Projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (la Loi sur la protection des renseignements personnels numériques)

Mémoire présenté au Comité permanent de l’industrie, des sciences et de la technologie

Le 12 février 2015

Monsieur David Sweet, député
Président du Comité permanent de l’industrie, des sciences et de la technologie
131, rue Queen, 6e étage
Ottawa (Ontario)  K1A 0A6

Monsieur,

En juin 2014, le Commissariat à la protection de la vie privée a présenté, à l’invitation du Comité, un mémoire devant le Comité des transports et des communications du Sénat au sujet du projet de loi S-4, Loi modifiant la Loi sur la protection des renseignements personnels et les documents électroniques et une autre loi en conséquence (la Loi sur la protection des renseignements personnels numériques). Le mémoire est disponible sur notre site Web.

Même si le mémoire a été rédigé avant ma nomination à titre de commissaire, j’appuie son contenu et je serais très heureux si le projet de loi S-4 était adopté. Cependant, en raison des discussions sur le projet de loi S-4 au Comité sénatorial et à la lumière de l’arrêt fondamental rendu par la Cour suprême dans R. c. Spencer (« Spencer »), j’aimerais ajouter quelques remarques sur deux sujets.

La présente lettre modifie et étoffe le mémoire du Commissariat à l’intention du Sénat en ce qui a trait aux alinéas 7(3)d.1) et d.2) proposés et, à la lumière de l’arrêt Spencer, elle souligne le besoin de faire en sorte que les communications découlant de l’alinéa 7(3)c.1) respectent cet arrêt.

Le régime existant pour les organismes d’enquête

Le projet de loi S-4 propose d’ajouter deux nouveaux alinéas, 7(3)d.1) et 7(3)d.2), pour permettre à une organisation de communiquer des renseignements personnels à une autre organisation sans le consentement de l’intéressé si :

• la communication est raisonnable en vue d’une enquête sur la violation d’un accord ou sur la contravention au droit fédéral ou provincial qui a été commise ou est en train ou sur le point de l’être, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait l’enquête;
• la communication est raisonnable en vue de la détection d’une fraude ou de sa suppression ou en vue de la prévention d’une fraude dont la commission est vraisemblable, s’il est raisonnable de s’attendre à ce que la communication effectuée au su ou avec le consentement de l’intéressé compromettrait la capacité de prévenir la fraude, de la détecter ou d’y mettre fin.

On propose ces alinéas pour remplacer la disposition actuelle sur l’« organisme d’enquête » à l’alinéa 7(3)d) qui permet à une organisation de communiquer des renseignements personnels, à l’insu de l’intéressé ou sans son consentement, à un organisme d’enquête s’il y « a des motifs raisonnables de croire que le renseignement est afférent à la violation d’un accord ou à une contravention au droit fédéral, provincial ou étranger qui a été commise ou est en train ou sur le point de l’être ». Aussi, conformément au régime existant, un alinéa distinct, 7(3)h.2), permet en retour à un organisme d’enquête de communiquer des renseignements personnels lorsque cela « est raisonnable à des fins liées à une enquête sur la violation d’un accord ou la contravention du droit fédéral ou provincial ».

Même s’il n’est pas parfait, le régime actuel comprend au moins d’importants mécanismes de responsabilisation pour les organismes d’enquête :

• Les organisations qui veulent obtenir le statut d’organisme d’enquête doivent justifier leur besoin de mener des enquêtes dans le cadre de la réalisation de leur mandat;
• Une tierce partie (Industrie Canada) examine les demandes des organisations qui veulent obtenir le statut d’organisme d’enquête à qui on peut communiquer des renseignements personnels sans le consentement de l’intéressé;
• Le gouverneur en conseil, conformément à l’alinéa 26(1)a.01), doit désigner ces organisations en tant qu’organisme d’enquête par le truchement du processus réglementaire, ce qui permet à d’autres parties de faire des commentaires;
• Une liste des organismes d’enquête est accessible publiquement en tout temps.

Ces mécanismes fournissent un certain niveau de transparence et permettent d’atteindre un équilibre entre le besoin des organisations de protéger leurs intérêts commerciaux légitimes et le droit à la vie privée des personnes, en s’assurant que de telles communications de renseignements personnels sont limitées à des organismes précis, y compris les organismes de réglementation, chargés de mener des enquêtes. De plus, il est indiqué clairement à l’alinéa 7(3)d) que les communications de renseignements sans le consentement de l’intéressé se font à l’« initiative » de l’organisation responsable de la communication (je souligne) et non pas à la demande de l’organisme d’enquête.

Alinéas 7(3)d.1) et d.2)

Les mécanismes dont il est question ci-dessus ne seraient pas transférés dans les alinéas 7(3)d.1) ou d.2). Les modifications proposées permettent la communication de renseignements en fonction d’un seuil inférieur (« raisonnable en vue » d’une enquête sur la violation d’un accord ou sur la contravention au droit plutôt que « motifs raisonnables de croire » que l’information est liée à une violation ou contravention) et pour des fins plus diverses (y compris pour « prévenir la fraude, […] la détecter ou [y] mettre fin »).

Permettre la communication de renseignements sans le consentement de l’intéressé à une autre organisation pour « prévenir la fraude, […] la détecter ou [y] mettre fin », sans avoir de motifs raisonnables de croire que la fraude est réellement un problème, pourrait ouvrir la voie à des communications généralisées et à l’échange routinier de renseignements personnels entre les organisations sur la base d’un risque hypothétique de fraude. Par exemple, cela pourrait mener à des recherches à l’aveuglette pour obtenir des renseignements sur des particuliers en raison de simples soupçons. De plus, si la transparence du régime sur les organismes d’enquête disparaît, il n’y aura plus de mécanisme pour cerner à quelles organisations les renseignements personnels sont communiqués ou pour déterminer l’usage général qui en sera fait, en fonction du mandat de l’organisme.

Notre recommandation pour les alinéas d.1) et d.2)

Pour résumer, s’ils sont adoptés, les alinéas 7(3)d.1) et d.2) permettront éventuellement à un plus grand nombre d’organisations non définies de recevoir des renseignements personnels sans le consentement de l’intéressé pour un plus grand éventail de fins, et ce, en fonction d’un seuil inférieur à celui actuellement en vigueur. De plus, le régime existant pour les organismes d’enquête fournit une certaine transparence et une certaine responsabilisation qui seraient perdues avec l’adoption du projet de loi S-4.

En conséquence, nous ne pouvons pas appuyer l’adoption des deux alinéas dans leur forme actuelle. Bien que nous comprenions que les organisations doivent pouvoir compter sur des dispositions pour éviter la fraude, la solution proposée a une portée trop large. Nous recommandons donc que les alinéas 7(3)d.1) et d.2) soient retirés du projet de loi et que le régime actuel de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) pour les organismes d’enquête soit maintenu.

Cependant, si le gouvernement demeure résolu à éliminer le régime actuel pour les organismes d’enquête, nous recommandons que les seuils et les fins actuellement énoncés à l’alinéa 7(3)d) de la LPRPDE figurent dans les nouvelles dispositions 7(3)d.1) et d.2), et qu’un mécanisme soit ajouté pour assurer la transparence :

• le seuil en vertu de l’alinéa 7(3)d.1) devrait être basé sur des « motifs raisonnables de croire » que l’information est liée à une véritable violation ou contravention;
• le seuil en vertu de l’alinéa 7(3)d.2) devrait être basé sur des « motifs raisonnables de croire » que l’information est liée à la détection ou la répression d’une fraude qui « a été commise ou est en train ou sur le point de l’être »;
• les communications de renseignements en vertu des alinéas 7(3)d.1) et d.2) devraient seulement se faire à l’initiative de l’organisation responsable de la communication et non pas à la demande d’une organisation;
• afin d’améliorer la transparence et la responsabilisation, l’organisation responsable de la communication devrait être obligée de faire preuve de la diligence requise, et de bien documenter toutes ses communications pour s’assurer qu’elles respectent les exigences de la Loi.

Pour développer le dernier point, on devrait exiger que les organisations responsables de la communication produisent des rapports publics sur le nombre de communications faites et sur le type d’organisations y participant. On devrait aussi exiger que les organisations responsables de la communication documentent l’analyse menée pour décider de communiquer les renseignements en vertu de cette disposition. Ces mécanismes aideraient à tenir les organisations responsables de leurs communications, qui autrement passeraient inaperçues.

L’arrêt Spencer et les communications en vertu de l’alinéa 7(3)c.1)

En vertu de l’alinéa 7(3)c.1), une organisation assujettie à la LPRPDE peut communiquer les renseignements personnels d’un particulier à l’insu de l’intéressé et sans son consentement si la communication est faite à une institution gouvernementale qui a demandé à obtenir les renseignements en mentionnant la source de l’« autorité légitime » étayant son droit de l’obtenir et le fait à une fin précisée. Lors de notre témoignage devant le Sénat en juin dernier, nous avons demandé qu’on apporte une autre modification à la LPRPDE afin d’exiger que les organisations fassent état annuellement du nombre de communications discrétionnaires qu’elles font en vertu de l’alinéa 7(3)c.1), et ce, afin d’augmenter la transparence et la responsabilisation à l’égard de la population canadienne.

Après notre témoignage devant le Sénat, la Cour suprême du Canada a publié l’arrêt R. c. Spencer, ce qui nous amène à présenter d’autres remarques en ce qui a trait à l’alinéa 7(3)c.1) de la LPRPDE. Dans sa décision unanime, la Cour suprême a soutenu que l’« autorité légitime » au sens de l’alinéa 7(3)c.1) doit signifier autre chose qu’une assignation ou un mandat, puisque ceux-ci font déjà l’objet d’une disposition à l’alinéa 7(3)c). À l’alinéa 7(3)c.1) on permet la communication de renseignements sans mandat à une institution gouvernementale qui mentionne la source de l’« autorité légitime » pour obtenir les renseignements, mais l’alinéa, en lui-même, ne crée pas pour les institutions gouvernementales ou ne leur fournit pas de pouvoir de perquisition et de saisie sans mandat. Plutôt, l’« autorité légitime » doit trouver sa source à l’extérieur de la LPRPDE et peut inclure l’autorisation donnée par une loi raisonnable, une autorisation de la police de mener une perquisition sans mandat dans des circonstances contraignantes, ou le pouvoir conféré à la police par la common law permettant de poser des questions sur des sujets qui ne font pas l’objet d’une attente raisonnable en matière de respect de la vie privée.

Bien que les organisations assujetties à la LPRPDE puissent être en mesure de vérifier l’existence d’une « autorité légitime » conformément à une loi raisonnable ou dans un cas relativement clair de circonstances contraignantes, pouvoir évaluer si les renseignements personnels font l’objet d’une « attente raisonnable en matière de respect de la vie privée » est un travail d’une toute autre envergure.

Il est très complexe de mener une analyse sur l’attente raisonnable en matière de respect de la vie privée, et cela dépend grandement du contexte. Comme l’a déterminé la Cour suprême du Canada, une analyse sur l’attente raisonnable en matière de respect de la vie privée porte non seulement sur les renseignements précis qu’on cherche à obtenir, mais aussi sur leur potentiel à dévoiler d’autres renseignements personnels au sujet d’une personne. Cette analyse est encore plus difficile à faire dans le cadre d’activités en ligne et comme l’a souligné la Cour : « les dispositions de la LPRPDE ne sont pas très utiles pour déterminer s’il existe une attente raisonnable en matière de vie privée […] ».  

Ainsi, les organisations sont plongées dans l’incertitude et l’ambiguïté lorsqu’il s’agit de savoir quand elles peuvent communiquer des renseignements personnels sans mandat. Plus précisément, elles ont la tâche difficile de déterminer si les responsables de l’application de la loi exercent correctement le pouvoir qui leur est conféré par la common law de poser des questions sur des sujets qui ne font pas l’objet d’une attente raisonnable en matière de respect de la vie privée.

Les fournisseurs de services de télécommunication semblent réagir de façons différentes à l’arrêt Spencer. Certains fournisseurs exigent une autorisation légale pour communiquer tout renseignement de base sur leurs abonnés, sauf dans des urgences où il y a danger de mort. Pour leur part, les organismes d’application de la loi et les institutions gouvernementales semblent avoir des pratiques très variables lorsqu’il s’agit de faire et documenter des demandes d’accès aux renseignements sans mandat en vertu de l’alinéa 7(3)c.1), et ces pratiques pourraient diverger encore plus après l’arrêt Spencer. Les particuliers ne savent donc pas dans quelles circonstances leurs renseignements personnels peuvent être communiqués aux autorités gouvernementales sans leur consentement ou sans autorisation judiciaire préalable.

Nous demandons donc au Comité de recommander de mettre fin à une telle ambiguïté en clarifiant, à la lumière de l’arrêt Spencer, dans quelles circonstances les pouvoirs conférés à la police par la common law pour obtenir des renseignements sans mandat peuvent être utilisés.

Je suis d’avis qu’un cadre juridique, basé sur l’arrêt Spencer, est nécessaire à des fins de clarté et d’orientation afin d’aider les organisations à respecter la LPRPDE et pour s’assurer que les autorités gouvernementales respectent l’arrêt de la Cour suprême du Canada. Un tel cadre fournirait à la population canadienne plus de transparence au sujet de la communication de renseignements personnels par le secteur privé aux organisations gouvernementales.

Dans notre mémoire au Sénat sur le projet de loi C-13, la Loi sur la protection des Canadiens contre la cybercriminalité, nous recommandions que le projet de loi soit modifié pour refléter l’arrêt R. c. Spencer. Plus précisément, nous recommandions que la nouvelle clause d’immunité proposée dans le projet de loi C-13 énonce explicitement que les communications discrétionnaires aux responsables de l’application de la loi et aux autres représentants du gouvernement à la suite d’une demande sans mandat soient permises uniquement en cas de circonstances contraignantes, ou lorsqu’elles s’effectuent conformément à une loi raisonnable, ou dans des circonstances prescrites où les renseignements personnels ne font pas l’objet d’une attente raisonnable en matière de respect de la vie privée. 

Le projet de loi C-13 a reçu la sanction royale le 9 décembre 2014, sans amendements. Je recommande que le Parlement atteigne ce même objectif de clarté, de certitude et de transparence par un autre moyen, soit en ajoutant une disposition de clarification dans la LPRPDE qui définirait l’expression « autorité légitime » aux fins de l’alinéa 7(3)c.1) de la même manière que j’ai proposé ci-haut, c'est-à-dire lors de circonstances contraignantes, conformément à une loi raisonnable autre que l’alinéa 7(3)c.1) de la LPRPDE^{Note de bas de page 1}, ou dans des circonstances prescrites où les renseignements personnels ne font pas l’objet d’une attente raisonnable en matière de respect de la vie privée.

Améliorer la transparence des communications

Dans notre mémoire au Sénat au sujet du projet de loi S-4, en juin 2014, nous avons formulé des commentaires sur la nécessité d’une plus grande transparence en ce qui a trait aux communications faites sans le consentement de l’intéressé par des organisations à la demande d’une institution gouvernementale ou d’une section d’une institution gouvernementale. L’arrêt Spencer réitère l’importance de la transparence; une plus grande transparence constitue un moyen d’assurer le respect de l’esprit et de l’intention de l’arrêt de la Cour suprême.

Certains fournisseurs de services de télécommunication canadiens publient désormais des « rapports sur la transparence » dans lesquels ils indiquent le nombre de demandes qu’ils ont reçues des ministères et des organismes gouvernementaux afin d’obtenir des renseignements sur leurs abonnés. Voilà un premier pas dans la bonne direction, mais qui ne concerne qu’un secteur de l’économie.

Nous sommes toujours d’avis qu’une plus grande transparence est nécessaire et que toutes les organisations assujetties à la LPRPDE devraient, au moins, être tenues de conserver un dossier des renseignements de base liés à de telles communications et être tenues d’afficher publiquement, de façon régulière, le nombre de ces communications qui ont été faites avec ou sans mandat. Cette exigence de rapports publics devient encore plus importante en raison de la portée très large des nouveaux pouvoirs d’enquête conférés aux fonctionnaires publics en vertu du projet de loi C-13 récemment adopté, et elle viendrait compléter le Rapport annuel sur la surveillance électronique, déposé annuellement au Parlement depuis 1977.

Conclusion

En général, le dépôt du projet de loi S-4 est une mesure positive pour la protection de la vie privée au Canada. La LPRPDE a été rédigée au 20e siècle; elle date de plus d’une décennie. Du point de vue de la protection des renseignements personnels, le monde a changé radicalement pendant cette période relativement courte. L’adoption du projet de loi S-4 avec quelques amendements renforcera la LPRPDE et aidera le Commissariat à la protection de la vie privée à mieux protéger la population canadienne tout en traitant les nouvelles questions touchant la protection de la vie privée au 21e siècle.

Veuillez agréer, Monsieur, l’expression de mes sentiments distingués.

Le commissaire,