a également recommandé à la GRC de faire preuve de plus de transparence en ce qui a trait à la collecte de renseignements personnels qu’elle effectue dans le cadre de la collecte du renseignement de source ouverte et à propos des fins auxquelles les différents types de renseignements recueillis pourraient être utilisés.
Immigration, Réfugiés et Citoyenneté Canada n’a pas procédé à une recherche suffisante des dossiers
L’individu en cause a déposé une plainte au Commissariat après qu’IRCC lui a donné accès à certains dossiers, mais lui a refusé l’accès à d’autres. L’individu, qui cherchait à venir au Canada, avait demandé à IRCC de lui fournir tous les documents à propos de ses enfants et de lui-même permettant d’expliquer pourquoi leurs visas avaient été révoqués puis délivrés de nouveau. Le représentant de la personne plaignante a soutenu qu’IRCC avait contrevenu à la LPRP en ne communiquant pas tous les renseignements pertinents demandés.
L’enquête du Commissariat visait à établir si IRCC avait procédé à une recherche suffisante des dossiers. Cette enquête a permis de conclure qu’IRCC avait effectué une recherche incomplète parce qu’il avait réduit la portée de la demande de la personne plaignante sans l’accord de celle-ci et, par conséquent, n’avait pas vérifié si d’autres bureaux auraient pu détenir des renseignements pertinents.
À la suite d’une discussion sur cette affaire avec le Commissariat, IRCC a accepté d’élargir ses recherches. Le ministère n’a cependant pas été en mesure de trouver les documents demandés parce qu’ils avaient été détruits selon sa politique de conservation de deux ans.
Enfin, même si le Commissariat a constaté qu’IRCC n’avait pas procédé à une recherche suffisante des dossiers, il a finalement conclu que le ministère avait respecté ses obligations prévues par la Loi, parce que les dossiers n’existaient plus.
Immigration, Réfugiés et Citoyenneté Canada est autorisé à communiquer une demande de carte de résidence permanente à l’Agence des services frontaliers du Canada
Un individu a communiqué avec le Commissariat en invoquant qu’IRCC avait communiqué sa demande de renouvellement de carte de résidence permanente de façon inappropriée à l’ASFC, qui l’avait ensuite utilisée à l’appui d’une demande de révocation de son statut de résident permanent.
L’ASFC faisait enquête sur la personne plaignante parce que cette dernière avait fréquemment voyagé dans le pays en raison duquel elle avait demandé l’asile et qu’elle avait obtenu un nouveau passeport de ce même pays. C’est dans ce contexte que l’ASFC a demandé à IRCC de lui fournir la demande de renouvellement de carte de résidence permanente de la personne plaignante. Cette demande contenait des précisions sur les déplacements de la personne en cause, lesquelles étaient utiles à l’enquête visant à constater la perte de l’asile.
La personne plaignante a soutenu qu’IRCC n’était pas autorisé à communiquer ses renseignements personnels à l’ASFC parce que les fins de cette communication étaient différentes de celles pour lesquelles les renseignements avaient été recueillis.
Au cours de l’enquête, le Commissariat a établi qu’IRCC et l’ASFC ont un mandat commun au titre de la Loi sur l’immigration et la protection des réfugiés. Par conséquent, la communication de renseignements entre ces deux entités à des fins d’administration et d’application de ladite loi est considérée comme un « usage compatible » et est donc autorisée par la LPRP.
Après avoir examiné ce qu’ont affirmé la personne plaignante, IRCC et l’ASFC, le Commissariat a conclu qu’IRCC avait communiqué les renseignements personnels de la personne plaignante à l’ASFC pour un usage compatible avec les fins auxquelles les renseignements avaient été recueillis et que, par conséquent, les plaintes déposées contre les deux entités étaient jugées non fondées.
Le ministère de la Défense nationale a refusé à juste titre qu’une personne chargée de l’exécution testamentaire accède aux renseignements personnels d’une personne décédée
Le Commissariat a mené une enquête sur une plainte reçue selon laquelle le MDN a refusé de communiquer les renseignements personnels d’un militaire décédé à la personne chargée de l’exécution testamentaire.
Par l’entremise d’un représentant, cette personne a demandé au MDN de lui fournir les documents relatifs à une enquête portant sur des allégations contre le défunt, ainsi que les documents relatifs à toute mesure prise par la chaîne de commandement à l’endroit de ce dernier en réponse aux allégations.
Les Forces armées canadiennes ont fini par communiquer certains des renseignements demandés, mais ont refusé l’accès à d’autres.
L’enquête du Commissariat visait à établir si le représentant était autorisé à présenter une demande en vertu de la LPRP au nom de la personne chargée de l’exécution testamentaire aux fins de gestion de la succession, et s’il était par conséquent autorisé à accéder aux renseignements demandés. La LPRP accorde à un individu le droit d’accès à ses renseignements personnels relevant d’une institution fédérale. Une personne qui est autorisée à gérer la succession d’une personne décédée peut agir au nom de cette dernière et avoir accès à ses renseignements personnels uniquement aux fins de gestion de la succession.
Dans les observations qu’il a présentées au MDN, le représentant a expliqué que la personne plaignante, soit celle chargée de l’exécution testamentaire, souhaitait obtenir les renseignements pour deux raisons. D’abord, elle comptait déposer une plainte au nom de la succession concernant les allégations qui pesaient contre le défunt. Ensuite, elle voulait se renseigner avant une commission d’enquête sur le décès du soldat.
Le Commissariat a estimé que la preuve fournie ne permettait pas de conclure que les renseignements demandés étaient nécessaires à la gestion de la succession et que, par conséquent, le MDN a eu raison de conclure que ni la personne chargée de l’exécution testamentaire ni son représentant n’avaient le droit d’y accéder.
En 2023-2024, les signalements d’atteinte à la vie privée visant des institutions du gouvernement fédéral reçus par le Commissariat ont augmenté de 88 %, passant à 561, comparativement à 298 l’année précédente.
Certains signalements font toujours l’objet d’enquêtes, dont un portant sur une atteinte à la sécurité des données à AMC et un autre concernant une compromission qu’a subie un tiers fournissant des services de réinstallation à des employés du gouvernement, qui a touché plusieurs ministères fédéraux. Des enquêtes en cours au titre de la LPRPDE menées auprès de deux entreprises avec lesquelles le gouvernement avait conclu des contrats dans le cadre du programme de réinstallation sont également liées à cette compromission.
En février 2024, le Commissaire à la protection de la vie privée du Canada a déposé un rapport spécial au Parlement sur une cyberattaque visant l’ARC et EDSC, rendue possible en raison de failles dans les mesures de protection en matière de cybersécurité. Ces attaques ont compromis les renseignements financiers, bancaires et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraude et de vol d’identité – dont un grand nombre de demandes frauduleuses pour la Prestation canadienne d’urgence (PCU).
Depuis plusieurs années, le Commissariat trouve préoccupant le sous-signalement des atteintes dans le secteur public fédéral. Dans cette optique, l’augmentation de signalements d’atteinte reçus est vue positivement.
Liste des institutions ayant signalé le plus grand nombre d’atteintes
Institution
Atteintes déclarées
Emploi et Développement social Canada
377
Agence du revenu du Canada
71
Service correctionnel du Canada
20
Gendarmerie royale du Canada
14
Immigration, Réfugiés et Citoyenneté Canada
8
Commission de la fonction publique du Canada
8
En particulier, le Commissariat a reçu un nombre accru de signalements (377) de la part d’EDSC. La quantité d’atteintes à la vie privée qui ont été relevées par EDSC peut refléter les efforts de détection des atteintes à la vie privée déployés par le ministère ainsi que d’autres facteurs, comme son mandat, qui comprend la collecte et l’utilisation de quantités importantes de renseignements personnels.
Malgré la hausse du nombre total de signalements et la grande visibilité de certains de ces incidents, le Commissariat demeure préoccupé par le fait que, trop souvent, les atteintes à la vie privée ne sont pas détectées ou sont mal évaluées, entraînant ainsi un sous-signalement des atteintes à la vie privée dans le secteur public.
Bien que plusieurs institutions fédérales traitent des renseignements personnels de nature sensible dans le cadre de leur mandat, le Commissariat ne reçoit pas un grand nombre de signalements d’atteinte à la vie privée de la part de ces institutions. Dans le secteur public, les institutions fédérales assujetties à la LPRP sont tenues de signaler les atteintes à la vie privée en application d’une politique du SCT et non d’une loi, contrairement au secteur privé, qui est tenu de les signaler en application de la LPRPDE.
La perte de renseignements personnels était la principale cause des 561 incidents signalés (382 incidents ou 68 % du total), suivie de l’accès non autorisé aux renseignements personnels (89 incidents; 16 %). Par ailleurs, 85 des atteintes signalées (15 %) résultaient de communications non autorisées, qui étaient pour la plupart attribuables à des erreurs commises par des employés.
Le Commissariat continue également de constater un écart important entre les secteurs privé et public en ce qui concerne le signalement des cyberincidents. En 2023-2024, le Commissariat a reçu 321 signalements de cyberincidents du secteur privé et seulement 37 des institutions fédérales.
En raison de la nature complexe sur le plan technique des atteintes signalées, le Commissariat consacre de plus en plus d’efforts à l’analyse technique afin de déterminer les facteurs qui ont mené à une atteinte en particulier et de confirmer le caractère adéquat des mesures d’atténuation techniques qui auraient pu être prises par les institutions concernées.
Même si ce n’est pas de son ressort, le Commissariat a également constaté une hausse des atteintes touchant les infrastructures publiques essentielles, comme dans les administrations municipales et les conseils scolaires. Il s’agit là d’un autre indicateur que les institutions gouvernementales sont de plus en plus ciblées par les auteurs de menaces.
Enquêtes découlant d’une atteinte sous le régime de la LPRP
Rapport spécial au Parlement : Atteinte à la vie privée à Emploi et Développement social Canada et à l’Agence du revenu du Canada
En février 2024, le Commissaire a publié ses conclusions d’enquête dans un rapport spécial au Parlement au sujet d’une atteinte grave à la vie privée à EDSC et à l’ARC mettant en cause de grandes quantités de renseignements personnels sensibles. Dans le cadre de cette enquête, le Commissariat a constaté que les pirates informatiques se sont servis d’identifiants volés pour accéder au portail de connexion de l’ARC et au service d’authentification « CléGC » d’EDSC. Cette technique, appelée « bourrage d’identifiants », a permis aux acteurs malveillants d’accéder à des comptes en ligne, de les modifier ou d’en créer de nouveaux à partir de ces identités. Ils ont ainsi pu accéder de manière frauduleuse à des services du gouvernement et présenter des demandes de prestations ou détourner des paiements à leur intention.
L’attaque a compromis les renseignements financiers, banquiers et sur l’emploi de nature sensible de dizaines de milliers de Canadiennes et de Canadiens, donnant lieu à de nombreux cas de fraudes et de vols d’identité – dont un grand nombre de demandes frauduleuses pour la PCU. Les préjudices subis par les individus touchés sont multiples : difficultés financières, diminution de la cote de solvabilité, atteintes à la vie privée et stress psychologique.
Le Commissariat a conclu que l’ARC et EDSC avaient sous-évalué le niveau de validation de l’identité requis pour les services en ligne touchés, compte tenu de la nature sensible des renseignements personnels en cause. De plus, les institutions ne disposaient pas de mesures de surveillance adéquates visant à détecter l’atteinte et à la limiter rapidement. Cette situation résulte en partie du caractère inadéquat de leurs évaluations de sécurité et de leurs essais visant leurs systèmes de gestion de l’authentification et des justificatifs d’identité ainsi que de lacunes au chapitre de la responsabilité et de l’échange de renseignements entre les institutions.
Le Commissariat a formulé un certain nombre de recommandations et les entités les ont toutes acceptées.
Une atteinte à la vie privée à Immigration, Réfugiés et Citoyenneté Canada fait valoir l’importance des procédures pour protéger les renseignements personnels
Une erreur humaine commise dans l’utilisation d’une feuille de calcul Excel a entraîné l’envoi par erreur d’un courriel qui était destiné à quelqu’un d’autre à près de 500 personnes qui demandaient le statut de résident permanent.
IRCC préparait un envoi de masse pour informer les personnes admissibles d’une mesure spéciale qui leur permettrait de rester au Canada grâce à un permis de travail pendant que le ministère terminait le traitement de leur demande de résidence permanente. Les courriels envoyés par erreur contenaient des noms, des adresses et des adresses de courriel. De plus, le courriel en question révélait que tous les destinataires détenaient un permis de travail ouvert et avaient demandé une résidence permanente.
Le Commissariat a établi qu’il ne s’agissait pas d’une atteinte substantielle, car le risque de préjudice était faible pour les personnes concernées.
Afin d’éviter un autre incident du genre qui, dans un contexte différent, aurait pu entraîner un risque réel de préjudice grave, le Commissariat a recommandé qu’IRCC crée un aide-mémoire étape par étape à l’intention de ses employés et forme ces derniers à cet égard, instaure des mesures de surveillance et vérifie régulièrement que ces mesures sont suivies. Le Commissariat a depuis confirmé qu’IRCC avait mis en œuvre ces recommandations.
Une atteinte à la vie privée survenue à l’Agence du revenu du Canada montre l’importance de mettre en place des processus d’authentification appropriés
En 2023, le Commissariat a reçu une plainte provenant d’un individu dont les renseignements ont été utilisés par un imposteur afin de demander et de toucher la PCU.
Le compte Mon dossier de la personne plaignante à l’ARC a été compromis à la suite d’une atteinte en 2020. En conséquence, un imposteur a réussi à accéder à son compte, en ligne et lors d’une communication téléphonique avec un agent de l’ARC. L’imposteur a modifié les coordonnées et les renseignements relatifs au dépôt direct associés au compte, puis a présenté une demande de PCU.
Ayant accès à ces renseignements, il a ensuite présenté une demande d’assurance-emploi et a reçu ces prestations d’EDSC. La personne plaignante, quant à elle, a ainsi reçu un nouveau relevé de cotisation pour l’année d’imposition 2021 qui lui indiquait qu’elle devait une somme considérable.
Dans cette affaire, l’enquête a révélé que la faiblesse des mesures de sécurité, le manque de mesures d’atténuation des risques associés à des données à incidence élevée comme les données de dépôt direct et des lacunes au chapitre de la validation de l’identité et des identifiants ont été des facteurs qui ont permis l’atteinte. Dans son rapport d’enquête, le Commissariat a aussi signalé que les mesures de protection appliquées pour éviter l’accès et la modification non autorisés devaient être proportionnelles à la sensibilité des renseignements détenus par l’organisation.
Depuis l’incident, l’ARC a apporté des changements à cet égard, dont le renforcement de ses procédures de confirmation des demandes d’autorisation reçues, notamment celles reçues par téléphone, et l’ajout de mesures de sécurité pour les modifications à incidence élevée qui sont apportées aux renseignements personnels.
La confusion entre deux employées ayant le même nom donne lieu à des atteintes systémiques dans ce domaine
Dans le cadre de la présente enquête, le Commissariat a établi qu’un ministère du gouvernement fédéral a enfreint la LPRP en omettant de prendre des mesures suffisantes pour éviter des atteintes à la vie privée aux employés ayant le même nom.
Une employée de ce ministère a porté plainte parce que ses renseignements personnels ont été transmis plusieurs fois à une autre employée du même nom par erreur, et ce, malgré les nombreuses plaintes à cet égard formulées auprès des secteurs concernés au sein de leur ministère ayant transmis les renseignements.
L’employée a également fait remarquer que des changements dans les systèmes des ressources humaines et des technologies de l’information ont souvent été apportés au mauvais compte d’employé, malgré le fait que sa date de naissance ne corresponde pas à celle de l’autre employée et qu’elles possèdent des codes d’identification de dossier personnel différents.
Le ministère a fait valoir que le degré de sensibilité des renseignements communiqués était « de faible à moyen », mais le Commissariat n’était pas de cet avis. Ce dernier a fait remarquer que les types de renseignements communiqués, comme les adresses postales, les adresses courriel personnelles, les renseignements financiers et les renseignements relatifs à la santé, auraient pu mener à un vol d’identité dans d’autres contextes.
La plupart des incidents qui se sont produits étaient le fruit d’une erreur humaine. Cependant, le caractère répété de ces erreurs et le fait qu’elles n’ont pas cessé malgré les plaintes de l’employée démontrent qu’il s’agissait là d’un problème systémique. Ce dernier aurait pu être réglé, par exemple, en mettant en place des mesures pour confirmer l’identité de chaque employée avant d’envoyer un courriel contenant des renseignements personnels ou de modifier un dossier personnel.
Le ministère a d’abord déclaré qu’il n’était pas au fait des incidents en question parce que ceux-ci n’avaient pas été signalés à son bureau de l’accès à l’information et de la protection des renseignements personnels (AIPRP). Dans son rapport, le Commissariat a précisé que le fait que ni la personne plaignante ni aucun autre employé qui était au courant du problème n’ait signalé ces atteintes au bureau de l’AIPRP dénote un manque général de connaissance de la procédure de signalement des atteintes ainsi que du rôle et des responsabilités du bureau de l’AIPRP du ministère.
À la suite de la publication du rapport du Commissariat, le ministère s’est engagé à mettre en œuvre les recommandations qui y sont formulées, dont celle de mettre en place des mesures pour prévenir les communications non autorisées des renseignements personnels des employés. Le ministère rappellera aussi à l’ensemble de ses employés leur obligation de signaler les atteintes à la sécurité des renseignements personnels au bureau de l’AIPRP.
En 2023-2024, le Commissaire a lancé plusieurs enquêtes en lien avec des allégations d’importantes atteintes à la vie privée et des activités qui ont attiré l’attention des médias. Ces enquêtes sont encore en cours.
Application ArriveCAN et pratiques contractuelles
Le Commissaire Dufresne a annoncé en mars 2024 que le Commissariat mènera une enquête sur les allégations de non-conformité aux obligations en matière de protection de la vie privée après avoir reçu une plainte contre l’Agence des services frontaliers du Canada concernant la conception de l’application mobile ArriveCAN.
L’enquête permettra d’examiner les pratiques contractuelles en lien avec ArriveCAN, et plus précisément les mesures en place pour protéger les renseignements personnels lors de la conception de l’application afin d’évaluer la conformité à la LPRP.
Atteinte à la vie privée qui touche les services de réinstallation retenus par le gouvernement
Le Commissaire Dufresne a ouvert deux enquêtes sur une cyberattaque qui a compromis les renseignements personnels des employés du gouvernement fédéral ayant eu recours aux services de réinstallation retenus par le gouvernement pendant plus de deux décennies.
L’atteinte concerne des renseignements personnels détenus par Services globaux de relogement Brookfield (BGRS) et sa société affiliée (Sirva), avec lesquelles le gouvernement du Canada a conclu des contrats pour offrir des services de réinstallation aux employés.
La première enquête permettra d’évaluer si SPAC et le SCT – les deux ministères qui ont retenu les services des entreprises en question – s’étaient conformés à la LPRP. La seconde enquête permettra d’établir si les deux entreprises s’étaient conformées à la LPRPDE.
Atteinte à la sécurité des données à Affaires mondiales Canada
Le Commissaire a lancé une enquête sur une atteinte à la sécurité des données à AMC. Les renseignements personnels d’utilisateurs du réseau, dont des employés, ont été compromis après que des individus ont accédé sans autorisation au réseau privé virtuel d’AMC.
Le Commissariat a reçu plusieurs plaintes à ce sujet. Cette enquête permettra d’établir si les mesures de protection mises en place pour protéger les renseignements personnels étaient adéquates, et si la LPRP a été respectée.
Activités de l’Unité de surveillance de la conformité
Dans le cadre de ses enquêtes, le Commissariat formule des recommandations aux institutions en vue de les aider à respecter la LPRP. Dans certains cas, il a recours à sa fonction de surveillance de la conformité pour s’assurer que les institutions mettent en œuvre ces recommandations comme elles se sont engagées à le faire, et ce, dans les délais fixés. Contrairement à la LPRPDE, la LPRP ne prévoit pas la conclusion d’accords de conformité.
En 2023-2024, en plus des 15 dossiers de surveillance de la conformité qui ont été fermés sous le régime de la LPRPDE, 23 dossiers sous le régime de la LPRP ont aussi été menés à terme, dont les deux dossiers ci-dessous.
Communication interne de renseignements personnels à l’École de la fonction publique du Canada
En juillet 2023, à la suite d’une plainte déposée contre l’EFPC, le Commissariat a mené une enquête et conclu que le groupe AIPRP de l’EFPC avait communiqué de manière inappropriée la demande d’accès d’une personne plaignante à l’équipe de la sécurité de l’EFPC.
Au terme de l’enquête, le Commissariat a recommandé que l’EFPC mette en œuvre les mesures suivantes dans un délai de neuf mois :
élaborer des lignes directrices qui comprennent un processus clair par lequel ses agents évalueront le bien-fondé d’un usage ou d’une communication compatible des renseignements personnels communiqués à l’interne;
créer et offrir de la formation à tous les employés du groupe AIPRP afin de leur rappeler leurs obligations au titre de la Loi sur l’accès à l’information et de la LPRP ainsi que les politiques connexes.
L’EFPC a adopté les mesures en question dans le délai fixé. Le Commissariat a constaté après examen que l’EFPC avait fait ce qu’il fallait pour régler les préoccupations soulevées dans la plainte.
Communication de renseignements personnels par le Service correctionnel du Canada
En août 2023, une enquête du Commissariat sur le SCC a révélé que ce dernier avait communiqué de façon inappropriée les renseignements personnels d’une personne plaignante. Le nom de cette personne figurait dans une lettre relative à une question de ressources humaines qui a été envoyée par erreur à un autre employé. Celui-ci a donc pu avoir accès à de l’information concernant l’employé dont les renseignements ont été communiqués de façon inappropriée.
Au cours de son enquête, le Commissariat a constaté que le SCC n’avait pas mis en œuvre de manière adéquate les recommandations formulées antérieurement lors d’une enquête menée en 2021 relativement à la collecte, à l’utilisation et à la communication par celui-ci des renseignements d’une personne plaignante.
Au terme de l’enquête menée en août 2023, le Commissariat a recommandé au SCC d’élaborer un document d’orientation à l’intention de ses employés concernant les atteintes à la vie privée et d’offrir de la formation sur le sujet.
La plus récente enquête du Commissariat lui a permis de constater que le SCC avait suivi ses recommandations dans le délai imparti. Le Commissariat est d’avis que les préoccupations soulevées dans la plainte sont désormais réglées.
Le point sur le Programme Marketing Intelliposte de Postes Canada
En mai 2023, le Commissariat a mené une enquête sur le programme Marketing Intelliposte de Postes Canada. Celle-ci a révélé que Postes Canada a utilisé les renseignements personnels tirés de ses données opérationnelles à des fins de marketing, et ce, sans obtenir l’autorisation nécessaire des individus concernés. Dans le cadre de ce programme, Postes Canada a créé des listes de marketing à l’aide de diverses sources de renseignements, comme ceux figurant sur les enveloppes et les colis livrés partout au pays.
Le Commissariat a recommandé que Postes Canada cesse d’utiliser et de communiquer les renseignements personnels recueillis dans le cadre de ses activités de marketing postal tant qu’elle n’aura pas demandé et obtenu l’autorisation des Canadiennes et des Canadiens.
Au terme de l’enquête, Postes Canada a mis en place certaines mesures pour accroître la transparence à cet égard, comme mettre à jour l’information en ligne sur le programme et ajouter des brochures à des points de vente. Depuis, Postes Canada a aussi annoncé qu’elle prendrait les mesures supplémentaires suivantes :
ne plus offrir aux détaillants les renseignements liés aux tendances de magasinage en ligne regroupées au niveau du code postal;
cesser de combiner les données des annuaires téléphoniques publics à ses données opérationnelles pour valider les adresses incomplètes;
continuer à mieux faire connaître son programme Marketing Intelliposte et à en assurer la transparence, tout en expliquant aux gens comment ils peuvent refuser de recevoir du courrier publicitaire.
En outre, Postes Canada a fait part au Commissariat des améliorations qu’elle compte apporter à son programme Marketing Intelliposte, notamment les mesures qu’elle met en place pour accroître la transparence de ses pratiques de protection des données et de la vie privée. Le Commissariat a examiné les mesures proposées par Postes Canada, en particulier celle de cesser de combiner les données des annuaires téléphoniques publics à ses données opérationnelles pour valider les adresses incomplètes.
Le Commissariat estime que cette mesure permet de régler les préoccupations soulevées dans la plainte.
L’engagement de Postes Canada à améliorer ses pratiques dans ce domaine devrait assurer une responsabilité accrue quant à la protection du droit à la vie privée des Canadiennes et des Canadiens.
L’influence de la technologie sur la protection de la vie privée a été l’un des thèmes principaux qui se sont dégagés des travaux du Commissariat à la protection de la vie privée du Canada sous le régime de la LPRPDE en 2023-2024.
La publication d’un rapport du Commissaire à la protection de la vie privée du Canada sur les conclusions d’une enquête sur Aylo, l’entreprise qui exploite Pornhub et d’autres sites pornographiques bien connus, est l’un des faits saillants de la dernière année. L’enquête menée par le Commissariat a permis de conclure qu’Aylo a enfreint les lois canadiennes sur la protection des renseignements personnels en permettant la publication d’images intimes sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci.
L’enquête a mis au jour d’importants manquements en matière de consentement qui ont conduit à cette situation. Les victimes en ont subi de graves conséquences, qui se sont notamment traduites par de la stigmatisation sociale, des préjudices psychologiques, des pertes financières et même des tentatives de suicide.
Le consentement est aussi une question centrale dans les enquêtes en cours sur TikTok et OpenAI. Menées conjointement avec des homologues du Commissariat au Québec, en Colombie-Britannique et en Alberta, ces enquêtes visent à établir, entre autres, si les deux entreprises en question obtiennent un consentement valide pour l’utilisation, la collecte et la communication de renseignements personnels. Dans le cas de TikTok, l’enquête prendra notamment en considération la part importante des jeunes qui utilisent la plateforme.
En raison de l’augmentation de la menace et de la gravité des cyberattaques dans le monde entier au cours des dernières années, la technologie est un élément clé dans les enquêtes du Commissariat. Ce dernier a observé que même si le nombre d’incidents signalés n’a connu qu’une légère hausse, le nombre de comptes personnels touchés a augmenté de façon plus importante. En outre, des infrastructures essentielles sont de plus en plus la cible de cyberattaques de masse.
La protection de la vie privée et l’innovation sont complémentaires. Les organisations qui prennent au sérieux la vie privée de leurs clients et qui mettent en place des mesures visant à protéger adéquatement les renseignements personnels suscitent la confiance et connaissent une croissance. Afin d’épauler les entreprises dans l’adoption de pratiques rigoureuses en matière de protection de la vie privée, le Commissariat compte sur une équipe de services-conseils formée d’experts qui peuvent aider celles-ci à mieux comprendre leurs obligations au titre de la loi.
La section ci-après présente les résultats clés obtenus en 2023-2024 sous le régime de la LPRPDE.
La protection de la vie privée en chiffres
Loi sur la protection des renseignements personnels et les documents électroniques
Plaintes acceptées
446
Plaintes fondées
16
Plaintes fermées par règlement rapide
363
Plaintes fermées à l’issue d’une enquête officielle
42
Signalements d’atteintes à la sécurité des données reçus
693
Activités de liaison des services-conseils avec le secteur privé
16
Application de la LPRPDE
En 2023-2024, le Commissariat a accepté 446 plaintes déposées sous le régime de la LPRPDE. La majeure partie d’entre elles visait des entreprises du secteur financier (112 plaintes, ou 25 % de toutes les plaintes acceptées qui ont été déposées sous le régime de la LPRPDE) et du secteur des services numériques ou en ligne (72 plaintes, ou 16 % de toutes les plaintes acceptées). Le secteur des services numériques ou en ligne comprend les fournisseurs de services Internet et informatiques ainsi que les entreprises qui offrent d’autres services en ligne, comme des nouvelles, des logiciels et des applications mobiles, des répertoires, des portails de recherche et des plateformes de médias sociaux.
Quel que soit le secteur d’activité, toutes les plaintes reçues soulevaient des questions relativement à la collecte et à l’utilisation sans consentement de renseignements sur le crédit, à la difficulté d’obtenir l’accès aux renseignements personnels, au délai de règlement des plaintes concernant la protection de la vie privée, aux procédures de conservation et de suppression des renseignements personnels et à l’utilisation à grande échelle des renseignements personnels.
Le Commissariat a aussi constaté une hausse des plaintes présentées par des locataires d’habitation concernant les pratiques de leurs propriétaires en matière de vie privée. Ces plaintes avaient trait notamment à la vidéosurveillance à l’extérieur des unités locatives et à l’utilisation de services en ligne par les propriétaires pour sélectionner les locataires éventuels.
Comme il a été mentionné précédemment, à la fin du mois de mars 2024, 20 % (152) de toutes les enquêtes en cours du Commissariat avaient commencé depuis plus de 12 mois. Bien que le risque d’une augmentation de l’arriéré demeure, le Commissariat continue de chercher des moyens créatifs et innovants d’obtenir encore plus de gains d’efficacité et à mettre en œuvre des mesures en ce sens.
Processus de règlement rapide
Comme il a été mentionné précédemment dans le présent rapport, le Commissariat tente de régler les plaintes peu complexes et non systémiques, lorsque cela est possible, selon une méthode reposant sur la négociation ou les discussions, laquelle permet habituellement d’obtenir les meilleurs résultats pour les parties concernées. En pareil cas, le Commissariat ne publie aucun rapport de conclusions d’enquête officiel.
Pourcentage des plaintes fermées par règlement rapide
Exercice
Pourcentage des plaintes
2023-2024
90 %
2022-2023
73 %
2021-2022
85 %
2020-2021
71 %
2019-2020
69 %
Voici un exemple d’un tel cas au titre de la LPRPDE :
Le système de surveillance d’un immeuble a enregistré de l’audio sans consentement
Un individu a déposé une plainte au Commissariat parce qu’il soupçonnait que les caméras de surveillance de son immeuble enregistraient à la fois de l’audio et de la vidéo. L’entreprise de gestion immobilière avait avisé les locataires de la vidéosurveillance, mais ne les avait pas informés que l’enregistrement audio serait aussi activé.
À la suite de l’intervention du Commissariat, l’entreprise a désactivé la fonction d’enregistrement audio.
Enquêtes menées au titre de la LPRPDE
Une enquête révèle que l’exploitant de Pornhub a omis d’obtenir un consentement éclairé pour le contenu généré par les utilisateurs
Une enquête portant sur Aylo, l’un des plus importants exploitants de sites pornographiques au monde, a permis de conclure que l’entreprise a enfreint la LPRPDE en permettant la publication d’images intimes sur ses sites Web sans en informer directement toutes les personnes y figurant et sans obtenir le consentement de celles-ci.
L’enquête a été ouverte pour donner suite à la plainte d’une personne qui a découvert que son ancien partenaire avait téléversé une vidéo et des photos intimes d’elle, ainsi que d’autres renseignements permettant de l’identifier, sur divers sites d’Aylo.
À la demande de la personne plaignante, Aylo a d’abord pris des mesures pour retirer le contenu en question. Toutefois, les mesures de protection de la vie privée mises en place par l’entreprise n’ont pas empêché la vidéo d’être téléversée à plusieurs reprises sur les sites Web d’Aylo, où elle a pu être téléchargée et diffusée à nouveau par les utilisateurs du site Web. Finalement, plus de 700 occurrences des images se retrouvaient sur plus de 80 sites Web.
La personne a déclaré que cette perte de contrôle permanente de ses images intimes a fait en sorte qu’elle s’est retirée de la vie sociale, qu’elle a perdu une possibilité d’emploi et qu’elle vit constamment dans la peur d’être reconnue à partir des images qui circulent en ligne.
L’enquête a permis d’établir que dans de nombreux cas, Aylo s’en remettait aux téléverseurs pour confirmer que chaque individu représenté dans les vidéos et les images ont consenti à leur téléversement, malgré le fait que l’entreprise ait elle-même constaté que cette méthode était inadéquate. L’enquête a aussi révélé que lorsque des individus qui n’avaient pas donné leur consentement au téléversement du contenu demandaient à Aylo de le retirer, ils se sont heurtés à un processus très lourd et inefficace.
Le Commissaire à la protection de la vie privée du Canada a formulé plusieurs recommandations qui visent à faire en sorte qu’Aylo se conforme à la loi. Celui-ci lui a notamment recommandé de prendre des mesures pour obtenir un consentement valide directement de chaque personne qui figure dans les images et les vidéos publiées sur ses sites Web, de supprimer tout le contenu pour lequel un consentement valide n’a pas été obtenu et de simplifier son processus de retrait.
Bien qu’Aylo ait apporté des changements à ses pratiques en matière de consentement dans les dernières années afin de remédier à ces problèmes, l’entreprise n’a pas fourni au Commissariat des éléments de preuve démontrant qu’elle avait réglé les infractions définies dans le cadre de l’enquête.
La publication du rapport d’enquête était initialement prévue pour mai 2023. Cependant, elle a été retardée quand Aylo a intenté une action en justice, empêchant le Commissaire de publier le rapport jusqu’à ce que la Cour d’appel fédérale rejette ladite action en justice le 29 février 2024.
En 2023-2024, le Commissaire a aussi mené plusieurs enquêtes très médiatisées sur les pratiques de traitement des renseignements personnels des entreprises. Ces enquêtes étaient encore en cours au moment de la rédaction du présent rapport.
OpenAI
Le Commissaire à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, mène une enquête sur les pratiques d’OpenAI en matière de protection de la vie privée.
Le Commissaire Dufresne a lancé une enquête à la suite d’une plainte selon laquelle des renseignements personnels avaient été recueillis, utilisés et communiqués sans consentement. Étant donné que l’intelligence artificielle a une vaste portée, que ses répercussions sur la vie privée sont importantes et qu’elle touche toute la population canadienne, les quatre autorités ont décidé d’enquêter conjointement sur cette affaire.
L’enquête permettra d’établir si OpenAI a :
obtenu un consentement valide et éclairé pour la collecte, l’utilisation et la communication des renseignements personnels des individus établis au Canada au moyen de ChatGPT;
respecté ses obligations en matière d’ouverture et de transparence, d’accès, d’exactitude et de responsabilité;
recueilli, utilisé et/ou communiqué des renseignements personnels à des fins qu’une personne raisonnable estimerait acceptables, raisonnables ou légitimes dans les circonstances et si cette collecte vise uniquement des renseignements nécessaires à ces fins.
TikTok
Le Commissaire à la protection de la vie privée du Canada, de concert avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta, mène une enquête sur les pratiques de TikTok en matière de protection de la vie privée.
Les quatre autorités établiront si les pratiques de l’organisation sont conformes aux lois canadiennes fédérales et provinciales sur la protection des renseignements personnels et, plus précisément, si TikTok a obtenu un consentement valide et éclairé pour la collecte, l’utilisation et la communication de renseignements personnels. L’enquête visera aussi à établir si l’entreprise respecte ses obligations de transparence, notamment lors de la collecte des renseignements personnels de ses utilisateurs.
Compte tenu de l’importance de protéger la vie privée des enfants, l’enquête conjointe porte en particulier sur les pratiques de protection des renseignements personnels de TikTok en ce qui concerne les jeunes utilisateurs.
Désindexation dans Google
Le Commissariat mène une enquête à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom faisait l’objet d’une recherche. L’individu a affirmé que les articles de presse en question étaient désuets et inexacts et qu’ils divulguaient des renseignements de nature sensible à son sujet, ce qui lui a causé un préjudice grave.
L’enquête a été mise en suspens le temps que le Commissariat demande à la Cour fédérale de préciser si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne. En septembre 2023, la Cour d’appel fédérale a confirmé la position du Commissariat : l’exploitation du service de moteur de recherche de Google est assujettie à la LPRPDE. L’enquête a été relancée et devrait être achevée dans les mois à venir.
Atteintes sous le régime de la LPRPDE
Le Commissariat a constaté une augmentation de l’ampleur et de la complexité des atteintes de même que l’application de techniques de plus en plus sophistiquées par les auteurs de menaces, y compris ceux qui sont parrainés par un État et ceux qui sont liés au crime organisé.
De plus, il y a une hausse des atteintes touchant des entreprises responsables d’infrastructures essentielles, comme des sociétés de financement et des entreprises de télécommunications. Ces atteintes représentent respectivement 25 % et 17 % des signalements reçus.
Les tiers fournisseurs de services, notamment dans le domaine des technologies de l’information et des logiciels, ont aussi été ciblés plus fréquemment en 2023-2024. Les conséquences de telles atteintes peuvent être très importantes. Par exemple, une atteinte mettant en cause une entreprise de traitement de données peut faire un très grand nombre de victimes puisqu’elle touche les clients de plusieurs entreprises, parfois même de centaines d’entreprises.
Toutefois, selon la LPRPDE, les entreprises de traitement des données ne sont pas tenues de signaler les atteintes à la vie privée; cette responsabilité incombe plutôt à leurs clients. Il peut donc être difficile de déterminer la pleine portée d’une atteinte si les entreprises de traitement des données ne signalent pas les atteintes aux entreprises avec lesquelles elles font affaire.
Il est intéressant de noter qu’en 2023-2024, même si le nombre d’incidents signalés est resté le même, le nombre d’individus touchés a doublé par rapport à l’année précédente. En 2023-2024, les organisations du secteur privé ont signalé au Commissariat 693 atteintes qui ont touché environ 25 millions de comptes canadiens, contre 681 atteintes ayant touché environ 12 millions de comptes l’année précédente.
Le nombre de cyberattaques signalées qui ont entraîné des atteintes à la vie privée a augmenté de 13 %. En 2023-2024, 321 des atteintes signalées (46 %) ont été identifiées comme des cyberincidents, alors que 278 cyberattaques avaient été signalées au cours de l’exercice 2022-2023.
Le Commissariat croit que de nombreuses atteintes ne sont pas signalées – voire qu’elles passent inaperçues – en particulier dans le cas des petites et moyennes entreprises (PME). Les PME représentent près de 90 % des entreprises au Canada, mais elles signalent pratiquement le même nombre d’atteintes que les grandes entreprises comme les fournisseurs de services de télécommunications ou de communication, les banques, les compagnies d’assurance et les sociétés de divertissement.
Principaux secteurs selon le pourcentage du nombre d’atteintes signalées
Secteur de l’industrie
2020-2021
2021-2022
2022-2023
2023-2024
Finances
22 %
20 %
27 %
25 %
Télécommunications
14 %
14 %
17 %
17 %
Services professionnels
8 %
12 %
14 %
10 %
Services
6 %
5 %
4 %
8 %
Vente et commerce de détail
10 %
8 %
9 %
7 %
Secteur manufacturier
6 %
8 %
4 %
7 %
Pourcentage des atteintes signalées selon le type
Type d’atteinte
2020-2021
2021-2022
2022-2023
2023-2024
Accès non autorisé
64 %
65 %
66 %
75 %
Communication non autorisée
28 %
25 %
25 %
18 %
Vol
5 %
3 %
4 %
3 %
Perte
3 %
7 %
4 %
3 %
Le point sur l’outil du Commissariat pour l’évaluation du risque réel de préjudice grave
Le risque réel de préjudice grave (RRPG) est le seuil juridique minimal pour signaler une atteinte sous le régime de la LPRPDE. Toutefois, il peut parfois être difficile d’établir si ce seuil est atteint.
Pour aider les organisations dans cet exercice et orienter l’évaluation du risque, le Commissariat a conçu un outil qui devrait être lancé en 2024-2025. Cet outil comprend une série de questions qui visent à cerner les préjudices qui pourraient être causés aux personnes touchées par l’atteinte et à établir si l’incident pose un risque réel de préjudice grave.
Les éléments servant à établir si une atteinte aux mesures de sécurité présente un RRPG incluent le degré de sensibilité des renseignements personnels qui sont visés par l’atteinte et la probabilité que ceux-ci aient été mal utilisés ou soient en train ou sur le point de l’être.
Le préjudice grave comprend la lésion corporelle, l’humiliation, le dommage à la réputation ou aux relations, la perte financière, le vol d’identité, des effets négatifs sur le dossier de crédit, le dommage aux biens ou leur perte, ainsi que la perte de possibilités d’emploi, d’occasions d’affaires ou d’activités professionnelles.
Les organisations qui n’arrivent pas à établir si une atteinte doit être signalée sont invitées à communiquer avec le Commissariat pour obtenir des conseils.
Évaluation des mesures de protection et du risque réel de préjudice grave à la suite d’une atteinte chez Brinks Home
Un client a avisé Brinks Home qu’il avait accès aux renseignements personnels d’autres clients du système de sécurité au moyen de son portail de compte en ligne. Après avoir remarqué qu’il y avait toujours accès 10 semaines plus tard, il en a informé l’entreprise une seconde fois et a déposé une plainte à cet égard auprès du Commissariat.
Peu de temps après le second avis, Brinks Home a réglé le cas d’accès non autorisé, qui s’est avéré être le résultat d’une erreur de la part d’un employé. Cette erreur a fait en sorte que 102 clients ont eu accès aux renseignements personnels de 3 340 autres clients de Brinks Home pendant au moins plusieurs mois.
L’enquête du Commissariat a révélé que Brinks Home n’avait pas adéquatement protégé les renseignements personnels des clients contre les accès non autorisés. Cela dit, à la suite de cette atteinte, l’entreprise a mis en place diverses mesures pour éviter qu’une situation semblable ne se reproduise à l’avenir : elle a mis à jour son processus d’inscription des clients et amélioré la formation sur le service à la clientèle, entre autres.
Le Commissariat s’est aussi penché, dans le cadre de cette enquête, sur la question de savoir si Brinks Home s’était conformée à ses exigences en matière de signalement des atteintes. Il a été établi que les renseignements personnels en cause pouvaient être considérés comme sensibles, mais que la probabilité d’une mauvaise utilisation de ces renseignements dans les circonstances était faible, puisqu’il ne s’agissait pas d’un cas de piratage de la part d’acteurs malveillants. L’enquête a permis de confirmer qu’au plus 20 clients de Brinks Home, c’est-à-dire ceux qui s’étaient connectés à leur portail au cours de la période en question, auraient pu accéder aux données d’autres clients sans autorisation.
Par conséquent, il a été établi que, dans les circonstances, l’incident n’était pas associé à un risque réel de préjudice grave, qui constitue le seuil de signalement des atteintes. Brinks Home n’était donc pas tenue de signaler l’incident au Commissariat ni d’en aviser les personnes concernées.
Activités de l’Unité de surveillance de la conformité
Lorsque les organisations du secteur privé acceptent de conclure une entente de conformité avec le Commissariat ou qu’elles acceptent de mettre en œuvre ses recommandations au terme d’une enquête, le Commissariat assure un suivi pour veiller à ce que ces organisations prennent les mesures qui s’imposent.
En 2023-2024, en plus de fermer 23 dossiers sous le régime de la LPRP, l’Unité de vérification de la conformité a fermé 15 dossiers de suivi sous le régime de la LPRPDE, dont les deux dossiers suivants.
Tim Hortons met en œuvre les recommandations du Commissariat
En 2022, une enquête conjointe que le Commissariat a menée avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta a révélé que l’application mobile de Tim Hortons suivait et enregistrait constamment les déplacements des utilisateurs de l’application à chaque minute, chaque jour, même lorsque l’application n’était pas ouverte. La compagnie a utilisé ces renseignements pour déduire où habitaient et travaillaient les utilisateurs, en plus d’établir s’ils étaient en déplacement. L’application générait un « événement » chaque fois que les utilisateurs entraient dans les lieux suivants ou en sortaient : concurrents de Tim Hortons, principaux sites où se tiennent des événements sportifs, lieu de résidence et lieu de travail.
Les quatre autorités de protection de la vie privée ont formulé plusieurs recommandations. Elles ont notamment recommandé à Tim Hortons de supprimer toutes les données de géolocalisation et d’exiger des fournisseurs de services tiers qu’ils fassent de même. Elles ont aussi recommandé que la compagnie instaure un programme de gestion de la protection des renseignements personnels relativement aux applications, afin d’assurer la conformité aux lois sur la protection des renseignements personnels à l’avenir.
Tim Hortons a mis en œuvre ces recommandations dans le délai imparti. Après un examen en 2023 auquel ont participé ses homologues provinciaux, le Commissariat s’est dit satisfait des mesures prises par Tim Hortons et a conclu que les préoccupations soulevées par la plainte avaient été réglées.
Marriott International met en œuvre les recommandations du Commissariat
En 2022, une enquête du Commissariat portant sur une atteinte subie par Marriott International Inc. a révélé que les mesures de protection appliquées par la chaîne hôtelière au moment de l’atteinte n’étaient pas suffisantes. Après l’incident, Marriott a apporté plusieurs améliorations à ses mesures de protection.
Le Commissariat a recommandé à Marriott de faire appel à un évaluateur externe pour étudier les améliorations apportées à ses mesures de protection et de mener des examens périodiques de ses pratiques en matière de protection de la vie privée afin d’éviter qu’une atteinte similaire se reproduise.
Marriott a mis en œuvre ces recommandations et, après examen des mesures prises, le Commissariat a indiqué que les préoccupations soulevées par l’enquête avaient été réglées.
Services-conseils et activités de sensibilisation à l’intention des entreprises concernant la LPRPDE
Le Commissariat fournit des conseils aux organisations pour qu’elles puissent s’assurer que leurs initiatives et leurs pratiques de gestion des renseignements personnels sont conformes à la LPRPDE.
La Direction des services-conseils à l’entreprise du Commissariat a offert un soutien à des organisations innovantes de nombreux secteurs, notamment ceux de la santé, de l’éducation, des finances, de la vente au détail, du marketing, des services, de l’automobile, des ressources humaines, de la technologie et de l’analytique.
L’adoption de technologies avancées, comme l’intelligence artificielle et la technologie de reconnaissance faciale, continue de s’accélérer. Le Commissariat a fourni des conseils aux entreprises qui envisagent d’utiliser et qui adoptent des modèles, des structures et des pratiques de traitement des données de plus en plus complexes, en plus de se pencher sur des initiatives qui prévoient l’application de technologies informatiques de pointe, afin de prévenir les fraudes et les crimes potentiels.
Un membre de la Direction des services-conseils à l’entreprise du Commissariat donne une présentation sur la LPRPDE à Halifax, en Nouvelle-Écosse.
Initiatives de sensibilisation du Commissariat auprès des entreprises
En 2023-2024, en plus des autres activités de promotion du Commissariat, une équipe est allée en Nouvelle-Écosse, au Nouveau-Brunswick et au Yukon pour animer en personne des ateliers sur la protection de la vie privée et donner des séances d’information sur la conformité à la LPRPDE à l’intention des entreprises.
Tout d’abord, à l’automne 2023, les membres de l’équipe se sont rendus dans le Canada atlantique. À Halifax, ils ont présenté à des entreprises des pratiques exemplaires et les principes énoncés dans la LPRPDE, en plus d’offrir des ateliers à ce sujet. À Moncton, dans le cadre de l’événement Techtoberfest organisé par Venn Innovation, ils ont fait une présentation et animé une table ronde sur la LPRPDE et la protection des données. Ces activités ont attiré le plus grand nombre de participants à l’événement.
Ensuite, en février 2024, les membres de l’équipe se sont rendus dans le Nord canadien dans le but de rencontrer des entreprises, de les renseigner sur la conformité à la loi fédérale sur la protection des renseignements personnels et de faire la promotion des services offerts par la Direction des services-conseils à l’entreprise. Ces rencontres et ces activités de sensibilisation ont permis au Commissariat de nouer ou de renforcer des relations avec les principales parties prenantes et entreprises sur place, et de mieux comprendre les besoins et les défis du milieu des affaires de cette région.
Là-bas, les membres de l’équipe ont aussi tenu des ateliers sur la protection de la vie privée et des réunions avec les parties prenantes. Ils ont notamment fait une présentation sur la LPRPDE pour le personnel de l’Agence canadienne de développement économique du Nord. Ils ont tenu un kiosque à l’occasion d’un événement organisé par le ministère du Développement économique du gouvernement du Yukon, auquel ont assisté plus de 250 personnes. Ils se sont aussi entretenus avec des entrepreneurs et des représentants de jeunes entreprises, ainsi qu’avec des intervenants d’associations industrielles telles que Tech Yukon et Yukonstruct, l’Université du Yukon et d’autres parties prenantes dans les domaines de la technologie, de l’hôtellerie et du tourisme.
Les gens d’affaires se sont informés de leurs obligations au titre de la LPRPDE et ont abordé des questions particulières de conformité avec l’équipe, comme les obligations en matière de protection de la vie privée des entreprises qui ont recours à des systèmes informatiques et à des services de stockage infonuagiques.
Pleins feux sur la Direction de l’analyse de la technologie du Commissariat
Alors que les technologies continuent d’évoluer et ne cessent de se complexifier, il est important d’avoir des experts en technologie capables de soutenir le travail du Commissariat dans ce domaine.
La Direction de l’analyse de la technologie joue un rôle de plus en plus important dans le travail d’enquête du Commissariat. Par exemple, elle participe aux enquêtes portant sur des plateformes en ligne comme TikTok et OpenAI. En fournissant une analyse et des conseils d’expert en réponse à des préoccupations concernant la protection de la vie privée dans des environnements numériques, la Direction permet au Commissariat de mieux comprendre les facteurs technologiques en cause dans certaines enquêtes afin de recommander des solutions adéquates. La Direction réalise également des analyses spécialisées sur des technologies en appui aux services offerts par les directions chargées des services-conseils au gouvernement et à l’entreprise.
Les technologues du Commissariat mènent des recherches dans leur laboratoire technologique, lesquelles portent, par exemple, sur les préoccupations soulevées par des dispositifs pour maison intelligente et par les avancées dans le domaine de l’IA, à savoir les grands modèles de langage et l’IA générative.
Ces technologues collaborent aussi avec des partenaires internationaux, comme ceux du Groupe de travail international sur la protection des données dans les technologies, également connu sous le nom de « Groupe de Berlin », afin de jeter les bases des prochaines évaluations des technologies. Par ailleurs, les analystes de cette direction rédigent périodiquement des billets de blogue qui sont publiés sur le site Web du Commissariat. Parmi les sujets traités, mentionnons la cryptographie post-quantique et le chiffrement homomorphe. Ces billets de blogue visent à mieux faire comprendre au grand public et aux professionnels les enjeux relatifs à la protection de la vie privée et à la technologie.
Sondage de 2023-2024 mené auprès des entreprises canadiennes concernant les enjeux liés à la protection des renseignements personnels
Le Commissariat commande un sondage tous les deux ans auprès des entreprises canadiennes pour mieux comprendre à quel point elles sont sensibilisées à la protection de la vie privée et pour connaître l’approche à cet égard dans le secteur privé canadien. Les résultats du sondage permettent au Commissariat de fournir une orientation aux individus et aux organisations sur les enjeux liés à la protection des renseignements personnels, et de renforcer ses efforts de sensibilisation auprès des entreprises.
Le sondage de 2023-2024 a montré que :
Quatre-vingts pour cent (80 %) des entreprises considéraient la protection des renseignements personnels des clients comme étant d’une très grande ou d’une extrêmement grande importance; quatorze pour cent (14 %) ont déclaré que la protection des renseignements personnels était d’une importance modérée.
La plupart des entreprises connaissent leurs responsabilités aux termes des lois canadiennes sur la protection des renseignements personnels (88 % sont au moins quelque peu sensibilisées) et ont pris des mesures pour s’assurer qu’elles respectent ces lois (76 %).
Voici les mesures que les entreprises disent prendre pour gérer leurs obligations en matière de protection des renseignements personnels :
désigner un responsable de la protection des renseignements personnels (56 %)
disposer de procédures pour traiter les plaintes (53 %)
disposer de politiques internes en matière de protection des renseignements personnels (50 %)
disposer de procédures pour traiter les demandes d’accès (50 %)
fournir au personnel une formation sur la protection des renseignements personnels (33 %)
Importance accordée à la protection des renseignements personnels des clientsVersion textuelle de la figure : Importance accordée à la protection des renseignements personnels des clients
% des répondants
7 – Extrêmement important
69 %
6
11 %
5
10 %
4
3 %
3
2 %
2
1 %
1 – Pas du tout important
5 %
Points saillants des autres travaux menés par le Commissariat
En plus de veiller au respect de la LPRP et de la LPRPDE, le Commissariat remplit activement son mandat de protéger et de promouvoir le droit à la vie privée. Par exemple, il conseille le Parlement, collabore avec des partenaires nationaux et internationaux et appuie la recherche sur la protection de la vie privée.
La section suivante donne une vue d’ensemble des activités menées par le Commissariat dans ces domaines en 2023-2024.
La protection de la vie privée en chiffres
Autres travaux
Projets de loi, études parlementaires et projets de règlement examinés sous l’angle de leurs répercussions sur la vie privée
38
Comparutions devant des comités parlementaires sur des questions de protection de la vie privée
10
Demandes d’information
2 548
Annonces et communiqués diffusés
58
Allocutions et présentations
64
Publications sur X (Twitter)
838
Abonnés sur X (Twitter)
20 170
Publications sur LinkedIn
501
Abonnés sur LinkedIn
33 207
Consultations du site Web
3 147 433
Consultations du blogue
68 047
Publications diffusées
11 366
Conseils au Parlement
Un volet important du rôle du Commissariat consiste à prodiguer des conseils au Parlement concernant les lois sur la protection des renseignements personnels et d’autres questions. En 2023-2024, le Commissariat a présenté cinq mémoires au Parlement et au gouvernement, tandis que le Commissaire a comparu à dix reprises devant des comités de la Chambre des communes et du Sénat. Voici le résumé de quelques comparutions et d’un mémoire :
Comparution au sujet des modifications proposées à la Loi électorale du Canada, qui régit les pratiques relatives aux renseignements personnels recueillis par les partis politiques
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles au sujet des modifications à la Loi électorale du Canada proposées dans le projet de loi C-47, Loi d’exécution du budget, qui permettraient à tout parti politique et à ses affiliés de recueillir, d’utiliser, de communiquer et de conserver des renseignements personnels ainsi que de procéder à leur retrait (conformément à la politique du parti sur la protection des renseignements personnels).
Le Commissaire a affirmé que les partis politiques devraient être assujettis à des obligations en matière de protection de la vie privée qui s’appuient sur une loi et qui sont fondées sur des principes de protection de la vie privée reconnus à l’échelle internationale.
Il a ajouté qu’en raison de l’importance de la vie privée et de la nature sensible des renseignements recueillis, les Canadiennes et les Canadiens ont besoin et sont en droit de bénéficier d’un régime de protection de la vie privée pour les partis politiques qui ne se limite pas à l’autoréglementation et qui prévoit des normes et une surveillance indépendante adéquates pour protéger et promouvoir le droit fondamental des électeurs à la vie privée.
Comparutions au sujet du projet de loi C-27, Loi de 2022 sur la mise en œuvre de la Charte du numérique
En mai 2023, le Commissaire Dufresne a déposé son mémoire sur le projet de loi C-27, qui vise à moderniser la loi sur la protection des renseignements personnels dans le secteur privé. Par la suite, au cours de l’automne, le Commissaire a comparu deux fois devant le Comité permanent de l’industrie et de la technologie (INDU) pour présenter ses 15 principales recommandations visant à renforcer ce projet de loi.
Au cours de sa comparution de septembre 2023, le Commissaire Dufresne a fait valoir les recommandations formulées par le Commissariat pour renforcer le projet de loi, entre autres reconnaître explicitement la protection de la vie privée comme un droit fondamental, mieux protéger le droit à la vie privée des enfants et l’intérêt supérieur de l’enfant ainsi qu’exiger des organisations qu’elles mènent des EFVP pour les initiatives à risque élevé, notamment celles qui se rapportent à l’IA.
Lors de sa comparution d’octobre 2023, le Commissaire Dufresne s’est dit ravi des déclarations du ministre de l’Innovation, des Sciences et de l’Industrie concernant d’éventuels amendements au projet de loi qui iraient dans le sens de certaines recommandations clés formulées par le Commissariat.
Comparution au sujet du projet de loi S-231, Loi favorisant l’identification de criminels par l’ADN
Des représentants du Commissariat ont comparu devant le Comité sénatorial permanent des affaires juridiques et constitutionnelles au sujet du projet de loi S-231, qui élargirait les circonstances dans lesquelles il serait permis de prélever, d’utiliser et de conserver des échantillons d’ADN de contrevenants pour résoudre des crimes. Ce projet de loi permettrait aussi la recherche de liens de parenté, c’est-à-dire l’utilisation par les services de police d’échantillons d’ADN pour établir des correspondances proches ou partielles dans des bases de données génétiques.
Le Comité s’est montré sensible aux préoccupations soulevées par le Commissariat et d’autres intervenants à l’égard des dispositions sur la recherche de liens de parenté proposées dans le projet de loi. Ces dispositions ont d’ailleurs été retirées au cours de l’étude du Comité.
Comparution devant un comité parlementaire au sujet de l’utilisation des plateformes de médias sociaux pour la collecte de données
Le Commissaire a recommandé qu’il soit reconnu dans une loi fédérale modernisée sur la protection des renseignements personnels que le traitement des renseignements personnels devrait protéger la vie privée des enfants et prendre en compte l’intérêt supérieur de l’enfant. Une telle reconnaissance encouragerait les organisations à intégrer la protection des renseignements personnels des enfants dans leurs produits et services dès la conception et par défaut.
Comparution devant un comité parlementaire au sujet de l’utilisation, par le gouvernement fédéral, d’outils d’investigation informatique
Le Commissaire Dufresne a également comparu devant le Comité ETHI pour contribuer à son étude sur l’utilisation, par le gouvernement fédéral, d’outils permettant d’extraire des données sur des appareils mobiles et ordinateurs.
Le Commissaire Dufresne a affirmé qu’il demeure important que les institutions gouvernementales portent une attention particulière aux répercussions de leurs activités sur la vie privée et les évaluent soigneusement. Il a par ailleurs réitéré une de ses recommandations, à savoir que la LPRP doit rendre officiellement obligatoires les EFVP.
Comparution devant un comité parlementaire au sujet de l’étude du projet de loi C-26
Par ailleurs, le Commissaire Dufresne a comparu devant le Comité permanent de la sécurité publique et nationale (SECU) pour l’aider dans son étude du projet de loi C-26, Loi concernant la cybersécurité, modifiant la Loi sur les télécommunications et apportant des modifications corrélatives à d’autres lois.
Le Commissaire Dufresne a souligné que les services numériques sont au cœur de notre façon de vivre, de travailler et d’interagir, de sorte qu’il est essentiel de protéger la cyberinfrastructure du Canada contre d’éventuelles menaces.
Il a affirmé appuyer fermement les objectifs du projet de loi C-26 et recommandé des mesures visant à renforcer le projet de loi afin d’atteindre ces objectifs, tout en protégeant le droit fondamental à la vie privée et en tenant compte des conséquences possibles sur la vie privée.
Comparution devant le Comité sénatorial permanent des peuples autochtones
Le Commissaire Dufresne a comparu devant le Comité sénatorial permanent des peuples autochtones (APPA) au sujet de l’étude de ce comité sur les responsabilités constitutionnelles, politiques et juridiques et les obligations découlant des traités du gouvernement fédéral envers les Premières Nations, les Inuits et les Métis et sur tout autre sujet concernant les peuples autochtones.
Dans sa déclaration, le Commissaire Dufresne a fait état des cas dans lesquels les institutions fédérales peuvent communiquer des renseignements personnels selon les dispositions de la LPRP. Il a précisé que le gouvernement fédéral devrait examiner de près les questions qui touchent les peuples autochtones lorsqu’il procédera à la modernisation tant attendue de la loi sur la protection des renseignements personnels dans le secteur public.
Mémoire au gouvernement
Mémoire dans le cadre de la consultation sur le renforcement du Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes
En août, le Commissariat a présenté au ministère des Finances du Canada un mémoire en réponse à sa Consultation sur le renforcement du Régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes (LRPC-FAT). Le Commissariat s’intéresse depuis longtemps au Régime canadien de LRPC-FAT : en plus de comparaître devant le Parlement à ce sujet, il participe aux consultations à cet égard.
Le Commissariat estime depuis longtemps que le Régime de LRPC-FAT doit être efficace pour lutter contre les crimes financiers, être étayé par de solides mesures de responsabilité et tenir compte des principes de nécessité et de proportionnalité.
Coopération avec les autorités canadiennes et étrangères
L’importance des partenariats nationaux et internationaux que le Commissariat établit avec les autorités de protection des données et d’autres organismes de réglementation est devenue de plus en plus manifeste en 2023-2024, alors que l’IA générative arrivait en tête de liste des technologies en plein essor qui nécessitent une intervention coordonnée.
Le Symposium avait lieu en même temps que la 72e rencontre du Groupe de travail international sur la protection des données dans les technologies, que le Commissariat a coprésidée avec le commissaire fédéral à la protection des données et à la liberté d’information de l’Allemagne.
Pour souligner l’importance que le Commissaire Dufresne accorde à la collaboration et aux partenariats, le Commissariat a créé en 2023 la Direction des relations internationales, provinciales et territoriales, qui constituera le point de convergence des activités à l’échelle nationale et internationale.
Par ailleurs, de concert avec le Bureau de la concurrence et le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC), le Commissariat a contribué à la constitution du nouveau Forum canadien des organismes de réglementation numérique. Cette tribune permettra d’améliorer la collaboration, l’échange d’information et la coordination dans des domaines d’intérêt commun qui concernent les marchés et les plateformes numériques.
Parmi les autres exemples de collaboration menée à l’échelle nationale, mentionnons les enquêtes portant sur OpenAI – entreprise qui a conçu et lancé ChatGPT – et TikTok, que le Commissariat effectue conjointement avec ses homologues du Québec, de la Colombie-Britannique et de l’Alberta.
Le Commissariat a continué de collaborer avec ses homologues internationaux dans le cadre d’organisations comme la Table ronde des autorités de protection des données et de la vie privée du G7 et l’AMVP.
En juin, à l’issue de la réunion des autorités de protection des données et de la vie privée du G7, les autorités participantes ont publié une déclaration commune sur l’IA générative et un plan d’action axé sur un renforcement de la collaboration. Dans la même optique, la réunion annuelle de l’AMVP, qui s’est déroulée en octobre, mettait l’accent sur les technologies émergentes. Les membres ont alors adopté plusieurs résolutions portant sur l’IA. L’une de ces résolutions, coparrainée par le Commissariat, demande à l’AMVP de collaborer avec les organisations qui développent ou mettent en œuvre des outils d’IA dans un contexte d’emploi, par exemple à des fins de surveillance ou de collecte et de conservation de données.
En août, le Commissaire Dufresne et des membres du Groupe de travail de l’AMVP sur la coopération internationale en matière d’application de la loi ont publié une déclaration commune sur l’extraction de données. Les signataires font état des principaux risques pour la vie privée que pose l’extraction de données et expliquent comment les exploitants de sites Web devraient protéger les renseignements personnels. Cette déclaration présente aussi les mesures que les individus peuvent prendre pour minimiser les risques d’atteinte à la vie privée.
En décembre, pour souligner la Journée des droits de la personne, le Commissaire Dufresne et Ana Brian Nougrères, rapporteuse spéciale sur le droit à la vie privée de l’Organisation des Nations Unies, ont publié une déclaration commune sur le droit à la vie privée et les droits démocratiques. Ils ont publié cette déclaration au nom des 30 membres du Groupe de travail sur la protection des données et des autres droits et libertés de l’AMVP.
En collaboration avec l’International Consumer Protection and Enforcement Network (réseau international de contrôle et de protection des consommateurs), le Commissariat a coordonné le ratissage pour la protection de la vie privée de 2024 du Global Privacy Enforcement Network (GPEN), qui portait sur les mécanismes de conception trompeuse, aussi appelés « motifs obscurs ». Cette activité annuelle vise notamment à définir des possibilités de sensibilisation et d’application de la loi ciblées et à renforcer la confiance des consommateurs à l’égard de l’économie numérique.
Chaque année, le Commissariat finance diverses initiatives indépendantes de recherche et de sensibilisation du public au moyen de son Programme des contributions, afin de faire connaître les enjeux relatifs à la protection de la vie privée et l’importance de protéger cette dernière.
Pour 2023-2024, le Commissariat a reçu 44 propositions sur le thème « L’avenir, c’est maintenant! Évaluer et gérer les impacts sur la vie privée des technologies immersives et intégrables ». Le Commissariat a financé 11 projets, qui ont reçu une aide financière totale de près de 500 000 $.
En décembre 2023, le Commissariat a lancé un appel de propositions pour le cycle de financement 2024-2025. Les thèmes retenus cadrent avec deux des priorités stratégiques du Commissariat : tenir compte des répercussions sur la vie privée des nouvelles technologies et protéger la vie privée des enfants. De plus, le montant maximal du financement alloué à chaque projet est passé de 50 000 $ à 100 000 $.
Depuis sa création en 2004, ce programme vise à appuyer la recherche indépendante sans but lucratif sur la protection de la vie privée, à poursuivre l’élaboration de politiques en la matière et à favoriser la sensibilisation à la protection des renseignements personnels au Canada.
Un membre de l’équipe de sensibilisation du Commissariat à une conférence à Vancouver, en Colombie-Britannique, réunissant le personnel des bibliothèques.
Un autre aspect important de la mission du Commissariat consiste à sensibiliser les Canadiennes et les Canadiens aux enjeux liés à la protection de la vie privée et à les aider à les comprendre. Au moyen de ses activités de sensibilisation, le Commissariat vise à informer les individus des conséquences de leurs choix et à leur indiquer comment protéger leurs renseignements personnels, ce qui contribuera à créer une génération d’enfants, d’adolescents et d’adultes bien au fait des questions de vie privée.
Les efforts de sensibilisation en ligne du Commissariat ont notamment pris la forme de blogues pour informer les gens de leur droit à la vie privée et des mesures à prendre pour le protéger, d’éléments de contenu et de campagnes sur les médias sociaux ainsi que de conseils et de ressources à l’intention des jeunes.
Des représentants du Commissariat ont participé à des événements en présentiel où ils ont tenu un kiosque et discuté avec des jeunes, des parents, des éducateurs, des bibliothécaires, des nouveaux arrivants et des aînés partout au pays.
Le Commissariat a aussi fait la promotion de ressources éducatives auprès des enseignants, au moyen de campagnes de courriels, et a renseigné la population canadienne sur l’importance de choisir des mots de passe forts et uniques, dans le cadre d’une campagne radiophonique.
Soulignons par ailleurs la sensibilisation de dizaines de milliers de Canadiennes et de Canadiens et d’entreprises au moyen de campagnes dans les médias sociaux, comme pendant la Semaine de la sensibilisation à la protection de la vie privée, le Mois de la sensibilisation à la cybersécurité, la Semaine de la petite entreprise, la Semaine éducation médias, la Semaine de la protection des données et le Mois de la prévention de la fraude.
Le Commissariat a affecté un nombre important de ressources au traitement des litiges en 2023-2024. Celui-ci a travaillé à faire respecter le droit fondamental à la vie privée devant les tribunaux, à obtenir des précisions sur le champ d’application des lois fédérales en matière de protection des renseignements personnels et à répondre à la contestation de son champ de compétence.
Commissaire à la protection de la vie privée du Canada c. Facebook, Inc. (T-190-20 et A-129-23)
En 2019, une enquête sur Facebook menée par le Commissariat a révélé que Facebook contrevenait à la LPRPDE en omettant, d’une part, d’obtenir un consentement éclairé des utilisateurs pour communiquer leurs renseignements personnels et, d’autre part, de protéger ces renseignements.
D’abord, le 6 février 2020, le Commissariat a déposé auprès de la Cour fédérale un avis de demande en vertu de l’article 15 de la LPRPDE (dossier no T-190-20) en vue d’obtenir une ordonnance obligeant Facebook à corriger ses pratiques de traitement des renseignements personnels afin de se conformer à la loi fédérale en la matière dans le secteur privé.
Ensuite, le 15 avril 2020, Facebook a présenté une demande de contrôle judiciaire qui conteste la décision du Commissariat d’enquêter et de poursuivre l’enquête ainsi que le processus d’enquête comme tel (dossier no T-473-20).
La Cour fédérale a entendu les deux affaires en mars 2023. Le 13 avril 2023, la Cour a rejeté la demande de contrôle judiciaire de Facebook au motif que l’entreprise n’avait pas présenté sa demande dans les délais prescrits et que le Commissariat n’avait pas manqué à ses obligations en matière d’équité procédurale.
Le 13 avril 2023, la Cour a également rejeté la demande du Commissariat. Elle était d’avis, en particulier, que la preuve était insuffisante pour conclure que Facebook n’avait pas obtenu le consentement éclairé des utilisateurs.
Le Commissariat a annoncé en mai 2023 qu’il portait en appel la décision de la Cour aux motifs que les enjeux au cœur de cette affaire sont étroitement liés au droit fondamental à la vie privée des Canadiennes et des Canadiens et que ces enjeux gagneraient à être clarifiés par la Cour d’appel fédérale.
Le 21 février 2024, la Cour d’appel fédérale a entendu l’appel. Au moment de la rédaction du présent rapport, la décision de la Cour n’avait pas encore été rendue.
Le Commissariat avait demandé à la Cour d’examiner la question à la suite d’une plainte déposée par un individu qui soutenait que Google contrevenait à la LPRPDE en affichant de façon évidente dans les résultats de recherche des liens vers des articles de presse publiés en ligne le concernant lorsque son nom faisait l’objet d’une recherche. L’individu affirmait que les articles de presse en question étaient désuets et inexacts et qu’ils divulguaient des renseignements personnels de nature sensible à son sujet, ce qui lui causait un préjudice grave. Le Commissariat demandait à la Cour fédérale de préciser si le moteur de recherche de Google était assujetti à la loi fédérale sur la protection des renseignements personnels lors de l’indexation de pages Web et de la présentation des résultats de recherche concernant le nom d’une personne.
Google avait fait valoir que la LPRPDE ne s’appliquait pas dans ce contexte et que, si elle s’appliquait et nécessitait le déréférencement des articles, cela serait inconstitutionnel.
9219-1568 Québec Inc. c. Canada (Commissaire à la protection de la vie privée), 2024 CAF 38
Cette poursuite judiciaire est en lien avec l’enquête du Commissariat sur Aylo (anciennement MindGeek), l’exploitant de Pornhub et d’autres sites pornographiques. Le Commissariat a conclu qu’Aylo a enfreint la LPRPDE en ne déployant pas les efforts raisonnables nécessaires pour s’assurer d’obtenir un consentement éclairé de la part de chaque personne qui figure dans le contenu intime téléversé sur ses sites.
En avril 2023, avant que le rapport de conclusions d’enquête final du Commissariat puisse être publié, Aylo a présenté une demande de contrôle judiciaire à la Cour fédérale (dossier T-853-23) visant, entre autres, à obtenir une déclaration indiquant que l’enquête et la décision du Commissariat d’en publier les conclusions dépassaient son champ de compétence ainsi qu’une ordonnance interdisant au Commissariat de publier son rapport de conclusions d’enquête.
En mai 2023, Aylo a déposé une requête en injonction provisoire pour empêcher le Commissariat de publier son rapport de conclusions avant que la demande de contrôle judiciaire soit entendue par la Cour.
En octobre 2023, la Cour fédérale a rejeté la requête déposée par Aylo. Celle-ci a conclu que la demande ne remplissait pas les critères d’une injonction provisoire. En rejetant la requête en injonction d’Aylo, la Cour fédérale a conclu que l’entreprise n’avait pas démontré qu’elle subirait un préjudice irréparable en raison de la production et de la publication du rapport, et que l’intérêt public milite fortement en faveur du Commissaire, en tant qu’intervenant officiel cherchant à remplir ses obligations légales. Aylo a fait appel de la décision de la Cour fédérale.
À la suite d’une demande officielle d’accès à l’information, l’institution ou l’organisation aurait refusé à une ou à plusieurs personnes l’accès aux renseignements personnels qu’elle détient à leur sujet.
Avis de prorogation
Sous le régime de la Loi sur la protection des renseignements personnels (LPRP), l’institution n’aurait pas donné une justification appropriée pour la prorogation, aurait fait la demande de prorogation après le délai initial de 30 jours ou aurait fixé l’échéance à plus de 60 jours après la date de réception de la demande.
Collecte
L’institution ou l’organisation aurait recueilli des renseignements personnels non nécessaires ou les aurait recueillis par des moyens inéquitables ou illicites.
Consentement
Sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), une organisation a recueilli, utilisé ou communiqué des renseignements personnels sans le consentement valable de la personne en cause ou, pour le motif qu’elle fournit un bien ou un service, ou a exigé que la personne consente à une collecte, à une utilisation ou à une communication déraisonnable de renseignements personnels.
Conservation (et retrait)
L’institution ou l’organisation n’aurait pas conservé des renseignements personnels selon le calendrier de conservation pertinent – les renseignements auraient été détruits trop rapidement ou conservés trop longtemps.
Correction ou annotation (accès)
L’institution ou l’organisation n’aurait pas corrigé des renseignements personnels ou, en cas de désaccord avec les corrections demandées, n’aurait pas annoté le dossier pour en faire état.
Correction ou annotation (délais)
Sous le régime de la LPRP, l’institution n’aurait pas corrigé les renseignements personnels ou n’aurait pas annoté le dossier en conséquence dans les 30 jours suivant la réception de la demande de correction.
Délais
L’institution n’aurait pas répondu à une demande dans les délais prescrits par la LPRP.
Détermination des fins de la collecte des renseignements
Sous le régime de la LPRPDE, une organisation n’a pas déterminé les fins de la collecte de renseignements personnels avant la collecte ou au moment de celle-ci.
Exactitude
L’institution ou l’organisation n’aurait pas pris toutes les mesures raisonnables pour s’assurer que les renseignements personnels utilisés sont exacts, à jour et complets.
Frais
L’institution ou l’organisation aurait exigé indûment des frais pour répondre à une demande d’accès à des renseignements personnels.
Langue
En réponse à une demande présentée au titre de la LPRP, l’institution n’aurait pas fourni les renseignements personnels dans la langue officielle choisie par le demandeur.
Mesures de protection
Sous le régime de la LPRPDE, une organisation n’a pas protégé par des mesures de protection appropriées les renseignements personnels qu’elle détient.
Non-respect des principes
Sous le régime de la LPRPDE, une organisation n’a pas mis en place des procédures ou des politiques permettant à une personne de porter plainte à l’égard du non-respect de la Loi ou elle a enfreint ses propres procédures et politiques.
Répertoire
InfoSource (un répertoire du gouvernement fédéral qui décrit chaque institution et les banques de données – groupes de fichiers sur le même sujet – qu’elle possède) ne décrirait pas de façon adéquate le fonds de renseignements personnels d’une institution.
Responsabilité
Sous le régime de la LPRPDE, une organisation ne s’est pas acquittée de ses responsabilités à l’égard des renseignements personnels en sa possession ou sous sa garde ou elle n’a pas désigné une personne responsable de s’assurer qu’elle se conforme à la Loi.
Transparence
Sous le régime de la LPRPDE, une organisation n’a pas rendu facilement accessibles aux demandeurs des renseignements précis sur ses politiques et ses pratiques concernant la gestion des renseignements personnels.
Utilisation et communication
L’institution ou l’organisation aurait utilisé ou communiqué des renseignements personnels sans le consentement de la personne en cause ou les aurait utilisés ou communiqués de façon non conforme aux usages et aux communications prévus par la loi.
Décisions
Fondée
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE.
Fondée et résolue
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE, mais elle a par la suite pris des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
Fondée et conditionnellement résolue
L’institution ou l’organisation a enfreint une disposition de la LPRP ou de la LPRPDE. L’institution ou l’organisation s’est engagée à prendre des mesures correctives satisfaisantes approuvées par le Commissariat.
Non fondée
L’enquête n’a pas mis au jour des éléments de preuve suffisants pour conclure que l’institution ou l’organisation a enfreint une loi sur la protection des renseignements personnels.
Résolue
Sous le régime de la LPRP, l’enquête a révélé que la plainte découle essentiellement d’une mauvaise communication, d’un malentendu, etc., entre les parties, et/ou l’institution s’est engagée à prendre des mesures correctives pour remédier à la situation à la satisfaction du Commissariat.
Réglée
Le Commissariat a aidé à négocier en cours d’enquête une solution qui convient à toutes les parties en cause et n’a publié aucune conclusion.
Abandonnée
Sous le régime de la LPRP : L’enquête a pris fin avant que toutes les allégations ne soient pleinement examinées. Diverses raisons peuvent entraîner l’abandon d’un dossier, mais ce ne peut être à la demande du Commissariat. Par exemple, il est possible que le plaignant ne veuille plus poursuivre la démarche ou que l’on ne puisse trouver ses coordonnées afin qu’il fournisse des renseignements supplémentaires essentiels pour en arriver à une conclusion.
Sous le régime de la LPRPDE : L’enquête a pris fin sans qu’une conclusion n’ait été publiée. Le commissaire peut mettre fin à l’enquête à sa discrétion pour un motif prévu au paragraphe 12.2(1) de la LPRPDE.
Hors du champ d’application
On a établi qu’aucune des lois fédérales sur la protection des renseignements personnels ne s’applique à l’institution ou à l’organisation ou ne régit l’objet de la plainte. Par conséquent, le Commissariat ne produit aucun rapport.
Règlement rapide
La situation a été corrigée à la satisfaction du plaignant dès le début du processus d’enquête. Le Commissariat n’a publié aucune conclusion.
Refus d’enquêter
Sous le régime de la LPRPDE, le commissaire a refusé d’amorcer l’examen d’une plainte, car il estime :
que le plaignant aurait d’abord dû épuiser les recours internes ou les procédures d’appel ou de règlement des griefs qui lui sont normalement offerts;
que la plainte pourrait avantageusement être instruite selon d’autres procédures prévues par le droit fédéral ou provincial; ou,
que la plainte n’a pas été déposée dans un délai raisonnable après que son objet a pris naissance, comme le prévoit l’article 12(1) de la LPRPDE.
Retrait
Sous le régime de la LPRPDE, le plaignant a retiré sa plainte volontairement ou ne pouvait plus être joint dans les faits. Le Commissariat ne publie aucun rapport.
Annexe 2 : Tableaux statistiques
Tableaux relatifs à la LPRP
Tableau 1 – Décisions sur les plaintes relatives à l’accès et à la protection des renseignements personnels en vertu de la LPRP, par institution fédérale
Intimé
Abandonnée
Résolue par règlement rapide
Non-fondée
Résolue
Réglée
Fondée
Fondée et conditionnellement résolue
Fondée – Présomption de refus
Fondée et résolue
Total
Administration canadienne de la sûreté du transport aérien
1
1
Affaires mondiales Canada
2
5
7
1
1
1
17
Agence canadienne d’inspection des aliments
2
2
4
Agence de la santé publique du Canada
3
3
6
Agence de promotion économique du Canada atlantique
1
1
Agence des services frontaliers du Canada
3
27
8
2
1
1
42
Agence d’évaluation d’impact du Canada
1
2
2
1
1
7
Agence du revenu du Canada
2
47
11
1
4
1
66
Agence spatiale canadienne
1
1
Agriculture et Agroalimentaire Canada
1
1
Anciens Combattants Canada
1
7
4
1
1
2
16
Banque de développement du Canada
1
1
Bibliothèque et Archives Canada
1
1
2
Bureau de l’enquêteur correctionnel
1
1
Bureau du Conseil privé
1
1
2
Centre canadien d’hygiène et de sécurité au travail
1
1
Centre de la sécurité des télécommunications
1
1
Comité externe d’examen des griefs militaires
1
1
Commissariat à l’information du Canada
1
1
Commission canadienne des droits de la personne
1
1
Commission civile d’examen et de traitement des plaintes relatives à la GRC
1
1
2
Commission d’examen des plaintes concernant la police militaire du Canada
1
1
Commission de l’immigration et du statut de réfugié du Canada
2
5
1
8
Commission de la fonction publique
1
1
1
1
4
Commission des libérations conditionnelles du Canada
2
1
1
2
6
Conseil de la radiodiffusion et des télécommunications canadiennes
1
1
Conseil de recherches en sciences humaines
1
1
Conseil de recherches en sciences naturelles et en génie du Canada
1
1
Conseil national de recherches Canada
3
1
4
Construction de Défense Canada
1
1
Développement économique Canada pour les Prairies
1
1
École de la fonction publique du Canada
1
1
Élections Canada / Bureau du directeur général des élections
1
1
Emploi et Développement social Canada
1
28
12
1
3
2
47
Environnement et Changement climatique Canada
3
2
5
Forces armées canadiennes
1
1
2
Gendarmerie royale du Canada
2
53
18
4
2
79
Gouvernement fédéral du Canada
1
1
2
Immigration, Réfugiés et Citoyenneté Canada
2
23
4
4
33
Innovation, Sciences et Développement économique Canada
5
2
7
Ministère de la Défense nationale
1
28
6
2
37
Ministère de la Justice Canada
7
3
1
11
Ministère des Finances Canada
1
1
Office de surveillance des activités en matière de sécurité nationale et de renseignement
2
2
Office des transports du Canada
1
1
Parcs Canada
1
13
2
16
Passeport Canada
2
2
Patrimoine canadien
1
1
1
3
Pêches et Océans Canada
13
4
1
18
Régie de l’énergie du Canada
1
1
2
Relations Couronne - Autochtones et Affaires du Nord Canada
4
4
Ressources naturelles Canada
1
1
1
3
Santé Canada
9
3
1
13
Secrétariat du Conseil du Trésor du Canada
1
1
1
3
Sécurité publique Canada
2
2
Service Canada
1
1
Service canadien d’appui aux tribunaux administratifs
2
2
Service canadien du renseignement de sécurité
7
4
11
Service correctionnel Canada
52
33
2
4
7
1
13
112
Service des poursuites pénales du Canada
2
2
Services aux Autochtones Canada
5
2
7
Services partagés Canada
2
4
6
Services publics et Approvisionnement Canada
4
10
5
1
1
1
22
Société canadienne des postes
20
4
3
5
32
Société canadienne d’hypothèques et de logement
1
1
Société Radio-Canada
2
1
3
Statistique Canada
1
8
2
11
Trans Mountain Corporation
1
1
2
Transports Canada
13
3
1
17
VIA Rail Canada
1
1
2
Total
27
421
185
3
4
23
18
1
47
729
Tableau 2 – Enquêtes en vertu de la LPRP – Délais de traitement moyens, par type de plainte et de règlement
Règlement rapide
Autres règlements
Toutes les enquêtes
Type de plainte
Nombre
Délai de traitement moyen, en mois
Nombre
Délai de traitement moyen, en mois
Nombre
Délai de traitement moyen, en mois
Accès
260
8,3
166
11,6
426
9,6
Accès
257
8,3
166
11,6
423
9,6
Correction ou annotation
3
9,4
3
9,4
Protection des renseignements personnels
161
6,8
142
22,1
303
13,9
Collecte
25
7,5
52
18,6
77
16,0
Conservation et retrait
7
12,2
3
16,3
10
9,5
Exactitude
1
5,4
3
11,6
4
5,0
Utilisation et communication
128
5,8
84
24,9
212
8,6
Délais
221
1,3
328
2,4
549
1,8
Avis de prorogation
4
2,6
4
2,6
Délais
221
324
2,1
545
1,8
Total
642
5,5
636
9,0
1 278
7,3
Tableau 3 – Délais de traitement des plaintes en vertu de la LPRP – Tous les dossiers fermés, par décision
Type de plainte
Nombre
Délai de traitement moyen, en mois
Règlement rapide
642
5,5
Autres règlements
636
9,0
Abandonnée
29
15,1
Non fondée
188
15,5
Résolue
3
15,0
Réglée
4
38,0
Fondée
23
17,6
Fondée et conditionnellement résolue
234
3,3
Fondée – Présomption de refus
71
2,9
Fondée et résolue
84
9,9
Total
1 278
7,3
Tableau 4 – Atteintes en vertu de la LPRP, par institution
Intimé
Nombre d’incidents
Affaires mondiales Canada
6
Agence d’évaluation d’impact du Canada
3
Agence du revenu du Canada
71
Agence fédérale de développement économique pour le Nord de l’Ontario
1
Agriculture et Agroalimentaire Canada
1
Autorité du pont Windsor-Détroit
1
Banque du Canada
1
Bureau de la sécurité des transports du Canada
1
Bureau du vérificateur général du Canada
1
CBC/Société Radio-Canada
2
Centre d’analyse des opérations et déclarations financières du Canada
3
Centre de la sécurité des télécommunications
3
Comité externe d’examen des griefs militaires
2
Commissariat au lobbying du Canada
1
Commission canadienne des droits de la personne
1
Commission canadienne des grains
1
Commission civile d’examen et de traitement des plaintes relatives à la GRC
1
Commission de l’immigration et du statut de réfugié du Canada
1
Commission de la fonction publique du Canada
8
Conseil d’examen du prix des médicaments brevetés
1
Conseil national de recherches Canada
1
Élections Canada / Bureau du directeur général des élections
1
Emploi et Développement social Canada
377
Environnement et Changement climatique Canada
1
Gendarmerie royale du Canada
14
Immigration, Réfugiés et Citoyenneté Canada
8
Infrastructure Canada
1
Innovation, Sciences et Développement économique Canada
1
Ministère de la Défense nationale
1
Ministère de la Justice Canada
1
Ministère des Finances Canada
1
Office d’investissement des régimes de pensions du secteur public
1
Patrimoine canadien
1
Régie de l’énergie du Canada
1
Ressources naturelles Canada
1
Santé Canada
3
Secrétariat du Conseil du Trésor du Canada
3
Sécurité publique Canada
1
Service correctionnel Canada
20
Service des poursuites pénales du Canada
4
Services de bien-être et moral des Forces canadiennes / Biens non publics et Personnel des fonds non publics des Forces canadiennes
1
Services partagés Canada
1
Société canadienne des postes
3
Statistique Canada
1
Transports Canada
1
Tribunal des anciens combattants (révision et appel)
2
Total
561
Tableau 5 – Plaintes et atteintes en vertu de la LPRP
Catégorie
Total
Acceptées
Accès
331
Délais
603
Protection des renseignements personnels
179
Total des plaintes acceptées
1 113
Fermées à la suite d’un règlement rapide
Accès
260
Délais
221
Protection des renseignements personnels
161
Total
642
Fermées à la suite d’autres règlements*
Accès
166
Délais
328
Protection des renseignements personnels
142
Total
636
Total des plaintes fermées
1 278
Atteintes signalées
Accès non autorisé
89
Communication non autorisée
85
Perte
382
Vol
5
Total des atteintes signalées
561
*Comprend les enquêtes sommaires
Tableau 6 – Plaintes en vertu de la LPRP acceptées, par type de plainte
Type de plainte
Règlement rapide
Enquête sommaire*
Enquête officielle
Total
Nombre
Pourcentage
Nombre
Pourcentage
Nombre
Pourcentage
Nombre
Pourcentage
Accès
Accès
238
33 %
64
19 %
26
42 %
328
29 %
Correction ou annotation
3
0 %
3
0 %
Protection des renseignements personnels
Collecte
23
3 %
2
1 %
10
16 %
35
3 %
Conservation et retrait
3
0 %
2
1 %
2
3 %
7
1 %
Exactitude
2
0 %
2
0 %
Utilisation et communication
105
15 %
6
2 %
24
39 %
135
12 %
Délais
Avis de prorogation
2
3
1 %
5
0 %
Délais
344
48 %
254
77 %
598
54 %
Total
720
331
62
1 113
*Les enquêtes sommaires sont des enquêtes plus courtes qui se soldent par la publication d’un bref rapport ou d’une lettre de conclusions.
Tableau 7 – Les institutions fédérales visées par le plus grand nombre de plaintes acceptées en vertu de la LPRP, par année financière
Intimé
2018-2019
2019-2020
2020-2021
2021-2022
2022-2023
2023-2024
Gendarmerie royale du Canada
273
176
186
179
262
266
Service correctionnel Canada
426
155
130
182
199
201
Immigration, Réfugiés et Citoyenneté Canada
59
44
47
49
131
110
Agence des services frontaliers du Canada
109
42
48
53
78
103
Défense nationale
121
33
51
53
74
78
Agence du revenu du Canada
79
63
40
48
79
76
Emploi et Développement social Canada
39
25
41
26
54
32
Service canadien du renseignement de sécurité
24
15
16
14
13
23
Affaires mondiales Canada
20
19
18
11
26
21
Transports Canada
12
5
6
10
12
20
Société canadienne des postes
29
4
22
45
23
20
Total
1 191
581
605
670
951
950
Tableau 8 – Plaintes en vertu de la LPRP acceptées, par institution
Intimé
Règlement rapide
Enquête sommaire
Enquête officielle
Total
Affaires mondiales Canada
13
5
3
21
Agence canadienne d’inspection des aliments
1
1
Agence de la santé publique du Canada
4
4
Agence des services frontaliers du Canada
73
24
6
103
Agence d’évaluation d’impact du Canada
2
1
3
Agence du revenu du Canada
57
14
5
76
Anciens Combattants Canada
10
1
2
13
Bibliothèque et Archives Canada
4
4
Bureau de l’enquêteur correctionnel
1
1
2
Bureau du Conseil privé
1
2
3
Centre canadien d’hygiène et de sécurité au travail
1
1
Centre de la sécurité des télécommunications
4
2
6
Comité externe d’examen des griefs militaires
1
1
Commissaire aux élections fédérales
2
2
Commissariat à l’information du Canada
1
1
Commission canadienne des droits de la personne
4
1
5
Commission civile d’examen et de traitement des plaintes relatives à la GRC
2
2
4
Commission de l’immigration et du statut de réfugié du Canada
6
1
7
Commission de la fonction publique
1
1
Conseil de recherches en sciences humaines
1
1
Conseil national de recherches Canada
1
1
Emploi et Développement social Canada
22
8
2
32
Environnement et Changement climatique Canada
2
3
5
Gendarmerie royale du Canada
162
99
5
266
Immigration, Réfugiés et Citoyenneté Canada
104
2
4
110
Innovation, Sciences et Développement économique Canada
3
1
4
Ministère de la Défense nationale
47
26
5
78
Ministère de la Justice Canada
10
3
2
15
Office de surveillance des activités en matière de sécurité nationale et de renseignement
1
2
3
Office des transports du Canada
1
1
Parcs Canada
3
12
1
16
Patrimoine canadien
1
1
Pêches et Océans Canada
4
4
Régie de l’énergie du Canada
1
1
Relations Couronne - Autochtones et Affaires du Nord Canada
6
1
7
Ressources naturelles Canada
1
1
Santé Canada
8
2
10
Secrétariat du Conseil du Trésor du Canada
5
1
1
7
Sécurité publique Canada
2
1
3
Service canadien d’appui aux tribunaux administratifs
1
1
Service canadien du renseignement de sécurité
14
3
6
23
Service correctionnel Canada
84
107
10
201
Service des poursuites pénales du Canada
1
1
Services aux Autochtones Canada
4
4
Services partagés Canada
1
1
Services publics et Approvisionnement Canada
10
2
12
Société canadienne des postes
12
7
1
20
Société canadienne d’hypothèques et de logement
2
2
Statistique Canada
3
1
4
Transports Canada
19
1
20
Total
720
331
62
1 113
Tableau 9 – Décisions en vertu de la LPRP, par type de plainte
Type de plainte
Abandonnée
Non fondée
Résolue
Réglée
Fondée
Fondée et conditionnellement résolue
Fondée – Présomption de refus
Fondée et résolue
Total
Accès
15
101
262
3
8
5
1
31
426
Accès
15
101
259
3
8
5
1
31
423
Correction ou annotation
3
3
Protection des renseignements personnels
12
84
162
1
15
13
16
303
Collecte
3
45
25
2
2
77
Conservation et retrait
2
7
1
10
Exactitude
1
1
2
4
Utilisation et communication
9
37
129
1
12
8
16
212
Délais
2
3
221
216
70
37
549
Avis de prorogation
2
1
1
4
Délais
2
221
216
70
36
545
Total
29
188
645
4
23
234
71
84
1 278
Tableau 10 – Décisions sur les plaintes relatives aux délais en vertu de la LPRP, par institution
Intimé
Abandonnée
Résolue
Non-fondée
Fondée et conditionnellement résolue
Fondée – Présomption de refus
Fondée et résolue
Total
Affaires mondiales Canada
4
1
2
7
Agence de la santé publique du Canada
1
1
Agence des services frontaliers du Canada
18
16
8
11
53
Agence du revenu du Canada
13
10
1
1
25
Anciens Combattants Canada
2
1
3
Bureau du Conseil privé
1
1
2
Centre de la sécurité des télécommunications
2
4
6
Commission canadienne des droits de la personne
1
1
Commission civile d’examen et de traitement des plaintes relatives à la GRC
1
1
Commission de l’immigration et du statut de réfugié du Canada
2
1
3
Commission de la fonction publique
1
1
Emploi et Développement social Canada
12
1
3
16
Environnement et Changement climatique Canada
1
3
4
Gendarmerie royale du Canada
1
55
78
21
12
167
Immigration, Réfugiés et Citoyenneté Canada
49
1
1
3
54
Innovation, Sciences et Développement économique Canada
1
1
Instituts de recherche en santé du Canada
1
1
Ministère de la Défense nationale
18
11
15
2
46
Ministère de la Justice Canada
1
3
2
6
Office de surveillance des activités en matière de sécurité nationale et de renseignement
1
1
1
3
Relations Couronne - Autochtones et Affaires du Nord Canada
1
1
Santé Canada
3
2
5
Secrétariat du Conseil du Trésor du Canada
2
1
3
Sécurité publique Canada
1
1
2
Service canadien d’appui aux tribunaux administratifs
1
1
Service canadien du renseignement de sécurité
2
2
Service correctionnel Canada
22
78
15
2
117
Services aux Autochtones Canada
2
1
3
Services publics et Approvisionnement Canada
2
2
Société canadienne des postes
2
2
3
7
Transports Canada
3
2
5
Total
2
221
3
216
70
37
549
Tableaux relatifs à la LPRPDE
Tableau 1 – Plaintes en vertu de la LPRPDE acceptées, par secteur de l’industrie
Secteur de l’industrie
Nombre
Proportion de l’ensemble des plaintes acceptées
Aliments et boissons
7
2 %
Assurances
12
3 %
Construction
3
1 %
Divertissement
22
5 %
Édition (sauf Internet)
1
0 %
Extraction minière et extraction de pétrole et de gaz
1
0 %
Fabrication
5
1 %
Finances
112
25 %
Gouvernement
3
1 %
Hébergement
24
5 %
Individu
1
0 %
Internet*
72
16 %
Location
7
2 %
Organismes sans but lucratif
2
0 %
Professionnels
18
4 %
Santé
7
2 %
Services
47
11 %
Services publics
1
0 %
Télécommunications
33
7 %
Transports
28
6 %
Ventes et détail
40
9 %
Total
446
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux).
Exactitude72 %
Tableau 2 – Plaintes en vertu de la LPRPDE acceptées, par type de plainte
Type de plainte
Nombre
Proportion de l’ensemble des plaintes acceptées
Accès
101
23 %
Collecte
32
7 %
Consentement
63
14 %
Conservation
48
11 %
Correction ou annotation
3
1 %
Délais
51
11 %
Mesures de protection
30
7 %
Non-respect des principes
8
2 %
Responsabilité
1
0 %
Transparence
10
2 %
Utilisation et communication
92
21 %
Total
446
Tableau 3 – Dossiers d’enquête liés à la LPRPDE fermés, par secteur de l’industrie et décision
Secteur de l’industrie
Résolue par règlement rapide
Abandonnée
Non-fondée
Réglée
Fondée
Fondée et conditionnellement résolue
Fondée et résolue
Retrait
Total
Agriculture, foresterie, chasse et pêche
1
1
Aliments et boissons
8
8
Assurances
9
1
10
Construction
2
2
Divertissement
18
1
19
Édition (sauf Internet)
2
2
4
Extraction minière et extraction de pétrole et de gaz
1
1
Fabrication
3
2
5
Finances
79
4
4
3
2
4
96
Gouvernement
2
2
Hébergement
25
2
27
Individu
1
1
Internet*
77
1
1
79
Location
5
5
Organismes sans but lucratif
2
2
Professionnels
15
1
1
17
Santé
3
1
4
Services
32
1
1
34
Télécommunications
26
1
1
2
30
Transports
23
1
1
25
Ventes et détail
30
1
1
1
33
Total
363
10
8
3
2
3
11
5
405
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux).
Tableau 4 – Dossiers d’enquête en vertu de la LPRPDE fermés, par type de plainte et décision
Type de plainte
Résolue par règlement rapide
Abandonnée
Non-fondée
Réglée
Fondée
Fondée et conditionnellement résolue
Fondée et résolue
Retrait
Total
Accès
104
3
2
1
3
113
Collecte
41
1
42
Consentement
51
2
1
1
55
Conservation
34
1
3
38
Correction ou annotation
7
7
Délais
17
1
1
19
Exactitude
7
7
Mesures de protection
12
1
1
2
1
1
18
Non-respect des principes
6
6
Responsabilité
5
5
Transparence
12
12
Utilisation et communication
67
5
3
2
3
3
83
Total
363
10
8
3
2
3
11
5
405
Tableau 5 – Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par décision
Décision
Nombre
Délai de traitement moyen, en mois
Résolue par règlement rapide
363
6,6
Abandonnée (article 12.2)
10
12,1
Non fondée
8
15,7
Réglée
3
4,5
Fondée
2
8,0
Fondée et conditionnellement résolue
3
39,5
Fondée et résolue
11
16,9
Retrait
5
3,9
Total
405
Moyenne générale pondérée
7,4
Tableau 6 – Enquêtes en vertu de la LPRPDE – Délais de traitement moyens, par type de plainte et de règlement
Type de plainte
Règlement rapide
Autres règlements
Toutes les enquêtes
Nombre
Délai de traitement moyen, en mois
Nombre
Délai de traitement moyen, en mois
Nombre
Délai de traitement moyen, en mois
Accès
104
7,2
9
12,3
113
7,6
Collecte
6
5,0
6
5,0
Consentement
41
7,2
1
8,9
42
7,2
Conservation
12
3,8
12
3,8
Correction ou annotation
51
7,0
4
5,5
55
6,9
Délais
12
5,6
6
29,2
18
13,4
Exactitude
5
6,2
5
6,2
Mesures de protection
34
5,6
4
21,0
38
7,3
Non-respect des principes
7
6,5
7
6,5
Responsabilité
67
7,0
16
11,2
83
7,8
Transparence
7
8,4
7
8,4
Utilisation et communication
17
2,8
2
9,9
19
3,6
Total
363
6,6
42
14,3
405
7,4
Tableau 7 – Déclarations des atteintes en vertu de la LPRPDE, par secteur de l’industrie et type d’incident
Secteur de l’industrie
Type d’incident
Total des incidents par secteur
Proportion de l’ensemble des incidents*
Perte
Vol
Accès non autorisé
Communication non autorisée
Agriculture, foresterie, chasse et pêche
2
1
3
0 %
Aliments et boissons
3
3
0 %
Assurances
9
4
21
7
41
6 %
Construction
5
5
1 %
Divertissement
8
2
10
1 %
Édition (sauf Internet)
17
2
19
3 %
Extraction minière et extraction de pétrole et de gaz
5
5
1 %
Fabrication
46
1
47
7 %
Finances
7
5
110
48
170
25 %
Gouvernement
1
1
4
4
10
1 %
Hébergement
5
2
7
1 %
Internet*
8
3
11
2 %
Location
1
1
0 %
Organismes sans but lucratif
1
2
30
4
37
5 %
Professionnels
2
4
56
8
70
10 %
Santé
2
10
10
22
3 %
Services
1
4
41
9
55
8 %
Services publics
3
1
4
1 %
Télécommunications
99
18
117
17 %
Transports
8
8
1 %
Ventes et détail
2
2
39
5
48
7 %
Total
23
24
521
125
693
*Ce secteur de l’industrie comprend : les fournisseurs de services Internet et d’autres services informatiques et en ligne, à l’exclusion des services de transmission d’information ou des services de transmission d’information en ligne (par exemple, nouvelles, éditeurs de logiciels et d’applications mobiles, annuaires, portails de recherche et sites de médias sociaux).
Tableau 8 – Nombre de comptes canadiens touchés, par type d’incident
Type d’incident
Nombre de comptes touchés
Accès non autorisé
23 503 629
Communication non autorisée*
1 741 008
Perte
1 053
Vol
1 357
Total
25247 047
*Au cours des exercices précédents, le terme « communication accidentelle » était utilisé pour désigner les cas où des renseignements personnels avaient été communiqués en dehors des dispositions de la LPRPDE, que ce soit intentionnellement ou accidentellement. Ce terme a été remplacé par « communication non autorisée », conformément au libellé de la LPRPDE, mais le sens demeure le même.
Annexe 3 : Lois essentiellement similaires
En vertu du paragraphe 25(1) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), le Commissariat à la protection de la vie privée du Canada doit déposer chaque année au Parlement un rapport « sur la mesure dans laquelle les provinces ont édicté des lois essentiellement similaires ».
En vertu de l’alinéa 26(2)b) de la LPRPDE, le gouverneur en conseil peut, par décret, exclure une organisation, une catégorie d’organisations, une activité ou une catégorie d’activités de l’application de la partie 1 de cette loi à l’égard de la collecte, de l’utilisation ou de la communication de renseignements personnels qui s’effectue à l’intérieur d’une province ayant adopté une loi provinciale « essentiellement similaire » à la partie 1 de la LPRPDE.
fournissent un mécanisme de protection des renseignements personnels conforme et équivalent à celui de la LPRPDE;
intègrent les 10 principes de l’annexe 1 de la LPRPDE;
fournissent un mécanisme indépendant et efficace de surveillance et de recours ainsi que des pouvoirs d’enquête;
restreignent la collecte, l’utilisation et la communication des renseignements personnels à des fins appropriées et légitimes.
Les organisations assujetties aux lois provinciales réputées essentiellement similaires sont exemptées de la partie 1 de la LPRPDE en ce qui a trait à la collecte, à l’utilisation et à la communication de renseignements personnels à l’intérieur de la province en cause.
La LPRPDE continue toutefois de s’appliquer à la collecte, à l’utilisation ou à la communication de renseignements personnels liée aux activités d’entreprises fédérales dans la province en cause ainsi qu’à la collecte, à l’utilisation ou à la communication de renseignements personnels à l’extérieur de cette province.
Les lois provinciales considérées comme essentiellement similaires à la partie 1 de la LPRPDE sont les suivantes :
Loi sur la protection des renseignements personnels dans le secteur privé du Québec;
Personal Information Protection Act de la Colombie-Britannique;
Personal Information Protection Act de l’Alberta;
Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario (dépositaires de renseignements sur la santé);
Loi sur l’accès et la protection en matière de renseignements personnels sur la santé du Nouveau-Brunswick (dépositaires de renseignements sur la santé);
Personal Health Information Act de Terre-Neuve-et-Labrador (dépositaires de renseignements sur la santé);
Personal Health Information Act de la Nouvelle-Écosse (dépositaires de renseignements sur la santé).
Annexe 4 : Rapport de la commissaire spéciale à la protection de la vie privée
En ma qualité de commissaire spéciale à la protection de la vie privée, mon rôle consiste à examiner des cas où des individus ont demandé à avoir accès à des renseignements détenus par le Commissariat à la protection de la vie privée du Canada et que celui-ci refuse la demande ou, encore, où il est soutenu que le Commissariat a traité les renseignements personnels d’une personne d’une manière inappropriée. Le Commissariat est lui-même assujetti à la Loi sur la protection des renseignements personnels, dont il surveille la conformité. Ces cas pourraient faire naître le droit de déposer une plainte à la commissaire spéciale à la protection de la vie privée.
Au cours de l’exercice visé par le présent rapport, soit du 1er avril 2023 au 31 mars 2024, deux plaintes déposées au cours de l’année précédente ont été réglées, et j’ai été saisie de 39 autres plaintes, ce qui représente beaucoup plus de cas que l’année précédente. J’ai remarqué une augmentation semblable du nombre de plaintes dans le rôle de surveillance comparable que je joue en vertu de la Loi sur l’accès à l’information, en plus d’observer une augmentation notable du niveau d’insatisfaction des individus qui demandent des renseignements aux institutions fédérales. Cette insatisfaction semble provenir du temps nécessaire pour obtenir une réponse ou du peu d’avantages réellement tirés du processus en soi. Cette raison à elle seule fait en sorte que l’augmentation relative du nombre de dossiers dans le cadre de mon travail d’examen du Commissariat n’était pas tout à fait inattendue.
Des sept nouvelles plaintes, quatre d’entre elles découlaient de réponses insatisfaisantes à des demandes de renseignements personnels. Ces demandes visaient principalement l’accès au contenu des dossiers d’enquête sur les plaintes menés par le Commissariat, dont la communication est régie par l’article 22.1, une exemption très stricte et limitative à la communication dont j’ai fait état dans des rapports annuels antérieurs.
Fait intéressant, une affaire portait sur la contestation de l’application de l’exemption prévue à l’article 26; certains des renseignements personnels du demandeur concernaient également des renseignements personnels qui portaient sur un autre individu. Selon l’article 26, le Commissariat peut envisager la possibilité de communication et refuser l’accès après avoir soupesé les facteurs en cause. Ma tâche consistait à examiner ces facteurs pour établir si la décision du Commissariat de refuser l’accès était conforme à la loi, ce qui signifie que le Commissariat devait démontrer qu’il avait examiné attentivement l’applicabilité de l’exemption et qu’il avait exercé son pouvoir discrétionnaire de bonne foi en fonction des circonstances.
Dans un autre cas, j’ai jugé irrecevable une plainte concernant une demande d’accès à l’information déposée trop tard, c’est-à-dire des semaines au-delà du délai fixé de 60 jours à compter de la date à laquelle une réponse a été donnée. J’ai le pouvoir discrétionnaire d’examiner les circonstances liées à une « déclaration tardive » et je l’ai utilisé dans le passé en vue de prolonger le délai d’acceptation de plaintes tardives. Cependant, je ne l’ai pas fait dans ce cas-ci parce que l’individu connaissait bien les règles relatives aux demandes ainsi que celles relatives au dépôt des plaintes en temps voulu. L’individu a également admis qu’il n’avait pas de raison valable pour expliquer le long délai. Deux autres plaintes concernant l’accès à l’information étaient toujours à l’étude à la fin de l’année.
Pour chacun des cas examinés et clos, un rapport de conclusions d’enquête est publié afin de répondre aux questions, de fournir des explications claires quant à l’applicabilité des règles relatives à l’accès aux renseignements personnels et de sensibiliser davantage les gens à la Loi sur la protection des renseignements personnels telle qu’elle s’applique au Commissariat.
Une nouvelle plainte relative à une atteinte à la vie privée a été déposée à la suite d’un avis d’atteinte à la vie privée que j’avais reçu plus tôt du Commissariat. Cette plainte concernait un incident survenu à l’extérieur du Commissariat, mais auquel celui-ci était lié. La plainte avait été déposée à mon attention en ma qualité d’autorité de surveillance des questions d’atteinte à la vie privée relevant du Commissariat. Je mène actuellement une enquête sur cette plainte pendant que le Commissariat fait enquête sur l’incident externe en tant qu’autorité de surveillance de la protection de la vie privée au Canada, ce qui rend ce cas non seulement complexe, mais aussi unique en son genre.
Des autres nouvelles plaintes reçues au cours de la période visée, 32 ont été jugées irrecevables parce qu’elles n’étaient pas de mon ressort : il s’agissait d’individus qui avaient demandé l’accès à leurs renseignements personnels auprès d’institutions fédérales et provinciales et qui n’étaient toujours pas satisfaits des réponses obtenues. Pour chacun de ces cas, j’ai fourni des explications et j’ai redirigé les individus vers le bureau de surveillance provincial ou fédéral approprié pour qu’il donne suite aux préoccupations de ceux-ci, ce qui m’a valu des remerciements écrits de la part de bon nombre de ces individus.
Il est indéniable que toutes les plaintes dont j’ai été saisie l’an dernier étaient dignes de mention et intéressantes, comme ce fut le cas pour l’année précédente. Je compte continuer, au cours des mois à venir, d’être au service des individus qui solliciteront mon intervention.
Le tout respectueusement soumis, Anne E. Bertrand, c.r. La commissaire spéciale à la protection de la vie privée