Réforme de la Loi sur la protection des renseignements personnels à une époque de changements et de transparence

La lettre sur cette page a été transmise le 22 mars 2016 par le commissaire à la protection de la vie privée du Canada, Daniel Therrien, au président du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Elle affronte de nombreux recommandations du commissaire concernant des modifications à la Loi sur la protection des renseignements personnels, laquelle porte sur les pratiques de traitement des renseignements personnels des ministères et des organismes fédéraux. La présente lettre approfondit ses commentaires présentés lors de sa comparution devant le Comité le 10 mars 2016, où il a donné un aperçu de sa position sur la modernisation de la Loi sur la protection des renseignements personnels. Pour de plus amples informations, voir : La déclaration prononcée par le commissaire devant le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique sur la réforme de la Loi sur la protection des renseignements personnels et le communiqué exposant dans leurs grandes lignes les recommandations du commissaire visant à moderniser la Loi sur la protection des renseignements personnels.

Lettre présentée au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

Le 22 mars 2016

Monsieur Blaine Calkins, député
Président, Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique
131, rue Queen, 6e étage
Chambre des communes
Ottawa (Ontario) K1A 0A6

Monsieur le Président,

Adressée à l’attention des membres du Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique, veuillez trouver ci-joint une lettre dans laquelle je recommande des amendements à la Loi sur la protection des renseignements personnels autour de trois thèmes (changements technologiques, modernisation des normes juridiques et transparence accrue) afin de pouvoir répondre activement aux risques existants et émergents liés à la protection de la vie privée d’aujourd’hui.

J’espère avoir l’occasion d’aider davantage le Comité à mener à bien cette importante revue de la Loi. N’hésitez pas à communiquer avec moi par l’intermédiaire de Pierre-Luc Simard, mon agent des affaires parlementaires, au 819-994-6015, pour prendre toutes les dispositions nécessaires.

Veuillez agréer, Monsieur le Président, l’expression de mes sentiments distingués.

Le commissaire,

(La version originale a été signée par)

Daniel Therrien

p.j.

c. c. Michel Marcotte
Greffier du Comité

Sommaire des recommandations

Pour maîtriser activement les risques actuels et émergents d’atteinte à la vie privée, il est nécessaire d’apporter des modifications à la Loi sur la protection des renseignements personnels. On trouvera ci-après un sommaire des modifications requises.

Thème un : Changements technologiques

1. Préciser les exigences concernant les ententes de communication de renseignements personnels :

Exiger que toutes les communications d’information visées par les alinéas 8(2)a) et f) de la Loi sur la protection des renseignements personnels soient régies par des accords écrits comprenant des éléments bien précis. En outre, tous les accords nouveaux ou modifiés devraient être soumis à l’examen du Commissariat à la protection de la vie privée du Canada (le Commissariat), et les accords existants devraient pouvoir être examinés sur demande. Enfin, il faudrait exiger que les ministères fassent preuve de transparence quant à l’existence de ces accords.

2. Obliger légalement les institutions gouvernementales à protéger les renseignements personnels : Obliger explicitement les institutions à protéger les renseignements personnels en prenant des mesures physiques, organisationnelles et technologiques correspondant au niveau de sensibilité des données.

3. Rendre obligatoire la déclaration des atteintes à la vie privée : Obliger explicitement les institutions gouvernementales à déclarer rapidement au Commissariat les atteintes substantielles à la sécurité des renseignements personnels et à en aviser les personnes touchées s’il y a lieu.

Thème deux : Modernisation des normes juridiques

4. Ne permettre la collecte des renseignements que lorsqu'elle est nécessaire à un programme ou une activité gouvernementale : Modifier l’article 4 de la Loi sur la protection des renseignements personnels de façon à exiger explicitement la conformité au critère de la nécessité dans le cadre de la collecte des renseignements, conformément aux autres lois sur la protection de la vie privée en vigueur au Canada et à l’étranger.

5. Accroître les motifs de recours devant la cour prévus à l’article 41 de la Loi : Modifier l’article 41 de la Loi de façon à ce que les personnes aient la possibilité d’exercer un recours devant la Cour fédérale aux fins de l’examen de toutes les plaintes déposées sous le régime de la Loi sur la protection des renseignements personnels, notamment en ce qui a trait à la collecte, à l’utilisation et à la communication, et conférer à la Cour le pouvoir d’ordonner une série de mesures de redressement, y compris pour dommages-intérêts.

6. Améliorer le modèle axé sur le recours à l’ombudsman pour l’examen des plaintes : Créer un modèle d’application de la loi hybride s’inspirant de la loi sur l’accès à l’information et la protection des renseignements personnels en vigueur à Terre-Neuve-et-Labrador.

7. Rendre obligatoire la préparation et la présentation au commissaire d'une évaluation des facteurs relatifs à la vie privée (EFVP) pour tous les programmes nouveaux ou ayant fait l’objet de modifications importantes.

8. Obliger les institutions gouvernementales à consulter le Commissariat au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant leur dépôt.

9. Confier au Commissariat un mandat explicite en matière d’éducation du public et de recherche : Ajouter à la Loi sur la protection des renseignements personnels une disposition confiant explicitement au commissaire à la protection de la vie privée le mandat d’entreprendre des activités d’éducation du public et de recherche sur des questions relatives à la protection de la vie privée dans le secteur public.

10. Exiger un examen de la Loi tous les cinq ans.

Thème trois : Accroître la transparence

11. Permettre au commissaire de rendre publiques les conclusions de ses enquêtes, en dehors du cadre des rapports annuels ou spéciaux, lorsque ces questions sont d’intérêt public : Modifier l’article 64 de la Loi sur la protection des renseignements personnels afin de créer une exception aux exigences de confidentialité, de manière à permettre au commissaire à la protection de la vie privée de rendre compte publiquement des questions relatives à la protection des renseignements personnels au sein du gouvernement lorsqu’il estime que cela est dans l’intérêt public.

12. Accroître la capacité du commissaire à communiquer des renseignements à ses homologues à l’échelle nationale et internationale afin de faciliter la collaboration dans l’application de la loi.

13. Conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter dans certaines circonstances : Modifier l’article 32 de la Loi de façon à conférer au commissaire le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter pour des motifs précis, notamment lorsque la plainte est frivole, vexatoire ou faite de mauvaise foi.

14. Renforcer les exigences en matière de rapports de transparence imposées aux institutions gouvernementales : Renforcer les exigences générales en matière de rapports de transparence relativement aux questions relatives à la vie privée auxquelles font face les institutions fédérales et imposer des exigences particulières concernant la transparence en ce qui a trait aux demandes d’accès légal émanant des organismes chargés de l’application de la loi.

15. Élargir la portée de la Loi : Modifier la Loi de façon à ce qu’elle s’applique à toutes les institutions fédérales, y compris les cabinets des ministres et celui du premier ministre, et à accorder les droits d’accès aux ressortissants étrangers.

16. Limiter les exceptions relatives aux demandes d’accès aux renseignements personnels sous le régime de la Loi : Veiller à ce que les exceptions relatives aux demandes d’accès aux renseignements personnels soient discrétionnaires et fondées sur le préjudice, s’il y a lieu.

Introduction

Depuis 1983, année où le Parlement a adopté la Loi sur la protection des renseignements personnels, la société canadienne et ses institutions fédérales ont grandement évolué sur le plan technologique. De façon de plus en plus rapide, surtout à la suite de la progression exponentielle de l’utilisation des services et des communications en ligne au cours des trente dernières années, il est dorénavant beaucoup plus simple et moins coûteux pour les gouvernements de recueillir et de conserver des renseignements personnels sur leurs citoyens. Il est possible de créer, d’interroger et de partager de grandes quantités de documents numériques en temps quasi réel à des coûts minimes. La communication de renseignements, tant à l’échelle nationale qu’internationale, augmente de manière fulgurante à mesure que tous les ordres de gouvernement cherchent à améliorer les services, à coordonner la circulation des personnes et des marchandises, à faire enquête sur les crimes transnationaux et à recueillir des renseignements pour assurer la sécurité nationale.

En 1983, on n’avait jamais envisagé et encore moins prévu ces avancées technologiques spectaculaires. La Loi avait pour but de régir les fonds de renseignements détenus à l’époque sur support papier par les institutions. Même si elle est aujourd’hui archaïque sur le plan technologique, la Loi sur la protection des renseignements personnels était alors considérée comme une loi progressiste. Elle a été adoptée peu de temps après la Charte canadienne des droits et libertés. Avec la Loi sur l’accès à l’information, elle annonçait une nouvelle ère en ce qui a trait aux protections légales de la population canadienne. La juge en chef McLachlin décrit comme suit le contexte législatif de l’époque :

La Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels sont entrées en vigueur en même temps le 1er juillet 1983, il y a donc près de vingt-six ans, peu après l’adoption par le Canada de sa Charte des droits et libertés. C’était une époque excitante sur le plan constitutionnel au Canada. Le pays venait tout juste, après bien des difficultés et de longues discussions, de rapatrier sa constitution afin de la rendre véritablement indépendante, tout en y inscrivant une puissante affirmation de droits fondamentaux. Le couronnement de ce nouvel édifice constitutionnel — moins connu mais tout de même important — a été l’adoption de deux textes législatifs de nature quasi constitutionnelle visant à protéger les renseignements personnels et le droit d’accès à l’information^{Note de bas de page 1}.

Toutefois, trente années se sont maintenant écoulées sans que la Loi sur la protection des renseignements personnels et les protections qu’elle offre soient modernisées. Le Canada est une société très différente aujourd’hui, et la population canadienne a des attentes très différentes à l’égard de son gouvernement. Partout dans le monde, les lois et la jurisprudence ont évolué en fonction de la nouvelle réalité sociale et technologique actuelle. Depuis 1983, des provinces et d’autres pays ont adopté la deuxième, voire la troisième version de leur loi sur la protection de la vie privée. La Loi sur la protection des renseignements personnels, par contre, est demeurée inchangée.

Les citoyens d’aujourd’hui s’attendent à une transparence accrue de la part des gouvernements qu’ils élisent pour les représenter. À juste titre. Ils sont de plus en plus préoccupés par ce que les gouvernements font de leurs renseignements personnels recueillis au moyen des technologies numériques. Ils se demandent pourquoi ces gouvernements ont besoin d’autant de renseignements. À qui les communiquent-ils? Pourquoi? En tant que citoyens engagés participant à une société libre et démocratique, ils ont parfaitement le droit d’avoir accès à leurs renseignements personnels et de contester leur exactitude, puisque des décisions quotidiennes à propos de leurs droits reposent sur cette information.

L’engagement à assurer la transparence signifie aussi que l’on veille à ce que les citoyens soient bien informés, qu’ils possèdent des connaissances suffisantes pour pouvoir remettre en question la collecte et la communication de leurs renseignements personnels, au moyen de pratiques gouvernementales ouvertes associées aux nouvelles technologies, aux programmes et aux ententes de communication d’information. De plus, le renforcement de la transparence doit être mis en balance avec d’autres limites légitimes, par exemple la valeur que nous accordons à la protection de la vie privée comme droit individuel et bien collectif.

Dans ce contexte, alors que le Comité examine la Loi sur l’accès à l’information et la Loi sur la protection des renseignements personnels, qui ont longtemps été considérées par la Cour suprême a comme un « code homogène » de droits en matière d’information, nous recommandons d’apporter des modifications à la Loi sur la protection des renseignements personnels sous trois grands thèmes : 1) les changements technologiques; 2) la modernisation des normes juridiques; et 3) accroître la transparence.

Changements technologiques

1. Préciser les exigences concernant les accords régissant la communication de renseignements personnels

Sous réserve de toute autre loi fédérale, l’alinéa 8(2)f) de la Loi sur la protection des renseignements personnels autorise la communication des renseignements personnels qui relèvent d’une institution fédérale aux termes d’un accord ou d’une entente conclu entre le gouvernement du Canada et un gouvernement provincial, un État étranger ou une organisation internationale, en vue de l’administration des lois ou pour la tenue d’enquêtes licites. L’alinéa 8(2)a) permet la communication pour des usages compatibles avec la fin à laquelle l’information a été recueillie. Cette communication peut faire l’objet ou non d’un accord ou d’une entente d’échange d’information entre des institutions. Toutefois, selon l’expérience du Commissariat, les organisations avancent depuis longtemps une interprétation très large de ce que sont les usages compatibles.

Sous sa forme actuelle, la Loi n’exige pas que l’accord ou l’entente soit écrit. Elle n’oblige pas non plus l’institution qui communique des renseignements à indiquer les fins précises visées par la communication. La Loi n’impose aucune limite quant aux utilisations ou aux communications ultérieures par les organismes partenaires au Canada ou à l’étranger. Contrairement aux organisations assujetties aux lois sur la protection des données en vigueur dans certaines provinces ou dans d’autres pays, les institutions fédérales ne sont pas tenues de conserver des dossiers ni d’aviser le commissaire à la protection de la vie privée. Un examen préalable effectué par le Commissariat pourrait assurer une vérification préventive importante avant la communication des renseignements. De plus, en matière de transparence, signalons que la plupart de ces accords et ententes ne sont pas rendus publics ni répertoriés, ce qui limite dans les faits la surveillance que peuvent exercer les organismes de réglementation ou le Parlement.

Conformément à ces points de vue, nous recommandons de modifier comme suit la Loi sur la protection des renseignements personnels :

Modifier l’alinéa 8(2)a) de manière à exiger que tout échange de renseignements personnels entre les institutions en vertu de la disposition sur les usages compatibles fasse l’objet d’une entente écrite de communication des renseignements personnels.
Modifier l’alinéa 8(2)f) de manière à exiger que tout échange de renseignements personnels entre le gouvernement du Canada et un gouvernement provincial ou territorial, une administration municipale, un gouvernement étranger, une institution ou une organisation fasse l’objet d’une entente écrite.
Exiger que les accords écrits comprennent au moins les éléments suivants :

définir les éléments particuliers des renseignements personnels qui seront communiqués;
définir les fins particulières visées par la communication;
limiter les utilisations secondaires et tout transfert ultérieur;
énoncer les autres mesures qui doivent être prescrites par la règlementation, par exemple des mesures de sécurité, des périodes de conservation et des mesures de reddition de comptes précises.

Exiger que les institutions gouvernementales avisent le Commissariat de tout nouvel accord ou accord modifié régissant la communication de renseignements personnels et veiller à ce que le Commissariat ait explicitement le pouvoir d’examiner les accords et de les commenter.
Prévoir l’examen des accords existants à la demande du Commissariat, qui en évaluera la conformité.
Exiger que l’existence et la nature des accords de communication des renseignements personnels entre les ministères ou avec d’autres gouvernements soient rendus publics.

2. Obliger légalement les institutions gouvernementales à protéger les renseignements personnels

Afin de recevoir des services, les citoyens fournissent aux institutions du secteur public des renseignements personnels très sensibles sans avoir vraiment le choix. Les déclarations de revenus, les déclarations d’assurance-emploi ainsi que les demandes de passeport et de prêt étudiant relèvent toutes de programmes qui recueillent de grandes quantités de renseignements personnels. À l’heure actuelle, la Loi sur la protection des renseignements personnels n’oblige pas explicitement les institutions fédérales à protéger les renseignements personnels.

Même si la Loi ne mentionne pas les mesures de sécurité, la politique du Secrétariat du Conseil du Trésor (SCT) prévoit des exigences visant à protéger les actifs du gouvernement fédéral, y compris les renseignements personnels^{Note de bas de page 2}. À notre avis, le moment est venu de consacrer dans une loi ces protections prévues dans une politique administrative interne.

En exigeant explicitement dans la Loi sur la protection des renseignements personnels des mesures de sécurité, on assurerait une meilleure protection des renseignements personnels détenus par le gouvernement. Ces dernières années, d’importantes atteintes à la vie privée se sont produites à l’échelle de la fonction publique fédérale et elles ont touché des centaines de milliers de Canadiens. Les vérifications et enquêtes menées ensuite par le Commissariat ont montré que les mesures de sécurité actuelles sont insuffisantes. Soulignons aussi qu’il est anormal d’imposer par voie législative des mesures de sécurité au secteur privé, mais non aux institutions gouvernementales.

Nous recommandons d’intégrer à la Loi sur la protection des renseignements personnels des exigences en matière de mesures de sécurité, afin que les obligations prévues par la loi soient en harmonie avec celles imposées par d’autres lois à l’échelle nationale ou internationale qui obligent les organisations à prendre des mesures physiques, organisationnelles et technologiques correspondant au niveau de sensibilité des données.

3. Rendre obligatoire la déclaration des atteintes à la vie privée

Les atteintes à la vie privée actuellement déclarées au Commissariat font ressortir l’absence de mesures de sécurité adéquates. La déclaration de ces incidents est obligatoire à l’heure actuelle en vertu de certains instruments de politique du SCT, mais certaines institutions fédérales ne déclarent pas au Commissariat les atteintes à la vie privée. En obligeant par voie législative les institutions fédérales à déclarer au Commissariat les atteintes « substantielles » à la vie privée, celui-ci aura une meilleure idée de l’ampleur actuelle du problème et les institutions le consulteront au moment de prendre des mesures à la suite d’un incident et d’en atténuer les répercussions sur les personnes touchées.

De nombreuses lois modernes rendent obligatoire la déclaration des atteintes à la vie privée. L’Organisation de coopération et de développement économiques (OCDE) impose cette obligation dans la version révisée de ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel qu’elle a publiée en 2013. En raison de la sensibilisation et des préoccupations accrues concernant le vol d’identité et l’espionnage électronique, ces types d’atteintes à la vie privée sont devenus très importants pour la population canadienne. Il faut donc y accorder notre attention. Nous recommandons que l'obligation de déclaration prévue actuellement par une politique du SCT devienne une obligation légale.

Modernisation des normes juridiques

4. Ne permettre la collecte des renseignements que lorsqu'elle est nécessaire à un programme ou une activité gouvernementale

À l’heure actuelle, en application de l’article 4 de la Loi, « les seuls renseignements personnels que peut recueillir une institution fédérale sont ceux qui ont un lien direct avec ses programmes ou ses activités ». Selon l’interprétation du Commissariat, cela signifie que la collecte de renseignements personnels doit s’avérer nécessaire pour le programme ou l’activité. Cette interprétation concorde parfaitement avec la Directive sur les pratiques relatives à la protection de la vie privée du SCT et avec leslois en vigueur un peu partout dans le monde.

Pourtant, le gouvernement ne respecte pas toujours cette interprétation. Dans un mémoire récent au tribunal, la procureure générale du Canada a rejeté explicitement la nécessité en tant que critère pour la collecte de renseignements personnels sous le régime de la Loi sur la protection des renseignements personnels. Une interprétation littérale de l’expression « lien direct » permettrait à un ministère de recueillir tout renseignement ayant un lien avec un programme ou une activité, même les renseignements qui ne sont pas vraiment nécessaires. Ainsi, la collecte de renseignements pouvant s’avérer simplement utiles serait probablement conforme à cette interprétation littérale, tandis que la jurisprudence provinciale établit que, selon le critère de la nécessité, les renseignements doivent être plus qu’utiles, même s’ils n’ont pas à être absolument nécessaires.

Dans la pratique, le passage des documents sur support papier aux documents en format numérique a donné lieu à une dynamique de collecte excessive. Ces dernières années, le Commissariat a fait état de cette tendance relativement à de nombreux programmes. La collecte par le gouvernement de renseignements personnels se limitant explicitement aux éléments manifestement nécessaires pour un programme ou une activité serait davantage conforme au statut quasi constitutionnel de la Loi. Pratiquement toutes les provinces et tous les territoires ont établi que la nécessité constitue le seuil à respecter. Bon nombre de pays de l’OCDE, y compris les États-Unis, ont fait de même. Il faudrait renforcer en fonction des réalités et des attentes modernes la norme juridique énoncée dans la Loi relativement à la collecte. Nous recommandons donc de modifier l’article 4 pour exiger explicitement que la collecte des renseignements soit nécessaire au programme ou à l’activité.

Par ailleurs, nous sommes conscients que l’interprétation judiciaire du terme « nécessaire » n’est pas tout à fait uniforme à l’échelle internationale. Par souci de clarté et de certitude du résultat dans l’application de la Loi sur la protection des renseignements personnels, nous recommandons de définir ce terme dans la Loi elle-même. À cette fin, le Comité pourrait se pencher sur les quatre facteurs énoncés dans notre publication intitulée Nos attentes : un guide pour la présentation d'évaluations des facteurs relatifs à la vie privée au Commissariat à la protection de la vie privée du Canada, qui s’inspire de l’arrêt clé de la Cour suprême du Canada dans R. c. Oakes [1986] 1 RCS 103. Ainsi, les renseignements personnels seraient recueillis conformément au critère de la nécessité si l’information a un lien rationnel avec ses programmes ou ses activités et est manifestement nécessaire pour ces derniers; s’il est probable qu’elle répondrait de façon efficace aux objectifs du programme ou de l’activité; qu’il n’y a aucun autre moyen d’atteindre efficacement les objectifs du programme ou de l’activité en portant moins atteinte à la vie privée; et si la perte de vie privée est proportionnelle à l’importance des objectifs du programme ou de l’activité.

5. Accroître les motifs de recours devant la cour prévus à l’article 41

À l’heure actuelle, la majorité des violations des droits garantis par la Loi ne donne lieu à aucune mesure de redressement judiciaire. Tous les droits prennent leur sens uniquement s’ils sont accompagnés d’une mesure de redressement, à plus forte raison lorsqu’il s’agit d’un droit fondamental comme la protection de la vie privée. Par conséquent, nous recommandons d’élargir la portée de l’article 41 de la Loi de façon à ce que les plaignants ou le commissaire à la protection de la vie privée aient la possibilité d’exercer devant la Cour fédérale un recours en révision concernant toutes les questions pouvant faire l’objet d’une plainte, notamment la collecte, l’utilisation et la communication. Nous recommandons également de conférer à la Cour le pouvoir d’ordonner une série de mesures de redressement, y compris pour dommages-intérêts, comme celles actuellement prévues dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).

6. Améliorer le modèle de l’ombudsman pour l’examen des plaintes

À l’heure actuelle, le commissaire à la protection de la vie privée ne peut que formuler des recommandations non contraignantes et il n’a pas le pouvoir de prendre des ordonnances. Il peut examiner les plaintes portant sur l’ensemble des droits et protections prévus par la Loi sur la protection des renseignements personnels — et formuler des recommandations au gouvernement — mais non contraindre un ministère à prendre ou à cesser quelque mesure que ce soit. La plupart des institutions finissent par accepter les recommandations du Commissariat, mais il faut parfois longtemps pour en arriver à une issue satisfaisante. Cette situation est incompatible avec l’objectif du modèle axé sur le recours à l’ombudsman, qui consiste à offrir un recours rapide et à faible coût pour assurer le respect du droit à la vie privée.

En examinant cette question, il est important de reconnaître qu’il existe diverses solutions de remplacement pour améliorer ce système de recours et de redressement. À l’heure actuelle, la loi confère aux commissaires à l’information et à la protection de la vie privée de l’Alberta, de la Colombie-Britannique, de l’Ontario, de l’Île-du-Prince-Édouard et du Québec le pouvoir de prendre des ordonnances. Leurs homologues de huit provinces et territoires n’ont pas ce pouvoir. D’ailleurs, le gouvernement de Terre-Neuve-et-Labrador s’est récemment penché sur la question et a proposé un modèle hybride qui, selon nous, servirait mieux les objectifs de la Loi^{Note de bas de page 3}.

En 2005, l’ancien juge La Forest, de la Cour suprême du Canada, a produit (à titre de conseiller spécial du ministre de la Justice) le rapport intitulé Les commissariats à l’information et à la protection de la vie privée : fusion et questions connexes, dans lequel il déclarait :

Un modèle quasi judiciaire prévoyant la délivrance d’ordonnances risque de devenir trop formaliste, et d’aboutir à un processus presque aussi coûteux et gruge-temps que les instances judiciaires. On peut également soutenir que l’absence du pouvoir de rendre des ordonnances permet à l’ombudsman conventionnel d’adopter une position plus ferme à l’égard du gouvernement qu’une autorité quasi judiciaire. Il y a également un certain intérêt à confier le règlement des questions litigieuses d’accès et de protection de la vie privée aux tribunaux, où les instances sont généralement publiques. La capacité tant des commissaires que des plaignants de s’adresser aux tribunaux pourrait bien être perçue comme une sanction suffisante en cas de non-respect, surtout en ce qui concerne certaines des questions les plus sensibles qui se posent au niveau fédéral^{Note de bas de page 4}.

À Terre-Neuve-et-Labrador, dans les 10 jours suivant la réception des recommandations du commissaire, les organismes publics doivent décider de s’y conformer ou demander au tribunal une déclaration indiquant qu’ils ne sont pas tenus de le faire. En leur transférant l’obligation de justifier la non-conformité aux recommandations et en leur imposant des délais plus courts aux stades de la demande d’accès et de l’examen de la plainte, on incite ces organismes à donner suite aux plaintes de manière plus rapide et plus complète, tout en préservant les avantages du modèle axé sur l’ombudsman.

Il serait peut-être possible d’atténuer les risques associés à un modèle axé sur la prise d’ordonnances mentionnés par le juge La Forest en mettant en place diverses procédures, par exemple dissocier les fonctions décisionnelles et promotionnelles au sein du Commissariat, mais ces solutions pourraient comporter d’autres inconvénients. Nous ferons des recherches sur ces questions et nous les analyserons au cours des semaines à venir, pendant que le Comité poursuivra l’examen de la Loi. Toutefois, à l’heure actuelle, nous estimons que le modèle hybride – et le renforcement des recours et des mesures de redressement devant la cour que nous avons recommandé – régleraient le problème des délais inhérents à la procédure actuelle et renforceraient le respect du droit à la vie privée de tous les Canadiens. Il n’est peut-être pas nécessaire d’adopter un modèle axé sur la prise d’ordonnances pour améliorer l'efficacité du système et ce ne serait peut-être pas la solution la plus prudente.

7. Rendre obligatoire la préparation et la présentation au commissaire d'une évaluation des facteurs relatifs à la vie privée (EFVP) pour tous les programmes nouveaux ou ayant fait l’objet de modifications importantes

Selon une directive actuelle du SCT, les institutions qui prévoient d’entreprendre des projets faisant appel à des renseignements personnels doivent mener une EFVP et présenter au Commissariat une copie du rapport d’évaluation. Nous avons constaté que ce processus, comme nous l’ont dit les institutions, est très efficace pour cerner et atténuer les risques d’atteinte à la vie privée avant de mettre en œuvre un projet. Cette exigence n’a toutefois pas force de loi, si bien que l’exécution, la qualité et la réalisation au moment opportun des EFVP sont très inégales d’une institution à l’autre. En fait, certains ministères estiment ne pas avoir l’obligation d’en produire.

Dans différents pays, par exemple Hong Kong, l’Australie et la Nouvelle-Zélande, il faut effectuer des EFVP à l’égard de toutes les activités gouvernementales faisant appel à des renseignements sensibles tels que des données sur les communications ou des données biométriques. Le nouveau Règlement général sur la protection des données de l’Union européenne exige une évaluation particulière sur la protection de données^{Note de bas de page 5}. De même, les lois de l’Alberta, du Nouveau-Brunswick, de Terre-Neuve-et-Labrador, de la Nouvelle-Écosse et des Territoires du Nord-Ouest exigent qu’une EFVP soit réalisée avant la mise en œuvre d’un nouveau système d’information sur la santé publique. Nous recommandons d’imposer cette obligation dans la loi afin que tous les ministères soient tenus de cerner et d’atténuer les risques d’atteinte à la vie privée associés à leurs activités. Conformément à l’objectif de prévention visé par cette obligation, ces évaluations auraient généralement lieu avant l’adoption de programmes nouveaux ou ayant fait l’objet de modifications importantes, sauf en de rares exceptions.

8. Obliger les institutions gouvernementales à consulter le Commissariat au sujet des projets de loi et de règlement ayant une incidence sur la protection de la vie privée avant leur dépôt

Plusieurs lois de provinces et d’autres pays exigent maintenant explicitement que les institutions gouvernementales consultent leur autorité de protection des données quand elles préparent une nouvelle loi. La loi sur l’accès à l’information et la protection des renseignements personnels en vigueur à Terre-Neuve-et-Labrador oblige les ministres à consulter le commissaire lorsqu’un projet de loi pourrait avoir une incidence sur l’accès à l’information ou la protection de la vie privée, et ce, dès que possible avant la date de l’avis du dépôt du projet de loi devant la Chambre d’assemblée et au plus tard à cette date. Le commissaire doit indiquer au ministre si le projet de loi aurait une incidence sur l’accès à l’information ou la protection de la vie privée et il peut se prononcer publiquement sur un projet de loi à tout moment après qu’il a été rendu public.

Selon le nouveau Règlement général sur la protection des données de l’Union européenne, « les États membres consultent l’autorité de contrôle dans le cadre de l’élaboration d’une mesure législative devant être adoptée par le parlement national ou d’une mesure fondée sur une telle mesure législative, qui définisse la nature du traitement » (article 34, point 7). Dans le même ordre d’idées, compte tenu des nouvelles attentes infranationales et internationales en matière de protection des données, nous recommandons que le Commissariat soit avisé à l’avance de tout projet de loi ou de règlement qui pourrait avoir une incidence sur la protection de la vie privée et qu’il soit consulté à ce sujet avant le dépôt du projet en question.

9. Confier au Commissariat un mandat explicite en matière d’éducation du public et de recherche

Le pouvoir du commissaire d’entreprendre des activités d’éducation du public et de recherche en vertu de la Loi sur la protection des renseignements personnels n’est pas défini. Le Commissariat n’a donc aucun pouvoir législatif explicite de déployer des efforts proactifs d’éducation et de sensibilisation sur des questions se rapportant au secteur public. En comparaison, nous avons fait un travail exhaustif en la matière depuis plus de dix ans sous le régime de la LPRPDE. Nous estimons que le Commissariat devrait avoir un pouvoir similaire en vertu des deux lois, parallèlement à ses responsabilités dans les secteurs gouvernemental et commercial. Il pourrait alors mener et commander des recherches, par exemple, et réaliser des études de cas ou tirer des leçons importantes à partir de ses enquêtes.

Plus précisément, nous recommandons au Comité de conférer expressément au commissaire, en vertu de la Loi sur la protection des renseignements personnels, le pouvoir de mener de sa propre initiative des recherches et des études sur des questions d’importance pour le public. De même, la Loi sur la protection des renseignements personnels devrait confier expressément au commissaire le mandat d’entreprendre des activités d’éducation et de sensibilisation du public. De cette façon, son mandat en matière de recherche et d’éducation concorderait avec son mandat actuel découlant de la LPRPDE et ferait progresser les objectifs de la Loi sur la protection des renseignements personnels.

10. Exiger un examen de la Loi tous les cinq ans

La Loi sur la protection des renseignements personnels a fait l’objet d’un examen en 1987 conformément à la disposition exigeant un examen ponctuel, mais les recommandations formulées par le Parlement dans le rapport intitulé Une question à deux volets n’ont jamais été mises en œuvre^{Note de bas de page 6}. L’étude importante suivante portant sur la Loia été réalisée en 2008-2009 dans le cadre de l’examen mené par le Comité de l’accès à l’information, de la protection des renseignements personnels et de l’éthique. Là encore, les recommandations du rapport n’ont pas donné lieu à des modifications législatives.

Les nouveaux développements techniques, stratégiques et législatifs peuvent avoir une incidence importante sur les questions relatives à la protection de la vie privée. À l’heure actuelle, rien n’oblige à examiner périodiquement la Loi sur la protection des renseignements personnels pour s’assurer qu’elle demeure à jour et bien adaptée aux réalités et aux défis modernes. Les efforts soutenus déployés pour harmoniser dans la mesure du possible les lois sur la protection des données visent à uniformiser le régime de protection de la vie privée à l’échelle du Canada. L’examen régulier offre également au Parlement l’occasion de se pencher sur les pratiques et les faits nouveaux en matière de réglementation sur la scène internationale. À cet égard, il serait très utile d’obliger les représentants du gouvernement à examiner régulièrement la législation puisqu’il serait plus facile de prendre en compte les faits nouveaux dans les divers ordres de gouvernement et à l’échelle internationale. Par conséquent, nous recommandons de modifier la Loi sur la protection des renseignements personnels de manière à exiger un examen parlementaire tous les cinq ans.

Accroître la transparence

11. Permettre au commissaire de rendre publiques les conclusions de ses enquêtes, en dehors du cadre des rapports annuels ou spéciaux, lorsque ces questions sont d’intérêt public

Les articles 63 à 65 de la Loiimposent des obligations de confidentialité strictes qui empêchent le commissaire de rendre publique l’information concernant les enquêtes et les examens, autrement que dans le rapport annuel ou un rapport spécial au Parlement. Nous reconnaissons l’importance des dispositions concernant la confidentialité pour faciliter notre rôle d’ombudsman et encourager les parties à faire preuve d’une plus grande ouverture dans leurs déclarations au Commissariat. Toutefois, dans certains cas, il serait dans l’intérêt public que le commissaire rende publiques ses conclusions.

Tout en reconnaissant que les dispositions de la Loi concernant la confidentialité sont raisonnables dans la plupart des cas, nous estimons qu’elles devraient permettre des exceptions limitées fondées sur l’intérêt public, comme le fait la LPRPDE. Ce pouvoir discrétionnaire aurait comme objectif principal d’éclairer les débats parlementaires et les discussions publiques en temps opportun. Dans le passé, le Commissariat a eu une capacité limitée de sensibiliser les gens en raison des contraintes de confidentialité imposées par la Loi sur la protection des renseignements personnels. Une disposition conférant le pouvoir discrétionnaire de communiquer de l’information dans l’intérêt public – tout en respectant les exceptions légitimes en matière d’accès — permettrait de communiquer plus rapidement des renseignements pertinents au lieu de devoir attendre la fin de l’exercice sur lequel porte le rapport, lorsque l’information pourrait être devenue sans objet, désuète ou généralement peu pertinente.

Nous recommandons de modifier l’article 64 de la Loi pour permettre une exception aux exigences de confidentialité afin de conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de rendre publiques de manière proactive des questions relatives à la protection de la vie privée au sein du gouvernement s’il juge que cela est dans l’intérêt public.

12. Accroître la capacité du commissaire à communiquer des renseignements à ses homologues à l’échelle nationale et internationale afin de faciliter la collaboration dans l’application de la loi

Le Commissariat possède depuis peu ce pouvoir pour le travail d’enquête et d’éducation du public réalisé dans le cadre du mandat que lui confère la LPRPDE. Les mesures d’application de la loi que nous prenons à l’étranger sont désormais beaucoup plus efficaces et rapides grâce à cette nouvelle capacité de travailler en collaboration avec d’autres autorités. Nous avons aussi demandé au Parlement de se pencher sur notre capacité d’échanger de l’information avec d’autres organismes d’examen dans le contexte des questions pertinentes de sécurité nationale, ce qui permettrait de renforcer la surveillance, aspect qui préoccupe beaucoup les Canadiens.

Dans le même ordre d’idées, nous recommandons de renforcer la capacité du Commissariat à collaborer avec d’autres autorités de protection des données et organismes d’examen pour les vérifications et les enquêtes d’intérêt commun concernant les questions relevant de la Loi sur la protection des renseignements personnels.

13. Conférer au commissaire à la protection de la vie privée le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter dans certaines circonstances

À l’heure actuelle, la Loi ne confère pas au commissaire le pouvoir de mettre fin à l’examen d’une plainte ou de la rejeter. En vertu du paragraphe 29(1), le commissaire à la protection de la vie privée fait enquête sur toutes les plaintes qu’il reçoit. Depuis quelques années, un nombre croissant de plaintes frivoles et vexatoires sont déposées auprès du Commissariat. Or, les dispositions actuelles de la Loi ne lui laissent d’autre choix que de faire enquête. La Loi sur la protection des renseignements personnels sous sa forme actuelle ne concorde pas avec la LPRPDE et plusieurs lois provinciales (p. ex. celle de l’Alberta) qui confèrent au commissaire à l’information et à la protection de la vie privée de la province le pouvoir discrétionnaire de refuser pour des motifs légitimes de faire enquête sur une plainte.

En février 2012, l’Association du Barreau canadien a adopté une résolution nationale demandant que la Loi sur la protection des renseignements personnels soit modifiée dans ce sens, reconnaissant ainsi qu’il s’agit d’un important problème d’accès à la justice. De plus, en qualité d’organisation du secteur public ayant un vaste mandat, nous aimerions pouvoir gérer notre charge de travail de manière plus stratégique.

Dans un contexte où les ressources sont limitées et où les Canadiens méritent une surveillance efficace et efficiente portant sur des questions qui présentent un intérêt systémique et revêtent une grande importance à leurs yeux, nous recommandons de modifier l’article 32 de la Loipour conférer au commissaire le pouvoir discrétionnaire de mettre fin à l’examen d’une plainte ou de la rejeter pour des motifs précis, notamment quand elle est frivole, vexatoire ou faite de mauvaise foi.

14. Renforcer les exigences en matière de rapports de transparence imposées aux institutions gouvernementales

À l’heure actuelle, les ministères publient un rapport annuel comme le prévoit l’article 72 de la Loi sur la protection des renseignements personnels. De façon générale, ils y rendent compte des types de renseignements personnels qu’ils recueillent, qu’ils communiquent sur demande ou qu’ils refusent de communiquer en vertu de certaines exceptions.

Malheureusement, pour le lecteur profane, ces mesures de transparence annuelles consistent généralement en un savant collage de statistiques sur le nombre de demandes d’accès aux renseignements personnels reçues et traitées pendant une année – n’expliquant guère ce que signifient les chiffres présentés. Après avoir examiné ces rapports par le passé, le Commissariat a souligné l’absence d’un élément descriptif qui les rendrait accessibles au Parlement, au Commissariat lui-même et aux Canadiens. Nous avons fait valoir la nécessité de veiller à ce que ces rapports soient faciles à comprendre afin d’assurer leur pertinence et leur utilité pour le public.

En ce qui a trait à la question plus particulière des rapports de transparence dans le contexte de l’application de la loi, le Commissariat a récemment exhorté les institutions fédérales à rendre publics le nombre de demandes d’accès légal qu’elles présentent aux fournisseurs de services Internet et à d’autres organisations du secteur privé auxquelles ont été confiées des données sur les communications des consommateurs, les types de demandes en question et la fréquence de ces demandes. Au Canada, le public, les parlementaires et le milieu de la protection de la vie privée préconisent depuis plusieurs années une plus grande ouverture dans le domaine. Malgré les progrès réalisés dans le secteur commercial au pays, nous constatons que les institutions fédérales doivent aussi se poser en modèles et faire la preuve de leur engagement à rendre des comptes et à agir en toute transparence.

À cette fin, nous recommandons de renforcer les exigences en matière de rapports concernant les grandes questions relatives à la vie privée auxquelles font face les institutions fédérales et d’imposer des exigences particulières concernant la transparence en ce qui a trait aux demandes d’accès légal émanant des organismes chargés de l’application de la loi.

15. Élargir la portée de la Loi

Une justification stratégique clé à l’origine de l’élaboration de la Loi sur la protection des renseignements personnels au début des années 1980 consistait à consacrer un droit d’accès fondamental pour assurer l’exactitude des renseignements personnels détenus par le gouvernement. À l’heure actuelle, cette loi s’applique exclusivement aux institutions fédérales mentionnés à son annexe 1 ou à celles qui ont été ajoutées dans la section « Définitions » (p. ex. les sociétés d’État).

Par principe, nous estimons que les personnes devraient avoir accès à leurs renseignements personnels et pouvoir en contester l’exactitude, peu importe où ces renseignements sont détenus au sein du gouvernement. À cette fin, nous recommandons au Comité d’étendre l’application de la Loi à toutes les institutions fédérales, y compris les cabinets des ministres et celui du premier ministre. Un tel élargissement de la portée de la Loi concorderait avec un des objectifs primordiaux visés par la création des agents du Parlement, à savoir jeter un regard sur les activités du pouvoir exécutif de l’État.

En outre, la Loi donne le droit d’accès uniquement aux citoyens canadiens, aux résidents permanents et aux personnes qui se trouvent physiquement au Canada. Les ministères fédéraux détiennent de grandes quantités de renseignements personnels sur des non-citoyens en raison des voyages, des activités migratoires et des activités commerciales à l’échelle mondiale. Les ressortissants étrangers, comme les personnes cherchant à immigrer au Canada, qui veulent avoir accès à leurs renseignements personnels doivent souvent demander à un mandataire de présenter une demande en vertu de la Loi sur l’accès à l’information et consentir à la communication de leurs renseignements personnels. La commissaire à l’information du Canada s’est prononcée à cet égard dans son rapport spécial au Parlement sur le sujet :

Parmi les provinces et les territoires, les pays du Commonwealth, les États-Unis, dans les lois types et dans les pays dont la loi sur l’accès à l’information se classe parmi les 10 premières selon le « Global Right to Information Rating », le Canada, la Nouvelle-Zélande et l’Inde sont les seuls à imposer des limites quant aux personnes qui peuvent avoir accès à l’information détenue par le gouvernement. Toutes les autres juridictions ont un droit d’accès universel et aucune d’entre elles n’a indiqué que le droit universel avait entraîné une quantité de demandes ingérable^{Note de bas de page 7}.

Nous recommandons de corriger cette lacune de sorte que ces personnes puissent obtenir directement leurs renseignements personnels sous le régime de la Loi sur la protection des renseignements personnels.

16. Limiter les exceptions prévues par la Loi en ce qui a trait aux demandes d’accès aux renseignements personnels

Nous préconisons une communication maximale quand une personne demande l’accès à ses renseignements personnels. Il faut pour ce faire limiter les exceptions relatives aux demandes d’accès, prélever dans la mesure du possible l’information protégée et veiller à ce que ces exceptions soient généralement discrétionnaires et fondées sur le préjudice, s’il y a lieu.

Contrairement à la commissaire à l'information, nous ne recommandons toutefois pas de restreindre la portée de l’exception relative à l’accès lorsqu’il s’agit de renseignements personnels concernant une autre personne. L’exception actuelle s’applique à tous les renseignements personnels, peu importe que leur communication représenterait ou non une atteinte injustifiée à la vie privée. On protège ainsi le droit à la vie privée des tierces personnes, conformément à la jurisprudence canadienne, qui fait ressortir l’importance de la vie privée, laquelle l’emporte même sur l’accès^{Note de bas de page 8}. En outre, la Loi sur la protection des renseignements personnels autorise déjà la communication de renseignements personnels lorsque, selon le responsable de l’institution, l’intérêt public l’emporte manifestement sur toute atteinte à la vie privée. Cette forme de primauté de l’intérêt public établit un juste équilibre, qui ne devrait pas être modifié, entre la protection de la vie privée et l’accès à l’information.

Le Parlement a élaboré en parallèle la Loi sur la protection des renseignements personnels et la Loi sur l’accès à l’information, comme des lois jumelles, et il souhaitait que leurs dispositions soient interprétées conjointement comme un « code homogène », ce qui a été confirmé par la Cour suprême du Canada. Nous recommandons donc de maintenir l’exception relative aux renseignements personnels et d’incorporer par renvoi dans la Loi sur l’accès à l’information la définition donnée dans la Loi sur la protection des renseignements personnels.

Conclusion

Au moment de son entrée en vigueur en 1983, la Loi sur la protection des renseignements personnels était un texte législatif progressiste et complet sur la protection des données. Le Canada était alors un précurseur du droit à la vie privée, car les dispositions de la Loi établissaient un cadre administratif et des obligations législatives à l’échelle de l’administration fédérale. Au cours des années qui ont suivi, la technologie a de toute évidence donné forme à notre société, si bien que notre loi semble de plus en plus désuète. Des lois sur la protection de la vie privée en vigueur au Canada et dans les autres pays ont beaucoup haussé la barre depuis 1983.

Faute d’un renouvellement, les mesures de protection prévues par la Lois’avèrent de plus en plus déconnectées de la réalité des Canadiens et de leur participation au monde numérique. Le gouvernement évolue dans un environnement extrêmement différent de celui de 1983. Les Canadiens s’attendent désormais à une ouverture et à une transparence accrues pour ce qui est de savoir comment le gouvernement utilisera leurs renseignements personnels, à qui il les communiquera et comment il les protégera.

Les Canadiens méritent des mesures de protection et des droits en matière de respect de la vie privée qui sont en harmonie avec le courant de pensée et l’expérience actuelles — au Canada et ailleurs dans le monde. Nous espérons que notre mémoire contribuera à éclairer l’examen mené par le Comité et s’avérera un premier pas vers le rehaussement des mesures de protection de la vie privée du secteur public au Canada au niveau des normes mondiales auxquelles s’attendent les citoyens.

Note de bas de page

Note de bas de page 1

Cour suprême du Canada, « Allocution prononcée par la très honorable Beverley McLachlin, C.P., juge en chef du Canada ‒ L’accès à l’information et la protection des renseignements personnels dans une démocratie »

Retour à la référence de la note de bas de page 1

Note de bas de page 2

Directive sur les pratiques relatives à la protection de la vie privée,2014; Directive sur l’évaluation des facteurs relatifs à la vie privée, 2010; Lignes directrices sur les atteintes à la vie privée,2014

Retour à la référence de la note de bas de page 2

Note de bas de page 3

Voir notamment le chapitre 7 du document intitulé Report of the 2014 Statutory Review of the Access to Information and Protection of Privacy Act (p. 195 à 276)

Retour à la référence de la note de bas de page 3

Note de bas de page 4

Gérard V. La Forest, Les commissariats à l’information et à la protection de la vie privée : fusion et questions connexes, novembre 2005

Retour à la référence de la note de bas de page 4

Note de bas de page 5

En vertu du Règlement (texte en date du 15 décembre 2015), un contrôleur des données doit évaluer l’incidence de la protection des données s’il y a un risque élevé d’atteinte aux droits et libertés des individus du fait de leur nature, de leur portée, de leur contexte et de leurs finalités. Plus précisément, le point 70a prévoit que, en pareil cas, le contrôleur des données devrait évaluer l’incidence sur la protection des données avant leur traitement pour déterminer la probabilité de réalisation des risques élevés et leur gravité éventuelle en prenant en compte la nature, la portée, le contexte et les finalités du traitement ainsi que les sources du risque, qui devraient comprendre en particulier les mesures de sécurité et autres ainsi que les mécanismes visant à les atténuer, à assurer la protection des renseignements personnels et à faire la preuve de la conformité au Règlement. [traduction]

Retour à la référence de la note de bas de page 5

Note de bas de page 6

Une question à deux volets : Comment améliorer le droit d’accès à l’information tout en renforçant les mesures de protection des renseignements personnels, rapport du Comité permanent de la justice et du Solliciteur général sur l’examen de la Loi sur l’accès à l’information et de la Loi sur la protection des renseignements personnels (mars 1987).

Retour à la référence de la note de bas de page 6

Note de bas de page 7

Commissariat à l’information du Canada, Viser juste pour la transparence, rapport spécial au Parlement, ch. 2, « Le droit d’accès », mars 2015

Retour à la référence de la note de bas de page 7

Note de bas de page 8

Dagg v. Canada (Minister of Finance), [1997] 2 SCR 403

Retour à la référence de la note de bas de page 8

Date de modification :: 2016-03-23

Sélection de la langue

Recherche et menus

Recherche