Recommandations

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Le 29 avril 2008

---

Recommandations

Recommandation numéro 1 : Instaurer par voie législative un « test de nécessité » pour les institutions gouvernementales qui recueillent des renseignements personnels, afin de les obliger à démontrer la nécessité de recueillir ces renseignements.

Recommandation numéro 2 : Étendre les motifs de recours aux tribunaux en vertu de l’article 41 de la Loi sur la protection des renseignements personnels à toute la gamme des protections et droits relatifs à la vie privée que cette loi garantit et autoriser la Cour fédérale à allouer des dommages-intérêts à la charge des institutions contrevenantes.

Recommandation numéro 3 : Inscrire dans la loi l’obligation, pour les responsables des institutions gouvernementales assujetties à la Loi sur la protection des renseignements personnels, d’effectuer une Évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de mettre en œuvre un programme ou un système et d’en publier les résultats.

Recommandation numéro 4 : Modifier la Loi sur la protection des renseignements personnels pour confier au Commissariat un mandat clair en matière de sensibilisation du public.

Recommandation numéro 5 : Donner au Commissariat une plus grande souplesse pour faire rapport publiquement sur les pratiques de gestion des renseignements personnels des institutions gouvernementales.

Recommandation numéro 6 : Conférer à la commissaire à la protection de la vie privée le pouvoir discrétionnaire de refuser ou d’abandonner une plainte dans les cas où une enquête ne serait guère utile et ne servirait aucunement l’intérêt public.

Recommandation numéro 7 : Amender la Loi sur la protection des renseignements personnels pour la faire concorder avec la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ) en éliminant la restriction selon laquelle la Loi sur la protection des renseignements personnels ne s’applique qu’aux renseignements consignés.

Recommandation numéro 8 : Renforcer les exigences touchant les rapports annuels des ministères et organismes gouvernementaux énoncées à l’article 72 de la Loi sur la protection des renseignements personnels en obligeant ces institutions à rendre compte au Parlement d’un plus large éventail de pratiques en matière de protection des renseignements personnels.

Recommandation numéro 9 : Incorporer une disposition exigeant des examens réguliers de la Loi sur la protection des renseignements personnels par le Parlement tous les cinq ans.

Recommandation numéro 10 : Renforcer les dispositions concernant la communication de renseignements personnels par le gouvernement canadien aux États étrangers.

---

Recommandation numéro 1 :

 

Contexte

Une façon beaucoup plus efficace d’assurer le droit à la vie privée, conformément aux lois modernes en matière de protection des données, consiste à exiger que les institutions recueillent seulement les renseignements qui sont nécessaires et raisonnables dans le contexte de leurs programmes ou activités. Cette norme a été adoptée dans d’autres lois au Canada et à l’étranger. La politique du Conseil du Trésor affirme qu’il faut pouvoir démontrer la nécessité de chaque renseignement personnel recueilli pour mener à bien l'activité ou le programme concerné. Le principe 4.4 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ)limite la collecte des renseignements personnels à ceux « nécessaires aux fins déterminées ». La norme établie à l’article 12 de la Loi sur le Service canadien du renseignement de sécurité limite la collecte d’informations à ce qui est « strictement nécessaire » à l’exercice du mandat de l’institution.

Presque toutes les provinces et tous les territoires ont un modèle législatif visant le secteur public qui impose l’une des trois conditions suivantes : a) la collecte est expressément autorisée par un texte législatif; b) les renseignements sont recueillis aux fins de l’application de la loi; c) les renseignements sont directement liés et nécessaires à un programme ou à une activité.

Il faudrait également envisager d’obliger l’institution gouvernementale à procéder à la collecte de renseignements personnels de la façon la moins envahissante possible et de manière à assurer un maximum de transparence, afin de tenir compte des technologies qui sont des sources d’intrusion dans la vie privée, tels les caméras de surveillance, le GPS et la biométrie.

Justification

Appliquer le droit fondamental au respect de la vie privée

La Cour suprême du Canada a reconnu en de nombreuses occasions que les intérêts de nature privée méritent d’être protégés^{Note de bas de page 1} en vertu de la Charte et que la Loi sur la protection des renseignements personnels est quasi constitutionnelle^{Note de bas de page 2}. Le libellé actuel de l’article 4 de la Loi sur la protection des renseignements personnels établit une norme qui n’est pas à la mesure des droits fondamentaux au cœur de la Loi sur la protection des renseignements personnels. L’ajout de meilleurs contrôles aux lieux de collecte permettra de réduire les risques d’une mauvaise utilisation ou d’une communication des renseignements personnels.

Offrir un encadrement législatif plus contraignant pour la collecte des renseignements personnels

La réaction populaire à la révélation de l’existence du Fichier longitudinal sur la main-d’œuvre à DRHC montre bien la nécessité d’assurer un meilleur encadrement législatif pour la collecte des renseignements personnels. Dans son rapport annuel de 1999-2000, le Commissariat à la protection de la vie privée (CPVP) a traité de la question. DRHC avait monté une vaste base de données aux fins de recherche qui contenait les renseignements personnels de millions de personnes. Bien que le Ministère ait invoqué avoir suivi à la lettre la norme de collecte fixée dans la Loi sur la protection des renseignements personnels, le CPVP n’a pas estimé que toutes les données contenues dans la base de données étaient directement liées et nécessaires aux programmes et aux activités de DRHC. Depuis, la base de données a été démantelée et le Ministère apporte constamment des améliorations à ses pratiques de gestion des renseignements personnels.

Le CPVP, dans une autre recommandation, conseille vivement d’élargir le champ d’application de la Loi sur la protection des renseignements personnels de manière à permettre à une personne de contester devant les tribunaux tout ce qui concerne la collecte, l’utilisation et la communication de ses renseignements personnels. Une norme de collecte adéquate, combinée au droit d’interjeter appel devant les tribunaux, constituerait une étape importante vers l’établissement d’un cadre juridique plus approprié.

Recommandation numéro 2

 

Contexte

Selon l’article 41 de la Loi sur la protection des renseignements personnels, la Cour fédérale ne peut que réviser une décision de refus rendue par une institution fédérale à l’encontre d’une personne ayant demandé d’avoir accès à des renseignements personnels en vertu de l’article 12 de cette même loi. Bien que la commissaire puisse enquêter sur les plaintes visant la gamme complète des droits et protections garantis par la Loi sur la protection des renseignements personnels et formuler des recommandations à l’institution gouvernementale concernée, si cette dernière ne donne pas suite aux recommandations de manière satisfaisante, ni la personne ni la commissaire ne peut demander à la Cour fédérale d’exiger l’application de la Loi ou de remédier à la situation.

L’incapacité de la Loi sur la protection des renseignements personnels d’offrir de réels recours en cas de violation du droit à la vie privée a été confirmée par la Cour fédérale dans l’arrêt Murdoch c. Canada (Gendarmerie royale du Canada),[2005] 4 R.C.F. 340. Dans cette affaire, la GRC avait indûment communiqué des renseignements personnels concernant M. Murdoch à son employeur. Le CPVP avait conclu que la plainte de ce dernier était fondée et avait tenté d’obtenir réparation en faisant appel à la Cour fédérale. Cependant, la Cour a établi que la structure actuelle de la Loi sur la protection des renseignements personnels n’autorisait pas M. Murdoch à présenter un recours pour atteinte à la vie privée. En outre, la Cour a fait remarquer que le seul pouvoir dont elle disposait était celui de réviser la décision de refus de communication des renseignements personnels.

Justification

Traduire en pratique la qualité de droit fondamental et quasi constitutionnel accordée à la protection des renseignements personnels

L’élargissement du champ de compétence de la Cour fédérale permettrait de confirmer que les droits à la vie privée des secteurs public et privé sont d’égale importance, de garantir que les institutions gouvernementales respectent le droit de l’ensemble des Canadiens et des Canadiennes à voir leurs renseignements personnels recueillis, utilisés et communiqués conformément à la Loi sur la protection des renseignements personnels et de donner tout son poids au droit à la vie privée dans une société libre et démocratique. La Cour suprême du Canada a confirmé que la Loi sur la protection des renseignements personnels « vise à protéger les renseignements personnels relevant des institutions gouvernementales [et que cette] mesure législative a une telle importance que notre Cour l’a qualifiée de “quasi constitutionnelle” en raison du rôle que joue la protection de la vie privée dans le maintien d’une société libre et démocratique^{Note de bas de page 3}. »

Assurer la responsabilité du gouvernement à l’aide d’un mécanisme d’examen valable

La mise en œuvre de notre recommandation donnerait aux Canadiennes et aux Canadiens les mêmes droits quant aux renseignements personnels recueillis, utilisés et communiqués par les institutions gouvernementales que ceux dont ils jouissent, en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, à l’égard des organisations du secteur privé qui mènent des activités commerciales.Les institutions gouvernementales devraient même faire preuve d’une ouverture et d’une responsabilité plus grandes en ce qui concerne leurs modes de traitement des renseignements personnels. Pour accroître la responsabilité gouvernementale, il est évident qu’il faut renforcer le droit à la protection de la vie privée dans la gestion que fait le gouvernement des renseignements personnels des Canadiennes et Canadiens. La mise en œuvre de notre recommandation est essentielle pour assurer la responsabilisation et la transparence réelles du gouvernement.

Protéger directement les renseignements personnels dans la loi pertinente

La Cour suprême du Canada a affirmé qu’un tiers, dans une demande d’accès à l’information faite en vertu de la Loi sur l’accès à l’information, peut demander à être entendu par la Cour fédérale relativement à la communication de renseignements personnels par une institution gouvernementale^{Note de bas de page 4}. Étant donné que la Cour suprême du Canada considère que le droit à la vie privée l’emporte sur le droit d’accès à l’information, comment se fait-il qu’un tiers peut se présenter devant la Cour fédérale pour une affaire de communication de renseignements sur une autre personne en vertu de la Loi sur l’accès à l’information, mais qu’une personne ne peut pas demander qu’on respecte son droit à la protection de la vie privée ou qu’on la dédommage pour atteinte à ce droit en vertu de la Loi sur la protection des renseignements personnels quand il s’agit de ses renseignements personnels? L’élargissement des motifs de recours devant la Cour fédérale en vertu de la Loi sur la protection des renseignements personnels réglerait cette situation incongrue.

Tout droit nécessite un recours

Pour avoir un sens, un droit doit s’accompagner d’un recours. C’est particulièrement vrai dans le cas d’un droit fondamental tel que celui de protéger la vie privée. La mise en œuvre de notre recommandation permettrait à la Cour fédérale de traiter les plaintes relatives à toute la gamme des droits et des mesures de protection prévus dans la Loi sur la protection des renseignements personnels, y compris les plaintes pour collecte, utilisation ou communication inappropriée de renseignements personnels, pour défaut de conserver des données à jour et exactes, pour conservation ou destruction inappropriée de données, ou encore celles liées à un refus d’accès à des renseignements ou de correction de renseignements par des institutions gouvernementales. La Cour fédérale pourrait alors allouer des dommages-intérêts, lorsque, par exemple, l’utilisation ou la communication inappropriée de renseignements personnels met dans l’embarras la personne concernée ou lui cause d’autres dommages.

Besoin des conseils des tribunaux

La mise en œuvre de notre recommandation permettrait à la Cour fédérale de donner des conseils dont nous avons besoin sur ce qui constitue une collecte, une utilisation ou une communication inappropriée de renseignements personnels.

Recommandation numéro 3

 

Contexte

En mai 2002, le Secrétariat du Conseil du Trésor (SCT) a présenté une politique d’évaluation des facteurs relatifs à la vie privée. La Politique a été adoptée afin d’assurer aux Canadiennes et aux Canadiens que l'on tiendrait compte des principes de protection de la vie privée lorsqu'on formulerait des propositions de programmes et de services qui ont des répercussions à cet égard, ainsi que pendant leur conception, leur mise en œuvre et leur évolution. Il s’agit là d’un élément essentiel d’un cadre réglementaire respectueux de la vie privée, puisque cette politique exige que les institutions fassent la preuve que la collecte, l’utilisation et la communication qu’ils font des renseignements personnels respectent la Loi sur la protection des renseignements personnels.

Justification

Étant donné que les institutions gouvernementales n’appliquent pas toutes avec la même rigueur la Politique d’évaluation des facteurs relatifs à la vie privée, la loi devrait exiger ces évaluations, afin de veiller à ce qu’elles soient effectuées régulièrement et en temps opportun.

Assurer la conformité à la Politique d’évaluation des facteurs relatifs à la vie privée

Lors de la vérification de 2007 du CPVP au sujet de la conformité du gouvernement à la Politique d’évaluation des facteurs relatifs à la vie privée, il a été déterminé que les institutions ne respectent pas entièrement leur engagement à l’égard de la Politique. Les évaluations des facteurs relatifs à la vie privée ne sont pas toujours réalisées quand elles devraient l’être. Elles sont souvent réalisées bien après la mise en œuvre d’un programme, voire pas du tout. Les normes actuelles en matière de communication et de rapports pour les ÉFVP donnent peu de garantie ou d’information aux Canadiennes et aux Canadiens qui souhaitent comprendre les répercussions qu’ont sur leur vie privée les services ou les programmes gouvernementaux.

En outre, la Politique ne fournit pas en soi l’assurance que l’on évalue les facteurs relatifs à la vie privée ayant trait aux initiatives diffuses et stratégiques pangouvernementales. Toutefois, en étant au courant des répercussions éventuelles sur la vie privée des politiques et des plans proposés, le gouvernement (c.-à-d. le SCT et/ou le Cabinet) aurait l’occasion de modifier rapidement les programmes ou les systèmes en vue de protéger les renseignements personnels des Canadiennes et des Canadiens et de réduire les coûts associés aux modifications de programme ou de système.

Renforcer l’obligation de rendre des comptes

Les Évaluations des facteurs relatifs à la vie privée devraient être transmises au CPVP afin que ce dernier les examine avant la mise en œuvre du programme. Le CPVP formulerait des recommandations indépendantes et objectives sur le meilleur moyen de protéger les renseignements personnels tout en atteignant les objectifs du programme de façon moins intrusive.

Assurer la transparence des programmes gouvernementaux

Les Évaluations des facteurs relatifs à la vie privée sont indispensables et devraient former un élément clé d’un cadre de gestion de la protection de la vie privée défini dans la loi. La loi devrait garantir aux Canadiennes et aux Canadiens que les risques d’atteinte à la vie privée seront cernés et atténués dans le cadre même des programmes du gouvernement fédéral. À cet égard, il faudrait obliger les institutions à publier le résultat des évaluations. En faisant mieux connaître les répercussions des programmes sur la vie privée, on donnerait l’occasion aux Canadiennes et aux Canadiens de faire connaître leurs préoccupations et on leur garantirait que les risques sont pris en compte.

Recommandation numéro 4

 

Contexte

Alors que la LPRPDÉ confie au Commissariat un mandat en matière de sensibilisation du public, la Loi sur la protection des renseignements personnels ne le fait pas explicitement. L’article 24 de la LPRPDÉ se lit ainsi : « Le commissaire : a) offre au grand public des programmes d’information destinés à lui faire mieux comprendre [?]; b) fait des recherches liées à la protection des renseignements personnels — et en publie les résultats — , notamment toutes telles recherches que le ministre de l’Industrie demande; c) encourage les organisations à élaborer des politiques détaillées — notamment des codes de pratiques [?]; d) prend toute autre mesure indiquée pour la promotion de l’objet de la présente partie. »

Justification

Même si sa fonction principale selon la Loi sur la protection des renseignements personnels consiste à enquêter sur des plaintes et à les régler, le Commissariat doit également faire progresser le droit à la protection de la vie privée par d’autres moyens – par la recherche, la communication et la sensibilisation du grand public. La Loi sur la protection des renseignements personnels ne donne pas à la commissaire le mandat de sensibiliser les citoyens au droit à la vie privée quant aux renseignements personnels les concernant que détiennent les institutions fédérales. La commissaire devrait, en vertu de la Loi sur la protection des renseignements personnels, être investie du pouvoir de sensibiliser les entreprises, le gouvernement et le grand public.

Résumés de conclusions d’enquête portant sur la gestion des renseignements personnels dans le secteur public

Actuellement, le principal instrument pour rendre compte des enquêtes est le rapport annuel, dont la publication est prévue dans la Loi sur la protection des renseignements personnels. Cependant, s’il avait un mandat plus explicite pour ce qui est de la sensibilisation du public et s’il disposait d’une plus grande marge de manœuvre pour l’établissement de rapports destinés au public, le Commissariat pourrait publier un recueil des enquêtes importantes qui relèvent de Loi sur la protection des renseignements personnels, notamment dans les domaines de la sécurité nationale, de l’application de la loi et de la santé. Plusieurs groupes de la société civile qui s’intéressent à la promotion de la vie privée ont exhorté le Commissariat à publier plus régulièrement des rapports sur les activités de surveillance gouvernementale et sur la façon dont ces activités peuvent influer sur la protection de la vie privée.

Évaluations périodiques du rendement des ministères en matière de protection des renseignements personnels

Le Commissariat souhaite favoriser un débat public mieux informé sur le rôle du gouvernement fédéral dans des domaines qui nécessitent la communication de renseignements personnels entre des organismes et des instances ou administrations. Un mandat clair en matière de sensibilisation du public permettrait au Commissariat de publier des avis et du matériel d’information portant sur des politiques et des mesures législatives importantes qui ont une incidence sur les renseignements personnels.

Appuyer les objectifs d’apprentissage des professionnels des droits en matière d’information

Les recherches menées par le Conseil du Trésor indiquent que les besoins d’apprentissage des spécialistes de l'AIPRP (Accès à l'information et protection des renseignements personnels) sont importants, et elles attirent l’attention sur le nombre et la complexité accrus des dossiers, ainsi que sur le nombre de nouveaux organismes assujettis à la Loi sur la protection des renseignements personnels par suite de l’adoption de la Loi fédérale sur la responsabilité. Les recherches révèlent aussi — ce qui est corroboré par les vérifications et analyses du Commissariat — que l’infrastructure d’apprentissage actuelle ne répond pas aux besoins en la matière. En rendant davantage d’information disponible en temps utile, le Commissariat deviendra une précieuse source d’information sur la nécessité d’avoir une stratégie plus cohérente pour la gestion des renseignements personnels dans l’ensemble de l’appareil fédéral.

Élargir les paramètres du programme de recherche du Commissariat

Pour éclairer les politiques gouvernementales, nous avons besoin de meilleures recherches sur la gestion des renseignements personnels dans le secteur public. L’article 24 de la LPRPDÉ permet au Commissariat de faire des recherches liées à la protection des renseignements personnels dans le secteur privé et d’en publier les résultats, en utilisant une enveloppe budgétaire spécifique. Dans le cadre de ce mandat, le Commissariat a mis en place un vaste programme de contributions à la recherche, qui a permis d’octroyer plus de 1 000 000 $ à plus de 30 projets de recherche privés au Canada, ce qui s’est traduit par des études approfondies sur des enjeux clés liés à la vie privée. Les rapports de recherche peuvent être consultés sur le site Web du Commissariat. La Loi sur la protection des renseignements personnels devrait prévoir un mandat semblable pour effectuer des recherches portant sur le secteur public.

Servir les intérêts des citoyens et des résidents du Canada

Si le Commissariat avait un mandat plus explicite en matière de sensibilisation du public, cela permettrait d’avoir un débat public plus approfondi et mieux informé sur la gestion des renseignements personnels au sein de l’administration fédérale dans des domaines cruciaux pour le droit à la vie privée. Cela garantirait également une approche plus cohérente pour ce qui est de la conformité en matière de protection des renseignements personnels puisqu’on répondrait aux besoins d’apprentissage des spécialistes des droits à l’information.

Recommandation numéro 5

 

Contexte

En vertu de la Loi fédérale sur la responsabilité, le Commissariat est maintenant assujetti à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels. Par conséquent, aux termes de la Loi sur l'accès à l'information, le public a maintenant droit d’accès à certaines informations contenues dans les dossiers d’enquête du Commissariat et, aux termes de la Loi sur la protection des renseignements personnels, l’intéressé a droit d’accès aux renseignements personnels contenus dans ces dossiers. Le droit d’accès ne peut s’exercer qu’une fois que le Commissariat a terminé son enquête. Ainsi, l’obligation de maintenir la confidentialité des enquêtes en cours est respectée.

La Loi fédérale sur la responsabilité n’a entraîné aucune modification des dispositions de la Loi sur la protection des renseignements personnels qui régissent le pouvoir de la commissaire de diffuser de l’information sur ses activités et ses conclusions d’enquête. De ce fait, le seul moyen législatif officiel dont dispose le Commissariat aux fins de la présentation de rapports destinés au public, ce sont les dispositions relatives au rapport annuel et aux rapports spéciaux.

Justification

Servir l’intérêt public et répondre aux attentes du public

Il serait dans la logique des récentes modifications à la Loi sur l'accès à l'information et à la Loi sur la protection des renseignements personnels, qui ont accordé un droit d’accès à l’information contenue dans les dossiers d’enquête du Commissariat, de permettre à celui-ci de communiquer de sa propre initiative de l’information sur les pratiques de gestion des renseignements personnels d’une institution gouvernementale lorsque c’est dans l’intérêt public.

La population s’attend à ce que le Commissariat fasse enquête sur les questions d’intérêt public et en rende compte. C’est particulièrement le cas lorsque la question relative à la protection de la vie privée est déjà du domaine public. Le Commissariat a été empêché de parler à la presse, au public et même aux députés en raison des contraintes en matière de confidentialité imposées par la Loi sur la protection des renseignements personnels. En outre, le fait d’avoir la latitude de communiquer de l’information dans l’intérêt public permettrait de communiquer plus rapidement des renseignements pertinents, plutôt que de devoir attendre la fin de l’année sur laquelle porte le rapport, lorsque l’information risque d’être devenue sans portée pratique, dépassée et, dans une large mesure, dépourvue de pertinence.

Sensibiliser les Canadiennes et les Canadiens

Renforcer la capacité de présenter des rapports fait partie intégrante d’un mandat important en matière de sensibilisation du public. Aux termes de la LPRPDÉ,le mandat de sensibiliser le public est assorti du pouvoir de communiquer de l’information concernant les pratiques de gestion des renseignements personnels d’un organisme si la commissaire juge qu’il est dans l’intérêt public de le faire.

Conserver la confiance du public

Le pouvoir de présenter des rapports que confère la LPRPDÉ a été un outil extrêmement utile pour le Commissariat. Il lui a permis d’améliorer la compréhension du public, de lui fournir des garanties et de rétablir la confiance de la population, quand il le fallait. Le pouvoir de communiquer de l’information dans l’intérêt public a été utilisé de manière responsable et judicieuse par le Commissariat, en tenant dûment compte des divers intérêts en jeu.

Recommandation numéro 6

 

Contexte

En 2006, quand le CPVP a demandé et obtenu du financement supplémentaire, on espérait que l’apport généreux de nouvelles ressources permettrait au Commissariat de réduire les délais prolongés et persistants associés à l’obligation de faire enquête sur toutes les plaintes individuelles dont il est saisi et l’aiderait à concentrer davantage ses efforts sur les menaces à la vie privée plus systémiques et envahissantes qui planent sur l’ensemble de la société moderne. Malgré les progrès réalisés à ce jour par le CPVP et la détermination de ses responsables à poursuivre dans cette voie, les précieuses ressources du Commissariat sont toujours consacrées de façon disproportionnée à l’ouverture de dossiers de plaintes individuels et à la tenue des enquêtes connexes, selon le principe du premier arrivé, premier servi. Le gaspillage des ressources publiques est particulièrement déplorable dans les cas où la plainte semble sans fondement, où la question principale ne se rapporte manifestement pas à la protection de la vie privée, mais plutôt à d’autres types de conflit entre les parties, où l’intervention du Commissariat ne serait d’aucune utilité et où la tenue d’une enquête exhaustive ne servirait en rien l’intérêt public.

La tenue d’enquêtes ou de nouvelles enquêtes ne donne pas de résultats réellement concluants dans les cas suivants, qui constituent des exemples concrets de plaintes reçues par le CPVP :

1. Plaintes répétitives concernant des litiges qui, manifestement, ont déjà été tranchés dans des affaires antérieures (p. ex. concernant la collecte et l’utilisation légitimes des numéros d’assurance sociale).
2. Plaintes devenues sans objet, dans le cas où une personne a, dans l’intervalle, reçu l’information demandée (p. ex. lorsque l’accès a déjà été accordé, quoiqu’avec un certain retard, rigoureusement parlant, mais sans que cela ne désavantage la personne).
3. Plaintes fréquentes déposées par une même personne qui a de toute évidence des motifs personnels de critiquer une institution gouvernementale (p. ex. lorsque des litiges touchant le travail ou l’emploi constituent le réel motif du conflit entre les parties et que le conflit en question pourrait être réglé plus efficacement grâce à d’autres procédures plus appropriées).
4. Plaintes multiples déposées par un grand nombre de plaignants concernant un même incident (p. ex. atteinte à la sécurité de données contenant des renseignements personnels portant sur un grand nombre de personnes, lorsque l’incident est déjà bien documenté et qu’une nouvelle enquête ne permettrait que de confirmer des faits déjà connus).
5. Problèmes qui ont déjà été recensés et réglés par une institution gouvernementale (p. ex. des mesures correctives efficaces ont déjà été prises).

Justification

Une utilisation plus efficace des ressources limitées

Si elle bénéficiait de pouvoirs discrétionnaires accrus dès le début du processus de sélection, la commissaire pourrait concentrer les ressources limitées dont elle dispose au traitement des plaintes qui révèlent des problèmes systémiques ayant des répercussions plus importantes et plus étendues sur la gestion des renseignements personnels à l’échelle du gouvernement fédéral.

Traditionnellement, les problèmes liés à la protection de la vie privée soumis au système de gestion des plaintes individuelles résultaient d’échanges d’information distincts entre les particuliers et leur gouvernement. De nos jours, les grands problèmes liés à la protection de la vie privée découlent de menaces plus systémiques résultant de l’empiètement de la sécurité nationale et des mesures d’application de la loi, des nombreux échanges transfrontaliers de données, des programmes sophistiqués de forage et de couplage de données et des technologies de l’information en progression rapide, notamment celles liées à Internet. Ces menaces totalement nouvelles se répercutent quotidiennement et profondément sur l’ensemble de la société, et de façon si complexe et opaque que, dans la plupart des cas, le citoyen ordinaire ne peut même pas s‘en rendre compte, et encore moins s’en plaindre.

Les responsables de la protection des données du monde entier admettent qu’ils doivent de plus en plus s’efforcer de parer à ces menaces massives à la source, à mesure qu’elles surgissent, au lieu d’attendre qu’un particulier dépose à cet égard une plainte qui sera traitée une fois parvenue en haut de la liste d’attente. Au Canada et ailleurs dans le monde, de nombreux responsables de la protection des données sont également confrontés à ce problème au moment de traiter indifféremment toutes les plaintes qui leur parviennent, sans pouvoir rejeter ou abandonner certaines d’entre elles d’emblée, lorsque la tenue ou la poursuite d’une enquête ne servirait en rien l’intérêt public. Nous sommes tous préoccupés par les coûts liés à la tenue d’enquêtes inutiles et par les coûts de renonciation correspondants liés à l’impossibilité de traiter plus efficacement le nombre croissant de problèmes systémiques beaucoup plus profonds qui constituent une menace bien plus importante à la protection de la vie privée.

Des ressources d’enquête consacrées aux enjeux liés à la protection des renseignements personnels présentant un intérêt public plus large

Le commissaire du Royaume-Uni a récemment demandé au Parlement britannique le droit de ne faire enquête que dans les cas où l’intérêt public est en jeu. Dans le même ordre d’idées, la Federal Trade Commission (FTC) des États-Unis n’accepte pas les plaintes des particuliers, mais les utilise pour repérer des problèmes systémiques qui justifient une intervention. Ici, au Canada, la Loi canadienne sur les droits de la personne, la Loi sur la protection des fonctionnaires divulgateurs d'actes répréhensibles et la Loi fédérale sur la responsabilité, de même que laLoi sur le secteur privé du Québec, autorisent les commissaires à refuser d’examiner une affaire ou à interrompre une enquête dans le cas d’une demande frivole, faite de mauvaise foi ou qui pourrait être traitée plus efficacement par une autre instance, ou lorsqu’une enquête ne serait manifestement pas utile^{Note de bas de page 5}. En novembre 2007, le Comité d’examen spécial de l’Alberta a recommandé qu’un amendement soit apporté à la Personal Information Protection Act de l’Alberta afin de fournir au commissaire le pouvoir explicite d’interrompre une enquête ou un examen lorsqu’il estime que la plainte ou la demande d’examen n’est pas fondée ou lorsque les éléments de preuve ne justifient pas la tenue d’une enquête^{Note de bas de page 6}. Plus récemment, le Comité d’examen spécial de la Colombie-Britannique a recommandé de modifier la Personal Information Protection Act de la Colombie-Britannique de façon identique et d’y préciser plus explicitement que le commissaire a le pouvoir discrétionnaire de refuser de traiter une demande de renseignements dans certaines circonstances et de choisir, en faisant preuve de diligence raisonnable, la procédure à adopter^{Note de bas de page 7}.

Le CPVP demande au Comité de recommander l’octroi à la commissaire d’un pouvoir discrétionnaire semblable, qui lui laisserait plus de latitude pour refuser d’entrée de jeu les plaintes ou les abandonner rapidement s’il s’avère qu’une enquête ne serait d’aucune utilité. Le Commissariat pourrait ainsi concentrer ses ressources d’enquêtes sur des problèmes liés à la vie privée présentant un plus grand intérêt pour le public. Le CPVP a demandé au gouvernement de lui conférer ce pouvoir discrétionnaire dans la LPRPDÉ, et il serait tout à fait logique que les deux lois contiennent des dispositions semblables à cet égard.

Recommandation numéro 7

 

Contexte

La définition des renseignements personnels fournie par la Loi sur la protection des renseignements personnels ne couvre que les renseignements consignés. Pour l’instant, les renseignements contenus dans l’ADN et dans d’autres échantillons biologiques n’entrent pas expressément dans cette catégorie. Il en va autrement pour la LPRPDÉ, dont dans la définition inclut tous les renseignements personnels, peu importe leur forme. Les nouvelles lois canadiennes sur la protection des renseignements personnels dans le secteur de la santé incluent également dans cette catégorie les renseignements personnels non consignés. Cette définition plus large et plus moderne permet d’assurer la protection de la vie privée des Canadiennes et des Canadiens dans un monde en constante évolution, axé sur la technologie.

Justification

Intégrer la réalité d’aujourd’hui dans la Loi sur la protection des renseignements personnels

La définition de renseignements personnels qui figure actuellement dans la Loi sur la protection des renseignements personnels est désuète. Les renseignements non consignés, comme ceux que les caméras de surveillance permettent de recueillir, mais pas d’enregistrer, au sujet des personnes qui traversent les frontières et des allées et venues des employés du gouvernement excèdent la portée de la Loi sur la protection des renseignements personnels. Dans un monde qui semble de plus en plus petit, il est important que les citoyens demeurent libres de vaquer à leurs occupations quotidiennes dans l’anonymat. Avec la succession rapide des changements technologiques, les gouvernements utilisent des méthodes de plus en plus sophistiquées pour surveiller les Canadiennes et les Canadiens à leur travail et dans la rue.

De la même manière, les renseignements personnels comme l’ADN ou d’autres échantillons de tissus humains ne sont pas couverts. Or, l’utilisation de ces renseignements non consignés peut permettre l’obtention d’informations intelligibles sur des personnes identifiables. Ces renseignements devraient donc être protégés par la loi.

Uniformiser la définition des renseignements personnels

Les dispositions législatives modernes sur la protection des renseignements personnels, comme la LPRPDÉ et les lois provinciales sur la protection des renseignements personnels dans le secteur privé s’appliquent tout autant aux renseignements consignés qu’aux renseignements non consignés. Par exemple, une entreprise de sécurité des Territoires du Nord-Ouest a installé, sur le toit de son immeuble, quatre caméras de sécurité dirigées vers une intersection principale, à Yellowknife. Pendant plusieurs jours, 24 heures sur 24, des employés ont surveillé ce qui se passait et ont signalé certains incidents à la police locale. Le but de la surveillance était de faire une démonstration des services de l’entreprise et d’attirer les clients.

Bien que les protestations du public aient rapidement mis fin à cette démonstration de surveillance vidéo, le CPVP avait le pouvoir de faire une enquête en vertu de la LPRPDÉ et a rendu des conclusions qui ont été utiles à d’autres organisations. Le CPVP a conclu que même si la surveillance des lieux publics pouvait être appropriée pour des raisons de sécurité, il fallait prouver que le besoin était réel, la surveillance devait être effectuée par une autorité publique légitime et il fallait respecter toutes les lois en matière de protection des renseignements personnels. La Loi sur la protection des renseignements personnels n’aurait pas permis de mener une enquête dans un cas pareil parce qu’aucun enregistrement vidéo n’a été produit. Une Loi sur la protection des renseignements personnels amendée devra tenir compte de l’imagerie numérique et des applications biométriques liées aux activités contemporaines de surveillance et de contrôle de l’exécution de la loi.

Recommandation numéro 8

 

Contexte

Le Secrétariat du Conseil du Trésor a publié en avril 2005 des lignes directrices à l’intention des institutions fédérales au sujet des rapports concernant la protection des renseignements personnels et il les a mises à jour en février 2008^{Note de bas de page 8}. Ces lignes directrices renforcent l’article 72 en exigeant que les administrateurs généraux soumettent des rapports détaillés sur un vaste éventail de responsabilités de gestion touchant la promotion et la protection de la vie privée dans les institutions fédérales.

Justification

Le besoin de renseignements plus substantiels

Notre expérience de l’examen des rapports produits conformément à l’article 72 au fil des années révèle que, dans l’ensemble, ils contiennent rarement des renseignements substantiels. À ce titre, leur utilité pour le Parlement, les Canadiennes et les Canadiens et le CPVP a été quelque peu limitée. Les rapports produits conformément à l’article 72 ont tendance à être un regroupement de statistiques relatives au nombre de demandes reçues en vertu de la Loi sur la protection des renseignements personnels, aux dispositions prises relativement aux demandes complétées, aux exemptions invoquées ou aux exclusions citées et aux délais de traitement.

L’intégration des lignes directrices du SCT à la Loi

Le CPVP est d’avis que la Loi sur la protection des renseignements personnels devrait être amendée et qu’il faudrait intégrer aux exigences législatives les lignes directrices déjà prévues par le Conseil du Trésor. Ces lignes directrices sont assez complètes et, entre autres, elles exigent que les institutions fédérales fournissent :

• une description de chaque ÉFVP complétée au cours de la période de déclaration;
• une indication du nombre de nouvelles activités de couplage et d’échange de données qui ont été entreprises;
• une description des activités d’apprentissage et de formation liées à la protection des renseignements personnels qui ont été entreprises;
• un sommaire des changements importants de la structure organisationnelle, des programmes, des opérations, ou des politiques qui peuvent avoir une incidence sur la protection des renseignements personnels;
• un aperçu des politiques et des procédures nouvelles ou révisées relatives à la protection des renseignements personnels qui ont été mises en œuvre;
• une description des principaux changements mis en œuvre en raison de préoccupations ou de problèmes soulevés par le CPVP ou le vérificateur général;
• de l’information sur les plaintes concernant la protection des renseignements personnels qui ont été réglées ou sur les enquêtes qui ont été conclues et un résumé des enjeux clés connexes;
• une indication du nombre de demandes ou d’appels présentés à la Cour fédérale ou à la Cour d'appel fédérale concernant des questions relevant de la Loi sur la protection des renseignements personnels.

Des avantages pour le Parlement, le CPVP et les Canadiennes et Canadiens

Les lignes directrices du Conseil du Trésor auraient plus de poids et d’autorité si leurs dispositions étaient rendues obligatoires par la Loi sur la protection des renseignements personnels. Les comités parlementaires seraient mieux en mesure de s’acquitter de leurs responsabilités touchant l’examen des pratiques de gestion des renseignements personnels du gouvernement fédéral dans le contexte plus large de l’examen du rendement des ministères. Une couverture plus complète des enjeux relatifs à la gestion de la vie privée fournirait aux parlementaires l’information pertinente pour évaluer la mesure dans laquelle les institutions gouvernementales font face aux nouveaux défis relatifs à la protection des renseignements personnels, et si les programmes ou les initiatives en cours peuvent menacer le droit des citoyens à la vie privée. Les Canadiennes et les Canadiens seraient eux aussi mieux informés sur la façon dont leurs renseignements personnels, leurs demandes d’information ou leurs plaintes sont traités par les ministères et organismes gouvernementaux. Le CPVP pourrait mieux exercer son mandat, pour le bénéfice du Parlement et de l’ensemble des Canadiennes et des Canadiens.

Recommandation numéro 9

 

Contexte

Actuellement, la Loi sur la protection des renseignements personnels ne fait l’objet d’aucun examen périodique obligatoire visant à garantir son évolution et son adaptation constante aux réalités et aux défis contemporains. En guise de comparaison, l’article 29 de la LPRPDÉ exige que la première partie de cette loi soit examinée tous les cinq ans par un comité de la Chambre des communes ou des deux chambres du Parlement, lequel peut être désigné ou établi par le Parlement à cette fin. Un certain nombre de provinces exigent elles aussi l’examen législatif régulier de leur loi sur la protection des renseignements personnels dans le secteur public.

Bien que l’examen prévu par la Loi sur la protection des renseignements personnels ait eu lieu en 1987, ni les recommandations formulées dans le rapport intitulé Une question à deux volets ni les témoignages entendus par le Comité permanent de la justice n’ont eu de suite^{Note de bas de page 9}. Le CPVP a à maintes reprises insisté sur la nécessité de tenir un débat public éclairé sur les lois en matière de protection des renseignements personnels, qu’elles s’appliquent aux activités gouvernementales ou aux activités du secteur privé. Les discussions sur la protection des renseignements personnels ont été sporadiques et ciblées depuis l’examen de 1987; il y a eu de très brèves consultations sur les enjeux concernant le commerce électronique avant l’adoption de la LPRPDÉet une seule série d’audiences du comité du Sénat sur la proposition de charte du droit à la vie privée de la sénatrice Sheila Finestone en 1995-1996^{Note de bas de page 10}.

Justification

Harmoniser le cadre de protection des données dans l’ensemble des administrations du Canada

L’harmonisation entre les lois des secteurs privé et public, à l’échelle fédérale et entre les lois fédérale et provinciales est un objectif tout à fait louable du régime de protection de la vie privée au Canada, partout où cela est possible. Obliger les représentants du gouvernement à effectuer un examen régulier des lois serait d’une grande aide à ce sujet, puisque les faits nouveaux touchant les divers échelons du gouvernement seraient plus facilement pris en compte.

Veiller à ce que la Loi sur la protection des renseignements personnels suive le rythme des technologies évoluant rapidement et des tendances internationales

La Loi sur la protection des renseignements personnels sert de source commune d’information entre les Canadiennes et les Canadiens et leur gouvernement; toutefois, comme l’ont révélé les examens précédents, il y a un risque réel que cette loi perde toute pertinence, car les nouveaux programmes, les nouvelles technologies et les nouvelles pratiques en matière de données ne sont pas surveillés. Un débat national sérieux et soutenu est maintenant nécessaire afin de renouveler la Loi sur la protection des renseignements personnels en tenant compte de l’environnement numérique et en réseau qui existe à présent au Canada. Le cyberespace relevait de la science-fiction quand la Loi sur la protection des renseignements personnels est entrée en vigueur, il y a 25 ans; aujourd’hui, Internet et les appareils numériques façonnent notre identité, notre vie professionnelle et notre sphère personnelle d’une nouvelle façon chaque jour.

En résumé, un examen quinquennal obligatoire servirait à trois fins. Il aiderait à synchroniser tous les cadres canadiens de protection des données dans toutes les administrations; il ferait en sorte que les décideurs canadiens et l’industrie canadienne gardent à l’esprit les pratiques en matière de protection des renseignements personnels de tous les organismes des secteurs privé et public; il garantirait que la loi fédérale reste adaptée aux technologies, qui évoluent rapidement, et aux tendances internationales.

Recommandation numéro 10

 

Contexte

Grâce aux progrès technologiques des deux dernières décennies, il est maintenant plus facile et plus abordable pour les gouvernements de recueillir et de conserver des renseignements personnels concernant leurs citoyens. Parallèlement, la communication des renseignements entre les nations a augmenté de façon marquée, car les gouvernements ont adopté des approches plus coordonnées pour réglementer le déplacement des personnes et des biens et lutter contre les crimes transnationaux et le terrorisme international. Plus particulièrement, la plus grande communication d’information a été une stratégie clé dans l’amélioration de l’analyse des renseignements depuis septembre 2001.

Donnons quelques exemples : l’Agence des services frontaliers du Canada communique des renseignements douaniers et des informations sur les voyageurs entrant au Canada; le Centre d’analyse des opérations et déclarations financières (CANAFE) a conclu avec d’autres unités de renseignements financiers plus de 40 ententes de communication des renseignements concernant des personnes soupçonnées de faire du blanchiment d’argent ou de financer des activités terroristes; le Canada a négocié des Traités d’entraide juridique avec plusieurs pays; les organismes responsables de l’application de la loi et de la sécurité nationale communiquent leurs renseignements à leurs homologues internationaux de façon régulière.

Cependant, la Loi sur la protection des renseignements personnels ne reflète pas cette augmentation de la communication internationale des renseignements. Elle ne prévoit que deux restrictions à la communication de renseignements personnels aux gouvernements étrangers : une entente ou un arrangement doit exister, et les renseignements personnels doivent être utilisés à des fins d’administration ou d’application d’une loi ou d’exécution d’une enquête. La Loi sur la protection des renseignements personnels n’exige même pas que l’entente soit écrite. Elle n’impose pas aux institutions qui communiquent des renseignements l’obligation d’établir l’utilisation précise pour laquelle les données seront communiquées, de limiter son utilisation subséquente par le gouvernement étranger à cette fin, de limiter la quantité de renseignements personnels communiqués et de restreindre la communication à des tierces parties. De plus, la Loi sur la protection des renseignements personnels n’impose même pas à l’institution du gouvernement canadien elle-même l’obligation de base de sauvegarder de façon appropriée les renseignements personnels.

Tel qu’indiqué dans le rapport annuel du CPVP de 2002-2003, le Commissariat a effectué un examen préliminaire de 21 ententes de communication des renseignements entre le Canada et les États-Unis. Il a conclu qu’environ un tiers seulement avaient été raisonnablement bien rédigées. Pour ne mentionner que deux lacunes, plusieurs des ententes ne décrivaient pas les renseignements personnels à communiquer ou n’incluaient pas de mise en garde contre les tiers, c'est-à-dire un énoncé précisant que les renseignements reçus en vertu de l’entente ne seront pas communiqués à une tierce partie sans le consentement écrit préalable de la partie ayant fourni les renseignements.

Justification

Mise en place de normes sur la communication des renseignements personnels

Les conséquences de la communication des renseignements personnels sans contrôles appropriés sont clairement exposées dans le rapport sur les faits rédigé par le juge O’Connor au sujet de la Commission d’enquête sur les actions des responsables canadiens relativement à Maher Arar. Le juge O’Connor a conclu qu’il était très probable que, en prenant la décision de détenir M. Arar et de le renvoyer en Syrie, les autorités américaines se sont fondées sur des renseignements inexacts concernant M. Arar fournis par la GRC.

Le manque de normes régissant la communication des renseignements personnels par les représentants canadiens a également été abordé lors d’une audience publique en janvier 2008, dans le cadre des travaux actuellement menés par l’ancien juge de la Cour suprême du Canada, M. Iacobucci, relativement à l’Enquête interne sur les actions des responsables canadiens relativement à Abdullah Almalki, Ahmad Abou-Elmaati et Muayyed Nureddin.

Réduction au minimum des risques pour les Canadiennes et les Canadiens grâce à une définition claire des responsabilités

Afin de réduire au minimum les risques pour les Canadiennes et les Canadiens découlant de cette augmentation de la communication des renseignements, le CPVP croit que le gouvernement du Canada et le Parlement devraient envisager de prendre des dispositions particulières pour définir les responsabilités de ceux qui transmettent des renseignements personnels à d’autres administrations et pour aborder la question de l’efficacité de la protection des renseignements personnels dans ces administrations.

Prescription de la forme et du contenu des ententes de communication des renseignements

Le Secrétariat du Conseil du Trésor a élaboré des lignes directrices établissant les éléments qu’une entente ou un arrangement écrit devrait contenir. Ces lignes directrices sont une première étape positive, qui devrait être officialisée soit dans la législation, soit en amendant l’article 77 de la Loi sur la protection des renseignements personnels afin d’incorporer une disposition permettant au gouverneur en conseil de prendre des règlements prescrivant la forme et le contenu des ententes de communication des renseignements personnels.

Limitation de la communication des renseignements personnels

De plus, l’alinéa 8(2)f) devrait être modifié pour prévoir que les renseignements personnels ne peuvent être communiqués qu’à des fins d’administration ou d’exécution d’une loi ayant un lien raisonnable et direct avec la fin pour laquelle les renseignements ont été initialement obtenus.