Statistique Canada: Repenser les projets intrusifs de cueillette de données en tenant compte du respect de la vie privée

Plainte présentée en vertu de la Loi sur la protection des renseignements personnels

Le 9 décembre 2019

Aperçu

À la fin de l’automne 2018, le Commissariat à la protection de la vie privée (ci-après, le « Commissariat ») a reçu plus d’une centaine de plaintes concernant la collecte de renseignements personnels par Statistique Canada auprès d’un bureau de crédit et d’institutions financières. Les plaintes faisaient suite à des reportages médiatiques selon lesquels Statistique Canada avait recueilli ou proposait de recueillir, de manière indirecte, des renseignements détaillés sur le crédit et les finances d’un grand nombre de Canadiens auprès d’entreprises du secteur privé, et ce, à l’insu et sans le consentement des gens concernés dans le cadre de deux projets : i) le projet de renseignements sur le crédit et ii) le projet relatif aux transactions financières (les « projets »). Les plaignants ont soulevé des préoccupations concernant i) le pouvoir légal de recueillir les renseignements, ii) la transparence à l’égard de la collecte et iii) le traitement des renseignements recueillis, y compris la communication intentionnelle ou non intentionnelle potentielle et le droit d’accès des personnes.

Statistique Canada a soutenu qu’il avait le pouvoir de recueillir des renseignements personnels sans consentement dans le cadre des deux projets en vertu de la Loi sur la statistique et de l’article 4 de la Loi sur la protection des renseignements personnels (ci-après, la « Loi »). Il a aussi soutenu que la vie privée était protégée dans le cadre des projets, qu’il maintiendrait la confidentialité des renseignements personnels recueillis et qu’il disposait de mesures de sécurité adéquates pour protéger ces renseignements.

Après avoir examiné les éléments de preuve à notre disposition, nous avons conclu que Statistique Canada disposait du pouvoir légal pour procéder à la collecte des renseignements en cause dans le cadre du projet de renseignements sur le crédit. Par conséquent, nous concluons que la plainte est non fondée.

En ce qui concerne le projet relatif aux transactions financières, nous sommes très inquiets que le projet, tel qu’il a été conçu, aurait dépassé le pouvoir légal de Statistique Canada en ce qui a trait à la collecte de renseignements personnels s’il avait suivi son cours. Comme le projet a été interrompu pendant notre enquête, aucun renseignement personnel n’a été recueilli. C’est pourquoi nous refusons de nous prononcer sur la question.

En dépit de ces conclusions, notre enquête a mis en lumière d’importantes préoccupations en matière de protection de la vie privée quant aux deux projets, tels qu’ils avaient été conçus au départ, quoiqu’il ne s’agisse pas de contraventions à la Loi actuelle. Plus particulièrement :

• même si les objectifs publics que nous avons déduits pour les deux projets pourraient, s’ils sont validés, raisonnablement satisfaire au critère de l’objectif urgent et important, Statistique Canada n’a pas démontré que tous les renseignements personnels qu’il souhaitait recueillir était nécessaire à la réalisation de ses objectifs et que les projets, tels qu’ils étaient conçus, étaient proportionnels à l’invasion de la vie privée qui s’ensuivait et que d’autres solutions portant moins atteinte à la vie privée n’étaient pas raisonnablement disponibles;
• Statistique Canada a également omis de faire preuve d’une transparence suffisante quant à la collecte de renseignements personnels par l’entremise des projets;
• même si Statistique Canada a pris d’importantes mesures dans le but d’isoler et de restreindre le plus possible l’accès aux données, en plus de protéger celles-ci contre les auteurs de menaces externes, il pourrait améliorer ses mesures de sécurité afin d’atténuer les vulnérabilités aux menaces internes au moyen d’une surveillance de l’accès et de l’utilisation à l’interne non autorisés.

Compte tenu de nos conclusions et de nos observations, ainsi que le fait que Statistique Canada s’est fermement engagé à répondre aux préoccupations des Canadiens concernant la protection de la vie privée avant de poursuivre ces projets, nous recommandons que Statistique Canada prenne les mesures suivantes :

Recommandation numéro 1 : Que Statistique Canada s’abstienne d’aller de l’avant avec le projet de renseignements sur le crédit tel qu’il a été conçu au départ. Nous encourageons fortement Statistique Canada à éliminer, en temps voulu, les renseignements personnels qui ont déjà été recueillis, mais qui n’auraient pas été recueillis dans le cadre du projet restructuré.

Recommandation numéro 2 : Que Statistique Canada s’abstienne d’aller de l’avant avec le projet relatif aux transactions financières tel qu’il a été conçu au départ.

Recommandation numéro 3 : Que Statistique Canada collabore avec le Commissariat dans le but de restructurer le projet de renseignements sur le crédit de manière à respecter les principes de la nécessité et de la proportionnalité avant de poursuivre le projet.

Recommandation numéro 4 : Que Statistique Canada collabore avec le Commissariat en vue d’achever la conception du projet relatif aux transactions financières de manière à respecter son pouvoir légal et les principes de la nécessité et de la proportionnalité avant de mettre en œuvre le projet.

Recommandation numéro 5 : Que Statistique Canada augmente la transparence relative à la collecte prospective de renseignements personnels à partir de sources administratives afin de maintenir la confiance du public.

Recommandation numéro 6 : Que Statistique Canada mette en œuvre, compte tenu de l’enjeu que nous avons recensé, des mesures destinées à réduire les risques posés par les vulnérabilités aux menaces internes.

Nous sommes satisfaits que Statistique Canada a mis les deux projets en suspens à l’automne dernier et a accepté de mettre en œuvre toutes nos recommandations. Comme nous le présenterons tout au long du rapport, Statistique Canada a déjà apporté des améliorations au chapitre de la transparence et des mesures de sécurité, et s’est engagé à restructurer les deux projets en tenant compte des principes de la nécessité et de la proportionnalité. En outre, il s’est engagé à collaborer avec le Commissariat à l’avenir dans le cadre de la restructuration des projets.

En plus de ces recommandations précises, nous sommes également d’avis que le Parlement devrait envisager une réforme législative de la Loi sur la statistique et de la Loi sur la protection des renseignements personnels afin de s’assurer que l’intérêt public d’obtenir des renseignements personnels de sources administratives, à des fins statistiques, ne porte pas indûment atteinte à la vie privée des personnes, y compris au regard des principes de nécessité et de proportionnalité.

Contexte

1. Statistique Canada est le bureau national de la statistique du Canada. En vertu de la Loi sur la statistique, il a pour mandat général de recueillir, de compiler, d’analyser, de dépouiller et de publier des renseignements statistiques sur les « activités commerciales, industrielles, financières, sociales, économiques et générales de la population et sur l’état de celle-ci^{Note de bas de page 1} ». Statistique Canada recueille les renseignements à même deux sources principales : 1) la collecte directe auprès des répondants aux enquêtes (p. ex. individus, entreprises, organisations) et 2) l’utilisation des données administratives recueillies par d’autres administrations à leurs propres fins. La collecte des renseignements en cause fait partie de la seconde source et du programme de données administratives (PDA) de Statistique Canada. Statistique Canada définit les données administratives comme suit :

   « renseignements recueillis par d’autres organismes gouvernementaux et entreprises du secteur privé à leurs propres fins, qui sont par la suite utilisés par Statistique Canada pour atteindre de façon efficace les objectifs prévus dans son mandat^{Note de bas de page 2} ».

2. D’après Statistique Canada, celui-ci se sert des données administratives pour compléter des données d’enquête ou pour remplacer des enquêtes, ainsi qu’à l’appui d’opérations statistiques, au motif qu’une telle pratique :
   • améliore la qualité des données;
   • réduit les coûts de collecte de données;
   • évite la duplication des données;
   • réduit le fardeau des répondants;
   • peut faciliter la collecte de renseignements sur des populations qui peuvent être moins susceptibles de répondre à une enquête^{Note de bas de page 3}.
3. D’après Statistique Canada, l’organisme recueille des données administratives depuis 1921, et environ 40 % de ses programmes statistiques utilisent actuellement des données administratives. Dans le passé, les sources les plus importantes de données administratives renfermant des renseignements personnels étaient des sources du secteur public comme les statistiques de l’état civil et les dossiers d’impôt sur le revenu^{Note de bas de page 4}. Cependant, les projets visés par les plaintes en question font partie d’une initiative de modernisation de Statistique Canada, qui vise à utiliser de nouvelles sources publiques et privées de données administratives, et qui soulève donc de nouveaux enjeux du point de vue de la vie privée^{Note de bas de page 5}.
4. Par l’entremise de sa Direction des services-conseils au gouvernement, le Commissariat a mené des consultations préliminaires avec Statistique Canada à propos de l’expansion de son programme de données administratives. Au moment de ces consultations, la portée et l’ampleur de la collecte n’ont pas été communiquées au Commissariat. En réponse aux renseignements généraux que Statistique Canada nous a fournis lors de ces discussions initiales, nous avons formulé des recommandations telles qu’elles sont décrites dans le Rapport annuel au Parlement 2017-2018. Nous avons recommandé que Statistique Canada se demande s’il pourrait atteindre les mêmes objectifs en recueillant des renseignements personnels qui ont été dépersonnalisés avant d’être communiqués à l’organisme. Nous lui avons aussi suggéré de limiter sa collecte de données administratives à ce qui est nécessaire aux fins précisées et d’évaluer la nécessité et l’efficacité de cette activité sur une base continue. En dernier lieu, nous avons recommandé que Statistique Canada soit transparent avec les Canadiens au sujet de sa collecte de données de sources administratives et de sources non traditionnelles^{Note de bas de page 6}.
5. En octobre 2018, un média a rapporté que Statistique Canada projetait de recueillir les renseignements bancaires de 500 000 ménages à l’insu de ceux-ci ou sans leur consentement^{Note de bas de page 7}. Il a par la suite été rapporté que Statistique Canada avait déjà recueilli des renseignements sur le crédit auprès de TransUnion of Canada inc. (ci-après, « TransUnion »)^{Note de bas de page 8}.
6. Le Commissariat a par la suite reçu 103 plaintes de Canadiens faisant part de préoccupations concernant le pouvoir de Statistique Canada de recueillir sans consentement des renseignements personnels auprès de bureaux de crédit et/ou d’institutions financières^{Note de bas de page 9}. Les plaintes soulevaient également des préoccupations concernant le manque de transparence perçu, les mesures de sécurité que Statistique Canada avait mises en place, l’accès aux renseignements personnels et de possibles fins secondaires auxquelles les renseignements pourraient être utilisés et communiqués.

Méthode

7. À la suite de la réception des plaintes, nous avons avisé Statistique Canada de l’enquête et lui avons demandé de commenter les allégations. De plus, nous avons obtenu des éléments de preuve et de l’information de multiples sources, y compris ce qui suit :
   • des observations de l’Association des banquiers canadiens (l’ABC), des institutions financières et de TransUnion;
   • des visites sur place à l’administration centrale de Statistique Canada et à l’un de ses Centres de données de recherche
   • des entrevues avec des employés de Statistique Canada et des représentants de l’ABC ainsi que des membres de celle-ci;
   • une revue d’ouvrages courants liés à l’utilisation de données administratives, y compris les données appartenant à des intérêts privés, celles détenues par d’autres bureaux de statistique nationaux (BSN), de même que des entrevues avec des autorités et des représentants en matière de vie privée dans des bureaux de la statistique au Royaume-Uni et en Nouvelle-Zélande.
8. Lors de notre enquête, nous avons fait appel à un expert des sciences statistiques pour nous aider à analyser et à évaluer les éléments de preuve recueillis, y compris les renseignements que Statistique Canada nous avait fournis.
9. Statistique Canada a répondu en temps opportun à nos demandes d’observations et nous a donné accès à son personnel et à ses installations.

Projets

Projet de renseignements sur le crédit

10. D’après Statistique Canada, le projet de renseignements sur le crédit vise à mesurer périodiquement la dette des ménages en recueillant directement, auprès de bureaux de crédit, des renseignements sur le crédit de certaines personnes. Statistique Canada a soutenu que les renseignements obtenus de ces bureaux serviraient à colliger des « estimations ponctuelles » de la dette des ménages, selon le type de ménage et le lieu géographique. Les données serviraient à analyser les vulnérabilités au Canada en ce qui concerne les finances personnelles, les taux d’intérêt et le prix des logements.
11. En mars 2018, Statistique Canada a signé avec TransUnion une entente officielle prévoyant le transfert de renseignements dans le cadre du projet. Les données visées par l’entente comprennent des données historiques remontant à 2002, de même que des données courantes. Le type de renseignements à communiquer aux termes de l’entente comprenait environ 600 éléments de données renfermant des renseignements personnels, y compris le nom, l’âge, la date de naissance, le numéro d’assurance sociale, l’adresse et des renseignements sur le crédit. Les renseignements sur le crédit comprennent entre autres le type de crédit, de même que les nombres et les montants liés à chaque type, par exemple, le nombre d’hypothèques, le solde d’une hypothèque, le nombre de mois depuis la dernière activité hypothécaire et le montant du crédit hypothécaire disponible. Statistique Canada avait à l’origine cherché à accéder à 900 éléments de renseignements personnels, mais a par la suite convenu de limiter la collecte à 600 éléments.
12. Statistique Canada a soutenu que le projet de renseignements sur le crédit nécessite des renseignements sur le crédit d’une ampleur s’approchant de celle d’un recensement et que ces renseignements représenteraient en fin de compte environ 80 % de la population totale du Canada. TransUnion a confirmé qu’avant que le Projet soit suspendu, elle avait transféré à Statistique Canada des renseignements concernant environ 44 millions de dossiers réunissant les renseignements d’environ 24 millions de Canadiens. Expliquant l’écart entre ces chiffres, TransUnion a soutenu qu’une seule personne peut être associée à plus d’un dossiers. Les dossiers fournis comprenaient, entre autres, ceux de personnes qui sont décédées ou qui ont quitté le pays^{Note de bas de page 10}.
13. Les données communiquées par TransUnion comprenaient des identificateurs directs, tels que l’exigeait Statistique Canada. À la suite de la réception des données, Statistique Canada établit le couplage de microdonnées^{Note de bas de page 11}, ce qui lui permet de relier les données de TransUnion à d’autres renseignements liés aux personnes faisant partie de ses fonds de données, comme les renseignements sur le revenu des ménages et sur les propriétés recueillis auprès d’autres sources. Une fois que ces liens sont créés, les identificateurs directs sont remplacés par un nombre artificiel qui est maintenu dans une clé de couplage, à l’écart des données, afin de créer des couplages futurs, et l’identificateur direct issu des données brutes de TransUnion est supprimé ou détruit. Cela dit, les renseignements demeurent identifiables à l’aide de la clé de couplage, à laquelle un petit nombre limité d’employés de Statistique Canada a accès.
14. TransUnion a indiqué que, en vertu de lois relatives aux renseignements sur les consommateurs, elle était tenue d’aviser les personnes de la communication à Statistique Canada, et qu’elle l’a fait en plaçant une indication de « demande non liée au crédit » dans le dossier des clients dont les données avaient été communiquées. L’avis était accompagné d’un numéro de téléphone que les personnes pouvaient composer pour obtenir de plus amples renseignements de Statistique Canada à propos du projet.
15. En mars 2018, Statistique Canada a rempli un bref supplément à son évaluation des facteurs relatifs à la vie privée (EFVP) portant sur le projet de renseignements sur le crédit. Il a communiqué le supplément au Commissariat. L’EFVP supplémentaire a également été publiée par la suite sur son site Web.
16. En novembre 2018, à la suite de la controverse publique concernant les deux projets, TransUnion et Statistique Canada ont cessé de communiquer des données sur le crédit dans le cadre du projet de renseignements sur le crédit en attendant le résultat de notre enquête.

Projet relatif aux transactions financières

17. Le projet relatif aux transactions financières vise à mesurer les dépenses des ménages en recueillant directement auprès des institutions financières des renseignements détaillés sur les transactions financières. Statique Canada a soutenu qu’initialement, il proposait d’obtenir chaque mois les renseignements personnels de 500 000 ménages. Ces renseignements devaient comprendre la valeur de toutes les transactions enregistrées dans les comptes personnels (p. ex. des paiements, des achats et des revenus), une description de chaque transaction et sa date, le nom du bénéficiaire et une description, dans le cas de paiements, et les soldes de compte après chaque transaction. La collecte de renseignements serait répétée chaque année pour une série distincte de 500 000 ménages uniques.
18. De plus, dans le cadre du projet relatif aux transactions financières, des renseignements personnels devaient être recueillis à propos des titulaires de compte associés à ces transactions financières. Cela devait comprendre des renseignements comme le nom, le numéro d’assurance sociale, la date de naissance, le numéro de téléphone résidentiel le plus récent et l’adresse domiciliaire la plus récente. Statistique Canada a soutenu que ce type de renseignement était nécessaire pour classer les renseignements en fonction du type de ménage et de faire des liens avec d’autres renseignements.
19. Statistique Canada a d’abord mené une version pilote du projet relatif aux transactions financières en utilisant les renseignements d’un petit échantillon d’employés qui s’étaient portés volontaires pour y participer. Statistique Canada a soutenu que les résultats de ce projet pilote lui avaient donné des raisons de procéder à la demande de renseignements auprès des institutions financières.
20. En avril 2018, Statistique Canada s’est adressé à l’ABC afin d’entamer une discussion concernant le projet relatif aux transactions financières. La discussion s’est poursuivie pendant cinq mois jusqu’à la fin de septembre 2018, ce qui comprenait des présentations à l’ABC et à ses membres. En octobre 2018, Statistique Canada a envoyé une lettre à neuf institutions financières pour leur demander des données sur des transactions financières (la « lettre de demande »).
21. Nous avons entendu des points de vue différents concernant la lettre de demande et l’état du projet. Statistique Canada a décrit le tout comme un « dossier » qui décrivait le pouvoir légal en vertu duquel les renseignements personnels seraient recueillis et qui indiquait que le projet était un « projet pilote » qui en était encore à sa phase de conception. D’après Statistique Canada, celui-ci a envoyé ce « dossier » à la demande de l’ABC, soutenant qu’il avait l’intention de se pencher avec les institutions financières sur les détails relatifs à la collecte des renseignements.
22. Toutefois, dans la lettre de demande, Statistique Canada a adopté un ton plus catégorique et directif^{Note de bas de page 12} :

    [Traduction] La présente vise à avoir accès aux données concernant les transactions financières de personnes qui ont été recueillies par [nom de l’institution financière]. Ces données seront utilisées à des fins statistiques seulement. L’article 13 de la Loi sur la statistique autorise le statisticien en chef à imposer la communication de documents ou d’archives, et à obtenir ceux-ci lorsqu’ils sont conservés dans un ministère ou un bureau municipal ou auprès d’une personne morale, d’une entreprise ou d’une organisation et dont on pourrait tirer des renseignements recherchés pour les objets de la Loi sur la statistique.
    […]

    Vous trouverez ci-joint deux annexes provisoires 7. Nous communiquerons avec votre bureau la semaine prochaine pour planifier une réunion ou une téléconférence afin de discuter plus longuement 7 [soulignement ajouté].

23. Les annexes provisoires jointes à la lettre de demande exposaient en détail les renseignements qui étaient exigés des institutions financières.
24. Les institutions financières ont déclaré avoir été surprises par la lettre de demande, qu’elles percevaient comme imposant la production de renseignements personnels sur leurs clients. À leur avis, Statistique Canada ne possède pas le pouvoir légal de les contraindre à fournir les renseignements, puisqu’elles devraient alors créer et produire des documents ou des archives qu’elles ne conservent pas actuellement. Les institutions ont par ailleurs soutenu que les renseignements sur les transactions financières représentent une cible attrayante et très prisée par les pirates informatiques et que la création et la compilation des renseignements telles que Statistique Canada l’a demandé créeraient une menace à la sécurité dans leur secteur.
25. Les institutions financières ont également soutenu que Statistique Canada proposait d’imposer aux institutions elles-mêmes le fardeau d’aviser leurs clients de la collecte, ce qui, selon les institutions financières, menacerait la relation de confiance qu’elles s’efforcent de maintenir avec leurs clients. Lorsque nous avons soulevé la question auprès de Statistique Canada, il a indiqué que différentes façons d’aviser les personnes concernées étaient envisagées, mais qu’aucune décision n’avait été prise.
26. Statistique Canada a rempli un supplément de deux pages et demi à son EFVP générique pour le projet relatif aux transactions financières vers la fin d’octobre 2018. Toutefois, au moment où notre enquête a été lancée, ce résumé n’avait pas été communiqué au Commissariat.
27. D’après Statistique Canada, on était toujours à conceptualiser le projet relatif aux transactions financières lorsque notre enquête a été lancée. L’organisme a soutenu qu’il avait l’intention de répondre, au cours de discussions subséquentes, à tous les enjeux potentiels soulevés par les institutions financières. En dépit des observations de Statistique Canada, nous avons constaté que le projet était assez avancé, qu’il était présenté de manière autoritaire et que les deux annexes provisoires jointes à la lettre de demande exposaient de façon très détaillée les renseignements que Statistique Canada avait l’intention de recueillir.
28. Quoi qu’il en soit, Statistique Canada n’a jamais recueilli de renseignements liés à ce projet et s’est depuis engagé publiquement à ne pas poursuivre sa démarche tant que les enjeux relatifs à la vie privée soulevés par les Canadiens et le Commissariat n’ont pas été abordés.

Contexte international

29. Tel qu’il est indiqué ci-dessus, pendant notre enquête, nous avons mené une revue d’ouvrages courants liés à l’utilisation de données administratives par d’autres ONS (organisme national de statistique), y compris des données privées, l’objectif étant de mieux comprendre la nécessité et la proportionnalité des projets.
30. En règle générale, nous avons constaté qu’à l’instar de Statistique Canada (voir le paragraphe 2 du présent rapport), les ONS de partout dans le monde sont exposés à une baisse des taux de réponse aux sondages, tout en faisant face à une hausse des coûts et de la demande, par les gouvernements de tous les ordres, de renseignements statistiques plus ponctuels et plus détaillés sur la population. En guise de réaction, les ONS ont de plus en plus recours à des registres administratifs publics, qui sont adaptés et traités afin de rendre les données convenables à des fins statistiques, conjointement avec des enquêtes, l’objectif étant de renforcer la qualité, la portée et le coût-efficacité des produits statistiques^{Note de bas de page 13},^{Note de bas de page 14}.
31. Nous avons aussi observé de plus grands appels à l’utilisation de données d’entreprises du secteur privé pour des raisons semblables. Cela dit, il semble que les projets relatifs à l’utilisation, par d’autres ONS, de renseignements personnels issus du secteur privé aient été en grande partie provisoires et expérimentaux^{Note de bas de page 15}. L’approche prudente et minutieuse s’explique en partie par les préoccupations relatives à la vie privée et par le respect des lois associées sur la protection des données, surtout lorsque les données en cause sont composées de données brutes sur des clients qui sont présentées sous une forme identifiable et qui seraient exportées à un ONS à l’extérieur de l’organisation^{Note de bas de page 16}.
32. Nous avons aussi constaté, pendant notre examen, que d’autres ONS envisagent des solutions de rechange qui portent moins atteinte à la vie privée afin d’accéder aux renseignements personnels détenus par les entreprises du secteur privé. Ils cherchent ainsi à répondre aux préoccupations relatives à la vie privée. Par exemple, au Portugal, à la suite d’une étude sur l’utilisation des données des cartes de crédit et de débit, on a noté que [traduction] « le principal facteur de réussite de l’accès à ces données était l’utilisation de données quelque peu agrégées. Aucun renseignement individuel n’est reçu; des extrants précis sont plutôt définis selon les besoins évalués par le bureau de la statistique du Portugal. Au cours de la discussion entre ce bureau et le propriétaire institutionnel de ces données, on s’est rendu compte que l’accès à des données individuelles pouvait représenter un enjeu important^{Note de bas de page 17}. »
33. De même, les résultats d’une recherche sur l’utilisation des données relatives aux téléphones mobiles à des fins statistiques en France indiquaient que [traduction] « ces données brutes sont de nature très délicate et qu’il serait préférable que [les ONS] aient accès à des données plus agrégées et moins confidentielles^{Note de bas de page 18} ». Au Royaume-Uni, des études utilisant des données relatives aux téléphones mobiles vont de l’avant; [traduction] « seules des données agrégées et non divulgatrices seront recherchées^{Note de bas de page 19}. »
34. On envisage aussi d’autres méthodes de collecte qui servent à atténuer le plus possible les préoccupations relatives à la vie privée qui sont soulevées face à l’accès à des données du secteur privé à des fins statistiques, y compris les méthodes suivantes :
    • l’« échange de données civiques », où les personnes sont encouragées à autoriser les organismes du secteur public à recueillir et à utiliser leurs renseignements personnels qui ont précédemment été communiqués à une entreprise du secteur privé^{Note de bas de page 20};
    • l’« algorithme des données », où un algorithme est installé dans l’environnement de technologie de l’information de l’entreprise privée, l’analyse s’y déroulant; seuls des résultats anonymes sont retransmis aux organismes publics, dont les ONS^{Note de bas de page 21};
    • le « calcul préservant la vie privée »qui permet d’effectuer des analyses de données sans communiquer les données de saisie^{Note de bas de page 22}.
35. Afin de mieux situer les projets dans une perspective internationale, nous avons consulté des représentants de l’Information Commissioner’s Office (ICO) et de l’Office for National Statistics au Royaume-Uni (ONS-R.-U.), en plus de l’Office of the Privacy Commissioner de la Nouvelle-Zélande (OPC-N.-Z.) et de Stats NZ.
36. Pendant ces consultations, on a révélé que même si la collecte et l’utilisation de données administratives venant de sources du secteur public sont généralisées parmi les ONS, l’utilisation de données du secteur privé est beaucoup plus restreinte. En outre, il est important de noter que les renseignements qui viennent des ministères et organismes gouvernementaux – habituellement des renseignements sur les revenus et les douanes – sont généralement présentés dans une forme agrégée et ne permettent pas d’identifier des personnes.
37. En ce qui concerne l’utilisation des données sur le crédit et les finances, l’ONS-R.-U. et Stats NZ ont indiqué qu’en ce moment, ils ne recueillent pas de renseignements personnels auprès d’entités du secteur privé – on ne leur fournit que des données agrégées, sur demande. Les deux bureaux ont également confirmé qu’ils n’ont pas tenté de contraindre des entités du secteur privé à produire des renseignements personnels, même si leur loi habilitante permet de l’imposer. Des données agrégées sont plutôt obtenues par voie de négociation et d’entente.
38. De plus, nous avons entendu que la collecte à la source de données uniquement agrégées et dépersonnalisées ne nuit pas nécessairement à la capacité des ONS de produire et de publier des statistiques significatives et robustes.
39. Du point de vue de la vie privée, nous avons entendu des préoccupations de nos homologues à l’OPC-N.-Z., selon qui même l’utilisation de données agrégées peut créer un important risque pour le droit à la vie privée des personnes, étant donné que l’utilisation de telles données n’est souvent « pas proportionnelle aux objectifs ». Ainsi, dans de nombreux cas, ni la nécessité ni l’efficacité de l’utilisation des données n’a été établie adéquatement avant la collecte, puisque les objectifs particuliers des analyses subséquentes n’ont toujours pas été définis. Qui plus est, dans de tels cas, la possibilité que les personnes visées par les jeux de données agrégées puissent d’une manière ou d’une autre être rendues identifiables n’aurait pas été suffisamment évaluée.
40. Dans l’ensemble, nous avons été informés que bien que les ONS à l’échelle internationale soient en général intéressés d’un point de vue statistique par l’obtention de l’accès à des renseignements financiers au niveau des personnes, dont les renseignements bancaires et sur le crédit, de nombreux obstacles et facteurs compensatoires s’opposent à la collecte de tels renseignements, dont les obstacles juridiques et les préoccupations relatives à l’intrusion dans la vie privée et à la protection de celle-ci.
41. En Europe, l’article 89 du Règlement général sur la protection des données 2016/679 (RGPD) établit les mesures de sécurité que les autorités de contrôle doivent mettre en œuvre avant de poursuivre le traitement des données à caractère personnel à des fins statistiques ou de recherche. Il précise également que les organisations doivent mettre en place des « mesures techniques et organisationnelles » pour veiller au respect du principe de minimisation des données.
42. En règle générale, les ONS que nous avons consultés ont confié qu’ils étudient avec prudence la collecte de renseignements sur le crédit et les finances. Ils le font en mobilisant activement le public afin de mieux comprendre les valeurs culturelles et les attitudes en ce qui concerne la collecte et l’utilisation de renseignements personnels d’une telle sensibilité. Ils ont aussi indiqué que leur approche est adoptée en vue de garantir et de maintenir la confiance du public dans les processus de collecte, les méthodes d’analyse et les produits statistiques de leurs organismes.

Collecte

43. Les plaintes et les projets soulèvent les enjeux qui suivent en ce qui concerne la collecte :
    1. En vertu de la Loi sur la protection des renseignements personnels, Statistique Canada possède-t-il le pouvoir légal de recueillir les renseignements personnels qui sont en cause dans le cadre des projets?
    2. Statistique Canada a-t-il établi que la collecte, l’utilisation, la communication et la conservation de renseignements personnels pour les projets sont nécessaires et proportionnels à l’intrusion dans la vie privée que les projets entraînent?

Pouvoir légal

44. Les institutions gouvernementales qui recueillent des renseignements personnels doivent le faire en conformité avec la Loi, qui définit les renseignements personnels comme étant des renseignements, quels que soient leur forme et leur support, concernant un individu identifiable. Les renseignements sur le crédit que Statistique Canada a recueillis et les renseignements financiers qu’il a proposé de recueillir dans le cadre des projets comprennent des renseignements sur des individus identifiables – comme le prénom et le nom de famille, le numéro d’assurance sociale, l’âge, l’historique de crédit (p. ex. la fréquence de paiement), le montant et la nature des titres de créance, les transactions financières détaillées (p. ex. les achats et les transferts) et les soldes de compte. Il s’agit dans tous les cas de renseignements personnels au sens de l’article 3 de la Loi.
45. L’article 4 de la Loi interdit aux institutions gouvernementales de recueillir de renseignements personnels à moins que les renseignements recherchés aient « un lien direct » avec leurs « programmes » ou « activités ». Pour se conformer à l’article 4 de la Loi, une institution gouvernementale doit disposer d’un pouvoir légal pour le programme ou l’activité en question et être autorisée à recueillir les renseignements personnels qu’elle demande^{Note de bas de page 23}.
46. Dans son entente avec TransUnion et la lettre de demande destinée aux institutions financières, Statistique Canada a désigné l’article 13 de la Loi sur la statistique comme la source de son pouvoir légal de recueillir des renseignements personnels aux fins des projets. L’article 13 prévoit ce qui suit :

    Accès aux documents
    13. La personne ayant la garde ou la charge de documents ou d’archives qui sont conservés dans un ministère ou un bureau municipal ou auprès d’une personne morale, d’une entreprise ou d’une organisation et dont on pourrait tirer des renseignements recherchés pour les objets de la présente loi ou qui aideraient à compléter ou à corriger ces renseignements est tenue d’en permettre l’accès, à ces fins, à une personne autorisée par le statisticien en chef à obtenir ces renseignements ou cette aide pour compléter ou corriger ces renseignements [soulignement ajouté].

47. Statistique Canada a fait observer que, conformément à la Loi sur la statistique, il a pour mandat de recueillir, de compiler, d’analyser, de dépouiller et de publier des renseignements statistiques sur les activités commerciales, industrielles, financières, sociales, économiques et générales de la population canadienne et sur l’état de celle-ci^{Note de bas de page 24}. À son avis, les projets, dans la mesure où ils visent à évaluer des questions comme la dette des ménages et les modèles de dépenses, correspondent donc aux types de statistiques que Statistique Canada a le mandat de produire et qu’il est autorisé à recueillir en vertu de l’article 13.
48. Dans ses observations au Commissariat, TransUnion a souscrit à l’idée que l’article 13 permet à Statistique Canada d’obtenir les renseignements qu’il a demandés au moyen du projet de renseignements sur le crédit. Pour sa part, dans ses observations, l’ABC a contesté l’affirmation selon laquelle l’article 13 de la Loi sur la statistique confère à Statistique Canada un pouvoir légal suffisant pour obtenir les renseignements personnels qu’elle proposait de recueillir dans le cadre du projet relatif aux transactions financières. Elle a précisé que l’article 13 limite Statistique Canada à l’obtention de l’« accès » à des « documents ou [des] archives qui sont conservés ». L’ABC a soutenu qu’il faut donner un sens à ces mots et que, par conséquent, l’article 13 ne permet pas à Statistique Canada de demander à une entreprise de recueillir, de regrouper et de combiner des données en de nouveaux documents. L’ABC a noté que les banques stockent les données des clients qui ont été demandés dans plusieurs bases de données isolées, notamment pour des raisons de sécurité et de protection des renseignements personnels, et que le regroupement d’un grand volume de données de nature sensible comme celui demandé par Statistique Canada causerait des risques pour la sécurité et représente un fardeau d’envergure pour les banques concernées.
49. À notre connaissance, il n’existe aucune autorité judiciaire interprétant la portée de l’article 13 de la Loi sur la statistique. Nous devons donc étudier la question en lisant le libellé de l’article 13 dans le contexte et en harmonie avec le régime et l’objet de la Loi sur la statistique.
50. À commencer par le sens ordinaire de l’article 13, le pouvoir conféré par ces dispositions est celui d’« accéder » à des documents ou à des archives « qui sont conservés » par une organisation et dont on pourrait tirer des renseignements pertinents par rapport au mandat de Statistique Canada^{Note de bas de page 25}. Lu selon le sens ordinaire, l’article 13 suggère donc que Statistique Canada « peut obtenir l’accès » à de tels documents ou de telles archives qui existent déjà (« documents ou archives qui sont conservés »), plutôt que d’imposer la création de nouveaux documents ou de nouvelles archives.
51. Cette interprétation est soutenue par d’autres dispositions de la Loi sur la statistique qui, au contraire, permettent à Statistique Canada de demander des « renseignements » dans certaines circonstances et certaines conditions^{Note de bas de page 26}. Le fait que l’article 13 n’emploie pas cette formulation plus globale suggère, à première vue, que le Parlement avait l’intention que le pouvoir conféré à Statistique Canada à l’article 13 soit plus limité ou, du moins, de nature différente.
52. Statistique Canada a déclaré que, à l’article 13, l’accent doit être mis sur le terme « renseignements » qui est utilisé dans d’autres dispositions, dont les articles 3, 7 et 8 de la Loi sur la statistique, et dont l’interprétation se doit d’être uniforme dans l’ensemble de la Loi. Toutefois, le pouvoir précis conféré par le Parlement à l’article 13 est celui de donner l’accès aux documents ou archives plutôt que d’exiger la production de renseignements comme c’est le cas dans d’autres dispositions de la Loi sur la statistique. Nous convenons que le terme « renseignements » doit avoir un seul sens, mais à notre avis, cela ne change pas le sens ordinaire de l’article 13, qui parle d’accès aux « documents ou archives qui sont conservés ».
53. L’historique législatif de l’article 13 suggère aussi que cet article était censé se limiter à l’accès aux documents ou aux archives existants. La formulation actuelle de cette disposition peut remonter jusqu’à la version de 1918 de la loi habilitante de Statistique Canada, qui prévoyait que les personnes désignées par le statisticien fédéral pouvaient « accéder » aux « archives » ou aux « documents d’une corporation^{Note de bas de page 27} ». Lorsque la Loi sur la statistique a été révisée en 1971, cette formulation a été conservée en grande partie, mais le Parlement a ajouté le qualificatif selon lequel les documents ou les archives auxquels Statistique Canada peut accéder sont ceux « qui sont conservés » par le ministère, le bureau, l’entreprise ou l’organisation^{Note de bas de page 28}. L’article 13 semble donc faire état d’un équilibre, établi par le Parlement, entre, d’une part, permettre à Statistique Canada d’accéder aux renseignements conservés dans les documents administratifs et, d’autre part, limiter le fardeau imposé aux organisations répondantes en n’exigeant pas qu’elles compilent et combinent les données dans de nouveaux documents ou archives.
54. Dans ses observations, Statistique Canada a aussi maintenu que l’article 13 doit être lu à la lumière des articles 7 et 8 de la Loi sur la statistique, qui autorisent le statisticien en chef, entre autres, à rendre obligatoires les « demandes de renseignements » et à décider si celles-ci sont obligatoires ou volontaires^{Note de bas de page 29}. À son avis, l’article 13 est une « disposition d’exécution contraignante » qui lui permet d’exécuter les demandes de renseignements qui sont rendues obligatoires par l’article 8.
55. Nous avons étudié soigneusement cette observation; or nous sommes d’avis qu’elle n’est appuyée ni par la formulation ou la structure de la Loi sur la statistique, ni par les pratiques antérieures de Statistique Canada.
56. En premier lieu, la formulation et le contexte des articles 7 et 8, d’une part, et de l’article 13, d’autre part, donnent à penser qu’il s’agit de dispositions autonomes qui fonctionnent indépendamment l’une de l’autre. À l’inverse des articles 7 et 8, l’article 13 n’emploie pas l’expression « demande de renseignements » et évoque plutôt l’« accès » à des documents ou à des archives. Ainsi, il n’y a dans la Loi sur la statistique aucune indication que le statisticien en chef doive d’abord « prescrire » une demande de renseignements en vertu de l’article 7, puis établir qu’une telle demande est obligatoire en vertu de l’article 8 avant de demander accès aux documents et aux archives en vertu de l’article 13. La formulation de l’article 13 suggère que l’article peut être invoqué de façon indépendante des articles 7 et 8.
57. En outre, nous notons que la Loi sur la statistique traite le refus de répondre à une demande de renseignements comme une infraction distincte du refus de donner accès à des archives^{Note de bas de page 30}. Cela donne également à penser qu’il s’agit de pouvoirs distincts. En effet, on peut difficilement comprendre pourquoi des infractions distinctes seraient nécessaires si l’article 13 n’était qu’une « disposition d’exécution » des articles 7 et 8.
58. En second lieu, en ayant pour interprétation que les articles 7 et 8 élargissent la portée de l’article 13 de la Loi sur la statistique de façon à autoriser une organisation à produire et à compiler des données, cela semblerait vider de leur sens les expressions « accès » à des « documents ou archives qui sont conservés », à l’article 13, contrairement aux principes reconnus de l’interprétation législative. Le fait qu’un document ou une archive est « conservé » par une organisation n’aurait aucune importance selon cette interprétation puisque Statistique Canada pourrait simplement exiger qu’un nouveau document ou une nouvelle archive soit produit(e) à titre de comparaison, le fait d’interpréter l’article 13 comme une source de pouvoir distincte limitée aux documents et archives existants accorde un sens à la formulation de la disposition et est conforme au régime législatif.
59. En troisième lieu, l’observation de Statistique Canada semble par ailleurs incompatible avec ses propres interprétations et pratiques antérieures. Notamment, les présentations et les documents que nous avons examinés indiquent que Statistique Canada a systématiquement considéré son pouvoir prévu aux articles 7 et 8 comme son pouvoir de mener des sondages, dans le cadre desquels il demande aux répondants de répondre à des questions et de fournir des renseignements, de façon distincte de son pouvoir d’accéder à des archives administratives en vertu de l’article 13. Par exemple, dans sa Directive sur l’obtention de données administratives en vertu de la Loi sur la statistique, Statistique Canada indique que son pouvoir légal d’obtenir des données administratives découle de l’article 13 et ne fait aucune mention de l’article 7 ou 8.
60. Les éléments de preuve indiquent aussi que Statistique Canada était d’avis que son pouvoir s’appliquant aux projets précis figurait exclusivement à l’article 13 de la Loi sur la statistique. Dans l’entente avec TransUnion, les lettres de demande et les EFVP des projets, le pouvoir légal précisé par Statistique Canada figurait à l’article 13 de la Loi sur la statistique, et non à l’article 7 ou 8.
61. Statistique Canada a affirmé qu’il n’était pas obligé de citer la disposition en particulier sur laquelle il se fondait. Avec respect, nous ne sommes pas d’accord. L’entente de Statistique Canada avec TransUnion et la lettre de demande de Statistique Canada destinée aux institutions financières indiquaient que les demandes de l’organisme étaient présentées en application du sous-alinéa 7(3)c.1)(iii) de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette disposition permet à une organisation de communiquer des renseignements personnels à l’insu de la personne ou sans le consentement de cette dernière si l’institution gouvernementale a mentionné « la source de l’autorité légitime étayant son droit [d’obtenir les renseignements]. » Statistique Canada devait donc indiquer correctement la source de son autorité légitime. Les éléments de preuve indiquent que dans les documents se rapportant aux projets, Statistique Canada a effectivement cherché à préciser son pouvoir légal et qu’il a évoqué l’article 13, plutôt que l’article 7 ou 8, en tant que source de son pouvoir, conformément à sa pratique antérieure.
62. Enfin, rien ne prouve que Statistique Canada a suivi les importantes exigences de transparence à l’article 8 qui s’appliquent aux demandes obligatoires de renseignements lors de la réalisation des projets. En particulier, l’article 8, exige la publication préalable d’une demande obligatoire et la notification du ministre; ni l’une ni l’autre de ces exigences n’a été respectée dans le cadre des projets^{Note de bas de page 31}. Même si ce point n’est pas déterminant, il est compatible avec le point de vue selon lequel Statistique Canada n’a pas considéré l’article 7 ou 8 comme le fondement juridique des projets.
63. Pour ces raisons, nous sommes d’avis que les articles 7 et 8 de la Loi sur la statistique ne sont pas utiles dans les circonstances ou n’étendent pas le pouvoir de Statistique Canada qui est prévu à l’article 13.
64. Statistique Canada et TransUnion ont également mentionné les dispositions de la législation sur l’accès à l'information qui obligent les institutions du gouvernement à produire une archive à partir de bases de données électroniques dans certaines circonstances, pour appuyer leur interprétation. Toutefois, nous constatons que ces dispositions semblent faire office de dispositions déterminatives^{Note de bas de page 32}. Leur présence donne à penser que, sans elles, il ne serait pas nécessaire de produire une nouvelle archive en réponse à une demande d’accès. Le fait qu’il n’existe pas de disposition déterminative équivalente dans la Loi sur la statistique donne à penser que, au contraire, l’article 13 n’oblige pas une organisation à créer un nouveau document ou une nouvelle archive.
65. Statistique Canada et TransUnion ont fait valoir que limiter le pouvoir de Statistique Canada, en vertu de l’article 13, à l’accès à des documents et archives existants donnerait des résultats absurdes et irait à l’encontre des objectifs de la Loi sur la statistique, particulièrement à la lumière du fait que les organisations stockent régulièrement des renseignements dans des bases de données électroniques. Statistique Canada a suggéré qu’une telle interprétation serait équivalente à l’affirmation qu’il ne peut demander que deux documents soient agrafés ensemble, car cela impliquerait la création d’une nouvelle archive.
66. À notre avis, la supposition qui sous-tend ces observations n’est pas exacte : demander l’accès à un document stocké électroniquement n’entraîne, de toute évidence, pas la création d’un nouveau document ou d’une nouvelle archive, pas plus que le fait de changer le format d’un document existant, notamment en agrafant deux pages ensemble.
67. De plus, nous avons de la difficulté à voir comment une interprétation qui permettrait à Statistique Canada d’avoir accès à tous les documents ou archives conservés par une organisation contenant de l’information pertinente à son mandat pourrait contrecarrer son mandat ou ses objectifs. Bien que cela puisse limiter quelque peu son autorité, il s’agit quand même d’un pouvoir extrêmement large, qui lui permet d’accéder potentiellement à un large éventail de documents ou d’archives. À l’inverse, l’interprétation de l’article 13 comme autorisant Statistique Canada à obliger une organisation à regrouper et à compiler des données en sa possession, peu importe comment elles sont stockées, représente un pouvoir potentiel bien plus vaste et intrusif. En l’absence d’indication expresse que le Parlement avait cette intention, nous ne sommes pas enclins à lire l’article 13 de manière aussi large.
68. Bien que l’article 13 pourrait devoir être mis à jour pour tenir compte de la façon dont l’information est stockée par les entreprises et d’autres organisations dans le contexte actuel, une question abordée ci-dessous dans la section sur la réforme législative, cela ne devrait pas nous amener à faire abstraction du libellé de la loi qui semble pour le moment limiter ce à quoi Statistique Canada peut légalement obliger les organisations à lui donner accès, en vertu de l’article 13.
69. Compte tenu de ce qui précède, nous sommes d’avis que la formulation particulière choisie par le Parlement à l’article 13 est importante et limite le pouvoir de Statistique Canada à la demande d’accès à des documents ou des archives existantes.

Application aux faits

70. En transposant l’analyse ci-dessus aux faits, nous avons examiné si les deux projets relevaient du pouvoir conféré à Statistique Canada à l’article 13 de la Loi sur la statistique.
71. En ce qui concerne le projet de renseignements sur le crédit, TransUnion a expliqué qu’elle tient un système dont elle se sert pour répondre aux demandes de renseignements dans le cadre de ses activités opérationnelles. Elle a précisé qu’elle n’a pas créé de processus technique pour répondre à la demande de Statistique Canada et qu’elle s’est servie du même système et des mêmes processus pour fournir les renseignements demandés par Statistique Canada^{Note de bas de page 33}, et elle a maintenu qu’elle n’a pas dû créer de nouveaux documents ou de nouvelles archives pour répondre à la demande de Statistique Canada.
72. Nous avons remarqué que TransUnion était expressément tenue, aux termes de son entente avec Statistique Canada, de « compiler des données » de plusieurs services pour répondre à la demande. Par contre, TransUnion a indiqué que les données ont, dans les faits, tout de même été tirées d’une seule base de données sur les consommateurs.
73. Selon les éléments de preuve et les observations que nous avons reçus, il semble que TransUnion n’était pas obligée de créer de nouveaux documents ou de nouvelles archives pour répondre à la demande de Statistique Canada. Elle a plutôt donné accès à Statistique Canada aux archives et documents qu’elle conserve électroniquement dans une seule base de données. Nous concluons donc que le projet de renseignements sur le crédit relevait du pouvoir légal de Statistique Canada et était conforme à l’article 4 de la Loi sur la protection des renseignements personnels.
74. Toutefois, nous avons de sérieuses préoccupations en ce qui concerne le projet relatif aux transactions financières. En particulier, les éléments de preuve obtenus de l’ABC, en consultation avec certaines des institutions financières touchées, indiquaient que la demande de Statistique Canada aurait sans doute nécessité la création de nouvelles archives ou de nouveaux documents. Plus précisément, les institutions ont expliqué que même si elles peuvent avoir certaines des données que Statistique Canada recherche, ces données sont conservées dans des bases de données distinctes, lesquelles, pour diverses raisons, dont la sécurité, la protection de la vie privée et la confidentialité^{Note de bas de page 34}, sont cloisonnées et déconnectées. Ainsi, pour produire les données, les institutions financières auraient eu à compiler des renseignements venant de bases de données distinctes.
75. D’après les institutions financières, il aurait fallu d’importantes ressources pour produire des archives répondant à la demande de Statistique Canada. Les institutions financières ont aussi mentionné des enjeux liés aux obstacles réglementaires et à la qualité des données. Elles ont expliqué que, dans certaines circonstances, elles sont sujettes à des règles et des règlements qui interdissent la compilation de données. En outre, certaines compilations ne seraient pas réalisables sur le plan pratique en raison d’incohérences dans le contenu des archives de données. En outre, Statistique Canada a souligné qu’il projetait d’organiser certains des documents demandés aux institutions financières de façon à ce que les renseignements ultérieurs soient difficiles à associer de nouveau par les institutions elles-mêmes – laissant clairement entendre que de nouveaux documents seraient créés.
76. Tout cela donne fortement à penser que la collecte prévue aurait dépassé le simple accès aux documents ou aux archives qui sont conservés par les institutions financières afin d’obtenir les renseignements pertinents. Il semble plutôt qu’il aurait fallu compiler et produire un ensemble de données sur mesure concernant les clients des institutions financières, un ensemble de données que les institutions financières ne conserveraient pas normalement dans le cadre de leurs activités. Par conséquent, nous craignons fortement que si le projet relatif aux transactions financières avait été mis en œuvre tel qu’il avait été conçu au départ, il aurait contrevenu à l’article 13 de la Loi sur la statistique.
77. Toutefois, puisqu’en fin de compte le projet relatif aux transactions financières n’a pas été réalisé et n’a pas donné lieu à la collecte de renseignements personnels auprès d’institutions financières, nous refusons de tirer une conclusion en ce qui concerne cet aspect des plaintes. Par conséquent, nous recommandons que Statistique Canada tienne compte de son pouvoir légal lors de toute restructuration du projet relatif aux transactions financières.

Nécessité et proportionnalité

78. En plus de la question du pouvoir légal, les projets soulevaient aussi des questions plus vastes concernant l’intrusion dans la vie privée causée par les activités de Statistique Canada.
79. Même s’il ne s’agit pas d’une exigence du droit actuel^{Note de bas de page 35}, soulignons qu’à titre de politique gouvernementale, la Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor du Canada (SCT) exige que les institutions gouvernementales ne recueillent de renseignements personnels que lorsque cela est « manifestement [nécessaire] aux programmes ou aux activités » des institutions^{Note de bas de page 36}.
80. Le Commissariat recommande depuis plusieurs années que la collecte de renseignements personnels par les institutions fédérales soit régie par une norme de nécessité et de proportionnalité. Notons aussi que le principe de la nécessité se trouve dans les lois provinciales et territoriales qui protègent les renseignements personnels dans le secteur public et qu’il s’agit d’une norme communément acceptée pour s’assurer que les organismes publics ne recueillent pas trop de renseignements personnels^{Note de bas de page 37}.
81. Dans son rapport de 2016 sur la modernisation de la Loi sur la protection des renseignements personnels, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique a recommandé que la Loi sur la protection des renseignements personnels soit modifiée « de façon à exiger explicitement la conformité aux critères de la nécessité et de la proportionnalité dans le cadre de toute collecte des renseignements personnels, conformément aux autres lois sur la protection de la vie privée en vigueur au Canada et à l’étranger^{Note de bas de page 38} ».
82. Jusqu’à ce que la Loi sur la protection des renseignements personnels soit modifiée, notre document d’orientation publié sur les EFVP demande aux institutions gouvernementales d’évaluer à la fois la nécessité et la proportionnalité d’une activité particulière qui touche la vie privée de personnes avant d’exécuter l’activité. Parmi d’autres institutions, Statistique Canada a accepté que ses activités soient évaluées en application de la norme de nécessité et de proportionnalité lorsqu’il soumet des EFVP à un examen par le Commissariat. Tel qu’il est indiqué aux paragraphes 16 et 28 du présent rapport, Statistique Canada s’est engagé à ne pas procéder à ses projets avant que notre enquête soit achevée et que l’on réponde aux préoccupations des Canadiens visant la vie privée. À notre avis, respecter la norme de nécessité et de proportionnalité constitue une obligation pour y arriver. Dans le cas des activités qui portent particulièrement atteinte à la vie privée, le Commissariat encourage les institutions gouvernementales à évaluer les questions suivantes (aussi connues sous le nom de test en quatre parties)^{Note de bas de page 39} :
    • Peut-il être démontré que la mesure est nécessaire pour répondre à un besoin précis?
      • Est-elle rationnellement reliée à un but public qui est urgent et important?
      • Existe-t-il des éléments de preuve empirique à l’appui de l’initiative?
    • Est-elle susceptible d’être efficace pour répondre à ce besoin?
      • A-t-elle été conçue minutieusement de manière à atteindre l’objectif en question?
    • L’atteinte à la vie privée est-elle proportionnelle à l’avantage obtenu?
      • Plus l’incidence sur la vie privée est grande, plus l’objectif devrait être clair et important.
    • Existe-t-il un moyen d’arriver au même but tout en réduisant l’atteinte à la vie privée?
      • Existe-t-il des éléments de preuve empirique indiquant que d’autres façons ne permettront pas d’atteindre l’objectif?
      • Des mesures raisonnables ont-elles été prises pour s’assurer que l’on a recueilli la quantité minimale de renseignements personnels nécessaires à l’atteinte de l’objectif?
83. En ce qui concerne la nécessité, les institutions gouvernementales sont encouragées à expliquer en détail comment leurs projets d’initiative qui portent atteinte à la vie privée sont liés rationnellement à un objectif urgent et important, et comment le projet de collecte ou d’utilisation des renseignements personnels servira à satisfaire cet objectif. Les institutions doivent fournir des preuves empiriques à l’appui des initiatives et ne devraient pas pouvoir recueillir des renseignements personnels pour des scénarios « juste au cas » ou conserver des renseignements qui pourraient servir à des fins ultérieures non encore déterminées.
84. Pour satisfaire à la première partie du test, les institutions doivent définir un objectif public urgent et important. Dans ses observations, Statistique Canada a décrit les objectifs publics des projets de manière générale. D’après les renseignements fournis, le Commissariat a déduit les objectifs globaux suivants pour les projets :
    • Le projet de renseignements sur le crédit a pour objectif de fournir des renseignements statistiques valides à l’appui de politiques visant les vulnérabilités au Canada en ce qui concerne les finances personnelles, et particulièrement la dette des ménages, les taux d’intérêt et le marché de l’immobilier.
    • Le projet relatif aux transactions financières a pour objectif de combler des lacunes dans les données afin de produire des renseignements statistiques valides dans tous les groupes de ménages et de soutenir des politiques économiques et sociales particulières (comme des politiques anti-pauvreté ciblant les populations vulnérables et des politiques visant à atténuer de façon préventive les effets d’une récession).
85. À notre avis, ces objectifs déduits, s’ils sont validés par Statistique Canada, pourraient raisonnablement respecter le critère de l’objectif urgent et important. Cependant, il faut analyser la mesure dans laquelle tous les renseignements personnels visés par les projets sont manifestement essentiels à l’atteinte de ces objectifs.
86. De même, Statistique Canada a été en mesure d’expliquer, en ce qui a trait au deuxième point du test en quatre parties, que l’efficacité globale de ses méthodes historiques est de plus en plus mise à l’épreuve par un éventail de facteurs, y compris le coût, la baisse des taux de participation aux sondages et le fardeau des répondants. Il soutient que la collecte de données administratives dans le cadre des deux projets constitue une solution de rechange efficace pour surmonter ces défis.
87. Nous reconnaissons l’autorité et l’expertise de Statistique Canada en matière de méthode statistique. Nous soulignons par ailleurs que les projets ont été examinés par des experts externes en méthodologie et en statistique, de même que par le Comité consultatif des méthodes statistiques de Statistique Canada^{Note de bas de page 40}, pour en valider l’efficacité.
88. Statistique Canada n’a toutefois pas encore fourni explicitement une définition claire des objectifs précis des projets de façon suffisamment détaillée pour en évaluer pleinement l’efficacité. En l’absence d’une telle définition, il est impossible de déterminer si les projets ont été conçus minutieusement de manière à atteindre les objectifs.
89. Ceci est important pour évaluer, entre autres éléments, le niveau de précision et de granularité requis pour atteindre les objectifs de manière efficace. Il s’agit là d’une question fondamentale car les moyens ou méthodes statistiques choisis (par exemple, la collecte de renseignements financiers ligne par ligne) doivent être analysés, dans le cadre du test en quatre parties, en fonction du niveau de précision souhaité. Il est clair et accepté que des statistiques valides et fiables peuvent être obtenues sans atteindre un degré d’exactitude et de confiance de 100 %. Statistique Canada n’a pas défini le degré d’exactitude requis à un niveau de granularité permettant la collecte de données par l’intermédiaire des projets.
90. En ce qui a trait aux troisième et quatrième parties du test en quatre parties, notre analyse des éléments de preuve recueillis pendant l’enquête nous a conduits à conclure que, tels qu’ils ont été conçus au départ, les deux projets ne les respectaient pas. Notamment, il suscitaient de sérieuses préoccupations quant à la question de savoir si l’atteinte à la vie privée était proportionnelle au besoin. Nous estimons aussi que des solutions de rechange qui portent moins atteinte à la vie privée sont disponibles et permettraient d’atteindre les mêmes objectifs.
91. La proportionnalité est un principe qui restreint la collecte des renseignements personnels afin de s’assurer que les avantages prévus sont mis en équilibre par rapport à l’intrusion dans la vie privée. Statistique Canada a d’abord soutenu que, puisque ses fins se limitent à la production de statistiques agrégées et qu’il est tenu de préserver la confidentialité des renseignements personnels qu’il recueille, les collectes sont « proportionnelles ». Nous acceptons qu’il s’agisse là de facteurs importants dans l’analyse de la proportionnalité, mais ces facteurs ne sont pas suffisants. Autrement, il n’y aurait visiblement aucune limite quant aux renseignements personnels que Statistique Canada pourrait recueillir conformément à son mandat. D’après une telle logique, indépendamment de l’étendue ou de la sensibilité des renseignements personnels que Statistique Canada proposerait de recueillir, un fait l’emporterait : les renseignements ne seraient utilisés qu’à des fins statistiques et ne seraient généralement pas communiqués dans une forme identifiable.
92. Les deux projets concernent la collecte de renseignements extrêmement détaillés et de nature sensible au sujet de personnes. Les renseignements sur le crédit se rapportent au niveau d’endettement actuel et antérieur d'une personne et sont de nature sensible. Dans le cas du projet de renseignements sur le crédit, Statistique Canada avait demandé initialement 900 éléments de données au bureau de crédit, puis a convenu d’en recueillir un peu plus de 600. Même s’il a adopté des principes de minimisation des données, Statistique Canada n’a pas démontré qu’il s’est demandé si chacun de ces 600 éléments, produits en fin de compte au sujet de 44 000 000 dossiers, était requis avant d’être recueillis.
93. En ce qui concerne la nature et la portée des renseignements personnels en cause dans le projet relatif aux transactions financières, les renseignements sur les transactions financières peuvent présenter un portrait importunément détaillé du mode de vie, des choix de consommation et des intérêts privés d’une personne, y compris les choix licites qu’en tant que personne elle ne voudrait pas que le gouvernement connaisse. Nous considérons une archive complète de transactions financières comme des renseignements personnels de nature extrêmement délicate. En effet, cette collecte ligne par ligne, par une institution gouvernementale, de renseignements liés aux activités bancaires de personnes pourrait être considérée comme l’équivalent d’une surveillance totale par l’État. Il est douteux qu’un objectif public puisse être à ce point convaincant (urgent et important) qu’il justifie ce niveau d’intrusion.
94. Pour déterminer la proportionnalité d’une collecte, il faut soupeser le degré d’atteinte à la vie privée d’une mesure par rapport non seulement à l’existence d’une demande des intervenants pour un type particulier de statistiques, mais aussi à une évaluation de l’importance du besoin particulier d’ordre public qui sous-tend cette demande. Dans tous les cas, Statistique Canada n’a pas démontré dans cette affaire que l’ampleur de la surveillance est proportionnelle aux objectifs du projet relatif aux transactions financières.
95. En plus de la sensibilité des renseignements recueillis, nous avons aussi tenu compte de la mesure dans laquelle les renseignements seraient conservés par Statistique Canada sous une forme identifiable et serviraient à de possibles couplages futurs. Statistique Canada a affirmé que les renseignements qu’il recevait dans le cadre du projet de renseignements sur le crédit étaient « dépersonnalisés dès leur réception ». Toutefois, il est toujours capable d’identifier à nouveau les renseignements et de créer des liens avec d’autres jeux de données liés à des personnes. Ainsi, les renseignements ne sont pas véritablement dépersonnalisés à Statistique Canada. Les couplages entre les renseignements sur le crédit et les transactions financières et les renseignements d’autres sources sont susceptibles d’accroître davantage la sensibilité des renseignements produits, créant des profils extrêmement détaillés et multidimensionnels des personnes. Statistique Canada a soutenu qu’il projetait de relier les renseignements sur le crédit et les renseignements sur les transactions financières aux renseignements de recensement, ainsi qu’à une ou plusieurs autres sources non encore déterminées, à des fins statistiques.
96. Nous avons demandé à Statistique Canada quelle serait la période de conservation des renseignements requis pour identifier une personne (clés de couplage et/ou identificateurs directs). L’organisme ne nous a pas indiqué de période de conservation future, mais a soutenu qu’il avait l’intention de conserver les renseignements en vue d’effectuer des « couplages futurs ». Ainsi, Statistique Canada a expliqué que les renseignements sur les transactions financières pourraient être reliés aux données de recensement afin de générer des statistiques concernant les « dépenses et la capacité financière de sous-populations vulnérables comme les aînés, les familles monoparentales, les immigrants et les jeunes ».
97. Pour les deux projets, Statistique Canada a soutenu que la taille de son échantillon constituait un facteur atténuant qui démontrait que l’incidence sur la vie privée est proportionnelle à l’avantage. Plus précisément, il a fait valoir que les renseignements qu’il avait recueillis auprès de TransUnion – 600 éléments de données venant d’environ 44 000 000 dossiers – ne représentent à ses dires que 4 % des données de renseignements sur le crédit qui se trouvent dans l’industrie des bureaux de crédit, limitant ainsi les renseignements à ceux qui sont nécessaires pour atteindre l’objectif de la politique. En ce qui concerne le projet relatif aux transactions financières, Statistique Canada a soutenu que la collecte de renseignements sur les transactions bancaires de 500 000 ménages était proportionnelle, puisqu’elle représentait à ses dires moins de 3 % de l’ensemble des ménages.
98. À notre avis, les tailles d’échantillon des projets n’atténuent pas suffisamment le caractère intrusif des collectes. TransUnion est un des deux principaux bureaux de crédit du Canada. Comme en témoigne le nombre de dossiers portant sur les renseignements de personnes qui ont été fournis à Statistique Canada par TransUnion, celle-ci détient des renseignements sur un segment considérable de la population. En fait, on peut se demander si une proportion de « 4 % de l’ensemble des renseignements qui existent dans l’industrie du crédit » – un pourcentage qui n’a pas été défini par Statistique Canada et qui manque de clarté – peut même être considérée ou caractérisée comme étant « limitée », vu la totalité des renseignements de nature sensible détenus par l’industrie pour l’ensemble des activités et des services liés au crédit. De plus, tel qu’il est indiqué ci-dessus, le projet de renseignements sur le crédit représentait quasiment un recensement de la population canadienne, venant ainsi soulever d’autres questions sur la nature « limitée » de la collecte.
99. En ce qui concerne le projet relatif aux transactions financières, même s’il concernait théoriquement un plus petit sous-ensemble de la population par proportion, selon sa conception initiale, il aurait malgré tout concerné un grand nombre de personnes et compris des renseignements sur les transactions financières de ces personnes au plus haut degré d’exhaustivité et de granularité. À notre avis, la taille d’échantillon n’aurait pas suffisamment atténué le caractère intrusif de ce projet, surtout si l’on tient compte de la portée et de l’étendue des renseignements personnels qui auraient été recueillis, et, à mesure que la collecte progresserait, elle recueillerait les renseignements de pratiquement tous les Canadiens.
100. Dans la dernière partie du test en quatre parties, on demande aux organisations d’établir s’il existe des façons d’atteindre leurs objectifs particuliers qui portent moins atteinte à la vie privée, y compris l’utilisation de moins de données (c.-à-d. le principe de la minimisation des données).
101. Dans le cas du projet de renseignements sur le crédit, Statistique Canada a soutenu qu’il a envisagé d’avoir recours à une enquête pour recueillir les renseignements dont il a besoin. Il a réalisé un test afin de déterminer si une enquête serait efficace. D’après le test, Statistique Canada a déterminé qu’il ne recevrait pas les renseignements dont il a besoin, puisque les répondants à l’enquête n’auraient pas les renseignements requis ou jugeraient trop lourd le fardeau de la collecte de renseignements.
102. En ce qui concerne le projet relatif aux transactions financières, Statistique Canada a soutenu qu’il avait envisagé deux méthodes portant moins atteinte à la vie privée : i) augmenter la taille d’échantillon de l’Enquête sur les dépenses des ménages et ii) recueillir des renseignements dépersonnalisés auprès des banques. D’après Statistique Canada, aucune des méthodes ne serait efficace pour combler les lacunes de données qu’il a recensées.
103. Après avoir examiné la position de Statistique Canada, nous n’étions pas convaincus que Statistique Canada avait suffisamment tenu compte de solutions de rechange qui sont moins envahissantes du point de vue de la protection de la vie privée, mais qui contribueraient tout de même sensiblement à combler les lacunes de données que Statistique Canada a relevées. Nous ne sommes pas non plus convaincus qu’il ait accordé suffisamment de poids à de telles solutions. Ce point de vue est renforcé par notre exercice d’analyse comparative internationale et par l’analyse effectuée par l’expert en statistique que nous avons consulté. Tel qu’il est indiqué ci-dessus, le contexte international de l’accès par les ONS aux renseignements personnels que détiennent des sources du secteur privé indique qu’il existe un certain nombre de méthodes novatrices dont on discute ou qui font l’objet d’essais et que Statistique Canada aurait pu envisager plus longuement. Les méthodes de rechange disponibles comprennent les suivantes, mais n’y sont clairement pas limitées^{Note de bas de page 41} :
     • L’obtention de données agrégées ou dépersonnalisées de sources administratives;
     • Des méthodes hybrides, l’utilisation de données de référence^{Note de bas de page 42} tirées de bases de données administratives et le fait de compléter les renseignements par des enquêtes sur des sujets qui ne peuvent être obtenus de bases de données administratives;
     • Des groupes de personnes rémunérées pour donner leur avis. Des agences d’enquêtes commerciales ont des groupes bien établis composés de centaines de milliers de personnes disposées à communiquer leurs renseignements – y compris les renseignements sur le revenu de leur ménage^{Note de bas de page 43};
     • Des enquêtes assorties d’échantillonnage d’appoint, visant à étudier de petits groupes^{Note de bas de page 44}.
104. Statistique Canada a affirmé avoir pris des mesures pour envisager des moyens moins envahissants pour la vie privée pour les deux projets. Nous ne sommes toutefois pas convaincus qu’il n’existe pas de solutions de rechange qui portent moins atteinte à la vie privée, d’autant que d’autres ONS ont adopté des méthodes de rechange pour des types de projets semblables, comme l’utilisation de renseignements agrégés.
105. Pour les raisons décrites ci-dessus, Statistique Canada n’a pas démontré que les collectes déjà réalisées dans le cadre du projet de renseignements sur le crédit et les collectes proposées dans le cadre des deux projets, tels qu’ils étaient conçus au départ, étaient nécessaires et proportionnelles.
106. Durant notre enquête, nous avons présenté l’analyse ci-dessus à Statistique Canada. Après avoir passé en revue nos analyses et discuté davantage avec le Commissariat, Statistique Canada s’est engagé à intégrer explicitement la nécessité et la proportionnalité dans son approche en ayant recours au « test en quatre points […] en tant que fondement, en conjonction avec les principes statistiques. » [traduction] Nous sommes encouragés par cet engagement.
107. L’engagement de Statistique Canada comporte deux volets :
     • l’élaboration d’un cadre permettant d’intégrer la nécessité et la proportionnalité dans ses méthodes statistiques;
     • l’application de ce cadre aux projets en cause.
108. En ce qui a trait à l’élaboration d’un cadre relatif à la nécessité et à la proportionnalité, Statistique Canada a proposé de mettre au point des outils, comme une échelle de sensibilité, qui l’aideront à évaluer la sensibilité des renseignements personnels qu’il recueille. Statistique Canada a également suggéré que cette échelle de sensibilité soit utilisée pour déterminer la taille, la portée, l’ampleur de l’échantillon des collectes et d’autres facteurs, notamment le niveau de qualité requis pour atteindre les objectifs établis. Statistique Canada a aussi indiqué qu’il a l’intention d’envisager d’autres méthodes pour réduire au minimum les répercussions sur la vie privée des renseignements personnels recueillis.
109. En outre, Statistique Canada a proposé d’inclure dans son processus de planification de projet une étape qui exige une évaluation de la nécessité et de la proportionnalité de la collecte éventuelle de renseignements personnels.
110. Enfin, Statistique Canada a proposé de constituer un comité d’examen scientifique qui comprendra des spécialistes de la protection de la vie privée afin d’évaluer la nécessité et la proportionnalité des projets proposés.
111. À notre avis, le cadre proposé par Statistique Canada représente un changement d’orientation positif qui pourrait permettre de régler bon nombre d’enjeux liés à la protection de la vie privée soulevés dans le cadre de la présente enquête. Toutefois, il est trop tôt pour évaluer l’efficacité de l’approche.
112. Statistique Canada nous a fourni des descriptions détaillées des concepts révisés des deux projets. Nous constatons de nombreux changements positifs, notamment l’engagement de réduire considérablement la quantité de renseignements recueillis, notamment la taille des échantillons, le nombre de variables et le nombre d’identificateurs personnels. Cela dit, nous n’avons pas reçu de détails sur les renseignements précis qui ne seraient plus recueillis, sur ceux qui le seraient encore et sur les raisons pour lesquelles les renseignements précis, y compris les renseignements financiers et sur le crédit des personnes, sont nécessaires dans les projets restructurés. De plus, compte tenu de la sensibilité des renseignements personnels potentiellement en cause dans les deux projets, les mesures de rechange envisagées doivent aller au-delà de la sélection des éléments de données à recueillir et de la détermination de la taille de l’échantillon. Elles devraient comprendre toute une gamme d’approches^{Note de bas de page 45} afin de limiter de manière significative les répercussions sur la vie privée. Le Commissariat reconnaît que l’intégration des critères de la nécessité et de la proportionnalité n’est pas une mesure que les organismes statistiques connaissent bien, et il faut donc s’attendre à ce qu’elle prenne un certain temps à se réaliser.
113. Néanmoins, nous avons constaté que, depuis le début de notre enquête, Statistique Canada s’est engagé à se pencher sur la définition de la nécessité et de la proportionnalité dans le contexte de la science statistique. En particulier, il a démontré sa volonté à collaborer avec le Commissariat pour restructurer les projets afin qu’ils respectent les principes de nécessité et de proportionnalité.

Transparence

114. Les plaintes et les projets soulèvent l’enjeu suivant à l’égard de la transparence : Statistique Canada a-t-il suffisamment de mesures en place pour s’assurer que les personnes sont au courant que leurs renseignements personnels seront recueillis dans le cadre des projets?
115. Hormis l’exigence de publier un indexe des fichiers de renseignements personnels^{Note de bas de page 46}, la Loi sur la protection des renseignements personnels n’impose pas d’exigences de transparence particulières aux collectes qui sont en cause dans les plaintes^{Note de bas de page 47}. Par contre, Statistique Canada a pris depuis longtemps l’engagement de faire preuve de transparence au cours de sa collecte de renseignements personnels. Dans ses observations, Statistique Canada a déclaré de façon générale qu’il avise les Canadiens et les utilisateurs de données des nouvelles initiatives à l’aide de consultations, de rencontres et de conférences, ajoutant que pendant les phases ultérieures d’essai et de projet pilote, des renseignements plus détaillés sur les méthodes de collecte et les mesures de sécurité de la vie privée sont communiqués aux Canadiens et aux intervenants concernés par le projet.
116. Cela dit, nous n’avons trouvé aucune preuve que Statistique Canada a mobilisé adéquatement le public ou les personnes touchées à propos des projets. Nous n’avons pas pu trouver de mention du projet de renseignements sur le crédit, du projet relatif aux transactions financières ou du PDA de façon plus générale au cours des consultations publiques de l’organisme^{Note de bas de page 48}.
117. L’absence d’ouverture et de transparence liées aux projets était mise en évidence par le contenu des 103 plaintes représentatives que le Commissariat a reçues. Il était manifeste que le public était préoccupé, étonné et incertain de ce qui était recueilli et de l’objectif visé.
118. Dans le cas du projet de renseignements sur le crédit, Statistique Canada a publié l’EFPV supplémentaire pour le projet sur son site Web. Il a indiqué que TransUnion avise les Canadiens chaque fois qu’il fournit des renseignements sur le crédit à Statistique Canada en informant la population qu’une demande de renseignements dite non liée au crédit a été présentée à l’égard de leur compte; les coordonnées de Statistique Canada sont ensuite transmises.
119. Statistique Canada a ensuite soutenu qu’il s’agissait de la même approche que celle adoptée pour le projet relatif aux transactions financières : selon ses dires, en août 2018, Statistique Canada a indiqué que les institutions financières devaient faire preuve de transparence auprès de leurs clients et a proposé qu’un avis soit inséré dans les relevés bancaires en ligne des clients.
120. Notons que les avis affichés par TransUnion nécessiteraient que les personnes demandent d’abord à accéder à leur dossier de crédit pour les voir. En outre, l’envoi d’avis aux clients par TransUnion et l’émission proposée pour les institutions financières se déroulent « après la collecte » des renseignements, comme le montrent les plaintes liées aux renseignements sur le crédit, largement perçus comme une surprise survenue « trop tard ».
121. Vu l’ampleur de la collecte de renseignements de nature sensible dans le cadre des projets, il est tout aussi étonnant que Statistique Canada juge approprié ou efficace, du point de vue de la transparence, de confier à des tiers le soin d’aviser les personnes touchées. À notre avis, Statistique Canada doit agir de façon plus proactive pour s’assurer que les personnes qui sont touchées par les projets sont avisées à l’avance des collectes.
122. En réponse à nos préoccupations et recommandations, Statistique Canada a reconnu qu’il pourrait déployer plus d’efforts pour être proactif et transparent, et il a accepté notre recommandation dans son intégralité. Au cours de notre enquête, Statistique Canada a ajouté du nouveau contenu à son site Web et a lancé le « Centre de confiance », un nouveau site Web qui permet aux Canadiens de trouver de l’information sur les projets et le PDA. Au moment de notre examen, le Centre de confiance ne comportait pas suffisamment de détails, notamment en ce qui concerne les deux projets, et il y avait place à l’amélioration au chapitre de la convivialité. Statistique Canada a reconnu qu’il reste encore beaucoup à faire et compte poursuivre le développement du site Web. Nous encourageons Statistique Canada à poursuivre l’amélioration de son site Web et à se servir d’autres moyens de communication pour informer de façon proactive les Canadiens lorsque leurs données sont recueillies et de leur indiquer les raisons pour lesquelles elles le sont.

Traitement des renseignements personnels après leur collecte

123. Les plaintes et les projets soulèvent les questions suivantes à l’égard du traitement des renseignements personnels après leur collecte :
     1. Statistique Canada dispose-t-il de mesures de sécurité appropriées contre l’accès non autorisé aux renseignements personnels recueillis dans le cadre des projets ou encore l’utilisation ou la communication non appropriée de ces renseignements?
     2. Statistique Canada dispose-t-il de procédures adéquates pour s’assurer que les personnes peuvent avoir accès à leurs renseignements personnels?
     3. Y a-t-il un risque que des renseignements personnels recueillis par l’intermédiaire des projets soient communiqués à des fins secondaires et/ou d’une manière inappropriée?

Mesures de sécurité

124. Les institutions gouvernementales sont tenues en vertu de la Loi sur la protection des renseignements personnels de s’assurer que les renseignements personnels qui relèvent de leur contrôle sont utilisés et communiqués en conformité avec la Loi. Pour s’acquitter de ces obligations, les institutions gouvernementales doivent disposer de mesures de sécurité adéquates afin de se protéger contre l’utilisation ou la communication non autorisée^{Note de bas de page 49}.
125. Dans certaines des plaintes reçues, nous avons pris connaissance de préoccupations concernant la sécurité des renseignements personnels recueillis. La question soulevée est que la vaste quantité d’éléments d’information recueillis présente une cible de grande valeur pour les pirates informatiques et les cybercriminels et augmente donc le risque de cyberattaque. Nous l’avons observé au cours d’autres enquêtes (c.-à-d. l’enquête sur l’infraction à l’Association mondiale antidopage^{Note de bas de page 50}), où une organisation et ses bases de données peuvent devenir une cible de grande valeur pour des auteurs qui possèdent beaucoup de ressources et sont hautement motivés, y compris ceux parrainés par un État. Les fonds de données de Statistique Canada sont parmi les seuls de ce genre en termes de richesse et de profondeur. Nous nous attendrions donc à ce que leur niveau de protection soit proportionnel à son statut de cible de grande valeur.
126. Au cours de l’enquête, nous avons examiné les processus et les systèmes liés au projet de renseignements sur le crédit afin d’évaluer les pratiques de dépersonnalisation, ou de contrôle de la divulgation des données statistiques (CDDS)^{Note de bas de page 51}, ainsi que les mesures de sécurité qu’emploie Statistique Canada. Puisqu’aucun renseignement n’a été recueilli pour le projet relatif aux transactions financières, les détails du CDDS et d’autres mesures de sécurité liées aux renseignements bancaires n’avaient pas été élaborés ou finalisés pour notre évaluation.
127. En plus d’examiner les observations écrites de Statistique Canada, nous avons mené deux visites sur place : une dans un Centre de données de recherche^{Note de bas de page 52} et une à l’administration centrale de Statistique Canada, dans les deux cas à Ottawa, en Ontario. Ces visites visaient à évaluer : i) les mesures prises pour protéger la vie privée des personnes au moment d’échanger ou de communiquer des données ou des statistiques, et les contrôles de la communication des statistiques sur place, et ii) les mesures de sécurité en ce qui concerne le chiffrement numérique ainsi que la journalisation et la surveillance.

Dépersonnalisation

128. Nous avons examiné les politiques, les processus et les procédures de Statistique Canada, de même que la structure de gouvernance que celui-ci utilise pour réduire la possibilité de divulgation de renseignements personnels. Lors de notre évaluation, nous avons tenu compte du contexte de l’environnement et des circonstances où les données pourraient être échangées ou communiquées, conjointement avec une évaluation des données elles-mêmes.
129. À la suite de notre examen, nous avons constaté que Statistique Canada a démontré qu’il dispose d’un certain nombre de mesures organisationnelles et de contrôles appropriés, conjointement avec des méthodes de CDDS qui transforment les données.
130. Globalement, Statistique Canada possède des processus et des procédures raisonnables pour gérer la possibilité et la probabilité de divulgation. Il a aussi recours à des transformations de données pour réduire le risque de divulgation avant de communiquer des données à des parties externes. Il convient aussi de noter qu’il est impossible d’éliminer entièrement le risque au moment de communiquer des données; toutefois, notre évaluation a confirmé que les CDDS de Statistique Canada sont à la fois adéquats et efficaces.

Chiffrement

131. Notre examen a permis de confirmer que Statistique Canada chiffre les données en cause et qu’il a employé un chiffrement à multiples niveaux, qui va au-delà des exigences du Centre de la sécurité des télécommunications (CST) et du SCT.

Journalisation et surveillance

132. Notre examen a confirmé que Statistique Canada a recours à la journalisation et à des pistes d’audit qui enregistrent et retracent l’accès interne aux données en cause; cependant, ces journaux sont examinés sur demande seulement, ce qui n’est pas conforme aux exigences de la Directive sur les pratiques relatives à la protection de la vie privée du SCT^{Note de bas de page 53}, plus précisément de la section 6.2.21, qui indique ceci :

     Prendre des mesures appropriées pour s’assurer que l’accès aux renseignements personnels, leur utilisation et leur divulgation sont surveillés et documentés, afin de pouvoir identifier en temps opportun l’accès ou le traitement inapproprié ou non autorisé aux renseignements personnels.

133. Nous avons aussi observé que Statistique Canada n’emploie pas de solution centralisée de journalisation et de surveillance. Ainsi, pour avoir un tableau complet des activités des utilisateurs, notamment pour détecter les activités non autorisées ou les intrusions, il faut que le personnel de sécurité ou administratif compare les activités entre plusieurs systèmes et solutions de journalisation.
134. Nous avons par contre noté que Statistique Canada dispose de contrôles d’accès solides. Même si de tels contrôles pourraient contribuer à atténuer les accès non autorisés, ils n’assurent pas une surveillance adéquate des utilisations non autorisées. Cela dit, Statistique Canada a indiqué qu’il recherche des outils qui lui permettraient d’évaluer les journaux pour y repérer des anomalies. Même s’il s’agit d’un pas dans la bonne direction, ces outils ne répondront probablement pas à eux seuls aux exigences du SCT s’ils ne comportent pas de surveillance proactive des journaux, destinée à y repérer les accès non autorisés.
135. Les enquêtes antérieures menées par le Commissariat ont mis au jour des cas où des employés (autant du secteur privé que public) avaient accédé de façon inappropriée à des renseignements personnels de nature sensible, qu’ils avaient dans certains cas utilisés de façon inappropriée. Par conséquent, la surveillance constitue une composante essentielle pour s’attaquer aux vulnérabilités face aux menaces internes, surtout lorsque les renseignements personnels sont d’une telle étendue, sensibilité, richesse et valeur, ce qui est manifestement le cas ici.
136. Même si les mesures de chiffrement existantes créent d’importants obstacles pour les auteurs de menace externes, les lacunes relevées en ce qui concerne la journalisation et la surveillance signifient qu’il y a un risque accru d’accès internes non autorisés.
137. À la lumière de l’enjeu relevé, nous recommandons que Statistique Canada mette en place des mesures pour réduire les risques découlant de vulnérabilités à des menaces internes. Plus précisément, Statistique Canada devrait mettre en œuvre une forme de surveillance proactive afin de se conformer à la Directive sur les pratiques relatives à la vie privée et à la Politique sur la protection de la vie privée du SCT^{Note de bas de page 54}. La section 3.1.3 de cette politique explique que la protection et la gestion efficaces des renseignements personnels comprennent la surveillance des risques pour la vie privée associée à la collecte, à la conservation, à l’utilisation, à la communication et au retrait des renseignements personnels.
138. En réponse, Statistique Canada a accepté cette recommandation et a pris des mesures pour améliorer sa surveillance interne des menaces. Malgré le fait que son plan soumis n’est pas suffisamment détaillé pour permettre une analyse complète, nous constatons qu’il semble prometteur et encourageons Statistique Canada à en poursuivre l’élaboration et à s’assurer qu’il respecte les normes du SCT.

Accès

139. La Loi accorde aux personnes le droit d’accéder à leurs renseignements personnels que détiennent des institutions du gouvernement fédéral. Certains plaignants ont exprimé des préoccupations concernant leur droit d’accéder aux renseignements personnels recueillis pour les projets.
140. Nous avons confirmé que Statistique Canada dispose de procédures générales pour permettre aux gens d’accéder aux renseignements personnels auxquels ils ont droit en vertu de la Loi. Nous n’avons trouvé aucun problème systémique dans ces procédures.
141. Nous notons que les renseignements en cause dans les deux projets comprennent des renseignements sur des individus identifiables, y compris des clés de couplage, ce qui constitue des renseignements personnels au sens de la Loi. Par conséquent, les personnes touchées auraient le droit d’accéder à ces renseignements.

Utilisation ou communication à des fins secondaires

142. Certains plaignants ont exprimé la crainte que Statistique Canada communique les renseignements à d’autres institutions afin qu’ils servent à des fins secondaires (comme l’application de la loi).
143. En général, l’article 17 de la Loi sur la statistique interdit à Statistique Canada de communiquer des renseignements qui pourraient permettre d’identifier une personne. L’article 18 de la Loi sur la statistique interdit également l’utilisation de renseignements identificateurs recueillis par Statistique Canada à titre d’élément de preuve dans une procédure. Il interdit également de contraindre des employés de Statistique Canada à témoigner ou à produire des renseignements identificateurs.
144. Cela dit, nous avons observé que l’alinéa 17(2)a) de la Loi sur la statistique permet au statisticien en chef de divulguer, par ordre, des renseignements identificateurs qu’il a obtenus d’organisations et que celles-ci ont recueillis à leurs propres fins, ce qui comprendrait les renseignements recueillis par l’intermédiaire des projets et d’autres programmes de données administratives. Les renseignements doivent être assujettis « aux prescriptions concernant le secret auxquelles ils étaient assujettis lorsqu’ils ont été recueillis ». De plus, ils ne peuvent être révélés que de la manière et dans la mesure où en sont convenus l’organisation et le statisticien en chef.
145. Statistique Canada a affirmé qu’il n’y a eu que sept communications en vertu de l’alinéa 17(2)a) qui aient concerné des renseignements personnels depuis 2010-2011 et qu’il s’agissait de divulgations à d’autres ministères provinciaux, territoriaux ou fédéraux à des fins non statistiques (p. ex. pour permettre aux provinces de mettre à jour leurs registres de l’état civil). Statistique Canada a déclaré que de telles révélations sont régies par sa Directive relative à la révélation discrétionnaire et que des révélations peuvent être faites lorsque le bien public est manifeste et l’emporte sur toute intrusion dans la vie privée.
146. Nonobstant ces observations, l’exigence selon laquelle Statistique Canada doit tenir compte du bien public par rapport à l’intrusion dans la vie privée n’est pas énoncée dans sa Directive relative à la révélation discrétionnaire. La Directive indique plutôt que Statistique Canada peut révéler des renseignements identificateurs lorsque i) les renseignements sont nécessaires aux fins de statistique ou d’analyse et ii) que « les renseignements communiqués ne causent aucun préjudice aux répondants de Statistique Canada ni aux relations qui existent entre ceux-ci et l’organisme » [soulignement ajouté].
147. Cependant, les intérêts d’une organisation répondante peuvent ne pas être les mêmes que ceux d’une personne dont les renseignements personnels seraient divulgués par Statistique Canada. À première vue, la Directive ne semble pas exiger expressément de Statistique Canada qu’il tienne compte des intérêts relatifs à la vie privée des personnes touchées au moment de décider s’il procédera à une révélation en vertu de l’alinéa 17(2)a).
148. Même si nous n’avons pas trouvé de preuve indiquant que Statistique Canada utilisait à mauvais escient son pouvoir prévu à l’alinéa 17(2)a), nous encourageons Statistique Canada à mettre à jour ses politiques et ses procédures écrites, y compris la Directive relative à la révélation discrétionnaire, afin de s’assurer que les intérêts relatifs à la vie privée des personnes sont pris en considération au moment de procéder à des révélations en vertu de cette disposition.

Conclusion

149. Compte tenu de ce qui précède, les plaintes concernant le projet de renseignements sur le crédit sont non fondées. D’après les faits que nous avons recueillis, le projet comprenait l’évaluation de documents ou dossiers qui étaient conservés par TransUnion et était conforme au pouvoir conféré à Statistique Canada à l’article 13 de la Loi sur la statistique. Le projet comportait donc la collecte de renseignements personnels qui avait un lien direct avec un programme ou une activité autorisé(e) de Statistique Canada au sens de l’article 4 de la Loi.
150. Puisqu’aucuns renseignements personnels n’ont été recueillis dans le cadre du projet relatif aux transactions financières, nous refusons de tirer une conclusion, mais nous soulignons que nous craignons que la conception proposée du projet dépasserait le pouvoir conféré à Statistique Canada à l’article 13.
151. Bien que nous n’ayons constaté aucune violation de la Loi, nous étions néanmoins très préoccupés par le fait que les deux projets ne respectaient pas les principes de nécessité et de proportionnalité et, par conséquent, ne respectaient pas adéquatement la vie privée. Même si les objectifs publics qu’a déduits le Commissariat en ce qui concerne les deux projets pourraient, s’ils sont validés, satisfaire raisonnablement à l’exigence d’un objectif urgent et important, Statistique Canada n’a pas démontré que la collecte de renseignements de nature sensible sur le crédit et les finances dans le cadre des projets était nécessaire ou proportionnelle dans les circonstances.
152. Nous craignions par ailleurs que Statistique Canada n’avait pas pris de mesures suffisantes pour faire preuve de transparence à propos des projets et pour s’assurer que les personnes touchées soient avisées avant la collecte de leurs renseignements personnels.
153. En dernier lieu, nous n’avons relevé aucun enjeu concernant le traitement des renseignements personnels après la collecte, à l’exception du fait qu’il ne dispose pas actuellement de mesures suffisantes pour surveiller l’accès interne aux renseignements en cause, ce qui pose des risques pour la sécurité.

Recommandations

154. Pour atténuer les préoccupations ci-dessus, nous avons présenté les recommandations suivantes à Statistique Canada :
155. Recommandation numéro 1 : Que Statistique Canada s’abstienne de procéder au projet de renseignements sur le crédit tel qu’il a été conçu au départ. Nous encourageons fortement Statistique Canada à éliminer, en temps voulu, les renseignements personnels qui ont déjà été recueillis, mais qui n’auraient pas été recueillis dans le cadre du projet restructuré.
156. Recommandation numéro 2 : Que Statistique Canada s’abstienne de procéder au projet relatif aux transactions financières tel qu’il a été conçu au départ.
157. Recommandation numéro 3 : Que Statistique Canada collabore avec le Commissariat dans le but de restructurer le projet de renseignements sur le crédit de manière à respecter les principes de la nécessité et de la proportionnalité avant de poursuivre le projet.
158. Recommandation numéro 4 : Que Statistique Canada collabore avec le Commissariat en vue d’achever la conception du projet relatif aux transactions financières de manière à respecter son pouvoir légal et les principes de la nécessité et de la proportionnalité avant de mettre en œuvre le projet.
159. Recommandation numéro 5 : Que Statistique Canada augmente la transparence relative à la collecte de renseignements personnels à partir de sources administratives afin de maintenir la confiance du public.
160. Recommandation numéro 6 : Que Statistique Canada mette en œuvre, compte tenu de l’enjeu que nous avons recensé, des mesures destinées à réduire les risques posés par les vulnérabilités aux menaces internes.
161. En réponse à nos conclusions, Statistique Canada a accepté de mettre en œuvre toutes les recommandations susmentionnées. Comme nous l’avons précisé tout au long du rapport, Statistique Canada a déjà apporté des améliorations au chapitre de la transparence et du traitement des renseignements, et s’est engagé à restructurer les deux projets en tenant compte de nos recommandations. En outre, il s’est engagé à collaborer avec le Commissariat à l’avenir dans le cadre de la restructuration des projets.

Post scriptum : Demande de réforme législative

162. À notre avis, cette enquête met en évidence la nécessité d’une réforme législative à la fois de la Loi sur la statistique et de la Loi sur la protection des renseignements personnels. Les projets que nous avons examinés risquent d’être les premiers d’une série de nombreux projets que Statistique Canada cherchera à entreprendre dans le cadre de son initiative de modernisation, et il semble probable qu’il continuera d’y avoir des appels à l’accès à une quantité croissante de renseignements personnels détenus par des entités du secteur privé à des fins relevant de l’intérêt public ainsi que des pressions à cet égard.
163. Selon nous, une telle réforme doit concilier judicieusement les intérêts importants. D’un côté, Statistique Canada et les décideurs ont un besoin légitime d’accéder légalement à des données et de générer des statistiques ponctuelles et à jour pour éclairer une saine prise de décisions. D’un autre côté, les Canadiens ont raison de croire qu’il doit y avoir des limites appropriées quant à la quantité et aux types de renseignements personnels auxquels Statistique Canada peut accéder à leur sujet auprès des banques, des bureaux de crédit, des entreprises de télécommunication, des entreprises de médias sociaux, des développeurs d’applications mobiles et d’une myriade d’autres entreprises du secteur privé, à leur insu et sans leur consentement.
164. À notre avis, le cadre législatif actuel de Statistique Canada, en ce qui concerne le pouvoir qu’a l’organisme de recueillir des renseignements personnels indirectement d’entreprises du secteur privé, est désuet, permet une trop vaste collecte de renseignements personnels, et est mal adapté au monde actuel d’analyses de données massives, où les préoccupations relatives à la vie privée ont pris une dimension nouvelle et omniprésente.
165. La formulation actuelle de l’article 13 de la Loi sur la statistique remonte largement à 1918 et précède l’époque où les organisations ont commencé à recueillir et à stocker de grandes quantités de renseignements personnels par voie électronique. Bien que la Loi sur la statistique ait été modifiée récemment en 2017, ces modifications ne semblent pas avoir abordé le cadre juridique qui devrait s’appliquer aux nouveaux programmes de « mégadonnées administratives » que représentent les projets que nous avons examinés dans le cadre de la présente enquête. À notre avis, si Statistique Canada entend accéder à grande échelle à des renseignements personnels auprès d’entreprises du secteur privé, son pouvoir légal de le faire devrait être clair et appuyé sur une compréhension moderne de la technologie et son incidence sur la protection de la vie privée.
166. Qui plus est, le Parlement devrait se demander quelles devraient être les limites appropriées du pouvoir de Statistique Canada au moment d’accéder à de tels renseignements, de les utiliser et de les communiquer. À l’heure actuelle, la Loi sur la statistique ne comporte aucune exigence explicite selon laquelle Statistique Canada doit démontrer la nécessité et la proportionnalité d’une collecte de données administratives comportant des renseignements personnels. Dans le contexte des programmes de données administratives, il n’existe pas non plus d’exigence législative précise concernant la minimisation, la transparence, la conservation ou la réglementation des données lorsque Statistique Canada peut se servir des renseignements afin d’effectuer des couplages pour d’autres études. À notre avis, l’affirmation selon laquelle « puisque Statistique Canada est assujetti à des exigences en matière de confidentialité, alors aucune autre mesure de protection n’est requise » ne tient pas adéquatement compte des intérêts en jeu en matière de protection de la vie privée quand Statistique Canada cherche à obtenir un accès à de vastes quantités de renseignements personnels de Canadiens sans leur consentement et envisage de les conserver indéfiniment.
167. Les lacunes de la Loi sur la statistique ne seraient pas aussi inquiétantes si la Loi sur la protection des renseignements personnels n’était pas aussi désuète. Toutefois, tel que le Commissariat et le comité ETHI^{Note de bas de page 55} l’ont indiqué à plusieurs reprises, la Loi sur la protection des renseignements personnels doit faire aussi l’objet de réforme. Notamment, l’article 4 de la Loi sur la protection des renseignements personnels ne mentionne pas explicitement d’exigence de nécessité pour la collecte de renseignements personnels et la Cour d’appel fédérale lui a donné l’interprétation qu’elle n’en contient pas^{Note de bas de page 56}. Même si nous sommes encouragés par le fait que Statistique Canada a accepté de mettre en application les principes de la nécessité et de la proportionnalité, il n’est pas actuellement tenu légalement de le faire.
168. Nous demandons donc au Parlement d’examiner cette question. Statistique Canada devrait disposer d’un cadre juridique clair qui régirait ses programmes de données administratives, assorti de mesures de sécurité appropriées, s’il entend effectivement continuer de demander accès à des renseignements personnels de nature sensible qui sont détenus par des acteurs du secteur privé et les conserver pour des couplages futurs non définis. Le moment est venu de réfléchir sérieusement au cadre juridique régissant les programmes de données administratives de Statistique Canada concernant les renseignements personnels. L’objectif sera alors de s’assurer que les avantages publics des données massives pourront être réalisés tout en respectant le droit à la vie privée des Canadiens.