Surveillance par le Commissariat à la protection à la vie privée de la conformité du projet relatif aux transactions financières et du projet de collecte de données auprès des agences d’évaluation du crédit de Statistique Canada: Rapport final

Le 3 mai 2021

---

Plainte en vertu de la Loi sur la protection des renseignements personnels

Description

Le Commissariat a enquêté sur des plaintes déposées en 2018-2019 concernant la collecte par Statistique Canada de renseignements détaillés sur le crédit et de renseignements financiers dans le cadre du projet de renseignements sur le crédit et du projet relatif aux transactions financières. Bien que le Commissariat ait conclu qu’il n’y a pas d’infraction à la Loi sur la protection des renseignements personnels, nous avons quand même relevé d’importantes préoccupations en matière de vie privée. Statistique Canada s’est engagé à travailler avec le Commissariat par la suite sur la refonte de ces deux projets, et le présent rapport de suivi évalue si les projets remaniés répondent à nos recommandations liées aux principes de nécessité et de proportionnalité.

Points à retenir

• Lorsqu’elles envisagent des initiatives sensibles pour la protection de la vie privée, les institutions gouvernementales doivent se demander si la collecte et l’utilisation de renseignements personnels sont nécessaires pour atteindre un but d’intérêt public urgent et important et si l’incidence sur la vie privée est proportionnelle à l’importance de ce but.
• Les institutions gouvernementales sont tenues de décrire le but d’intérêt public avec un degré de spécificité et de précision qui permet de l’évaluer de façon significative par rapport aux incidences d’une initiative sur la vie privée.
• Statistique Canada s’est efforcé d’intégrer les principes de nécessité et de proportionnalité dans son travail, y compris pour remanier les projets sur lesquels nous avons mené enquête. Cependant, après avoir évalué la proposition de refonte des projets, nous croyons qu’il y a encore du travail à faire.

Rapport de surveillance de la conformité

Objet

1. Le présent rapport vise à fournir à Statistique Canada (« Statistique Canada ») notre évaluation du Projet relatif aux transactions financières et du Projet de collecte de données auprès des agences d’évaluation du crédit (les « projets ») conformément au mandat du Commissariat à la protection de la vie privée (le « Commissariat ») et au Contrôle de conformité des collectes de données administratives de Statistique Canada.

Résumé

2. Statistique Canada a réalisé des progrès en vue d’intégrer les principes de nécessité et de proportionnalité à la refonte des projets. Plus particulièrement, il propose maintenant de faire progresser les projets en trois phases itératives; la première consistera à évaluer la faisabilité (l’« étape de faisabilité ») qui, comme l’a indiqué Statistique Canada, éclairera et façonnera davantage la forme des projets finaux. En outre, Statistique Canada a choisi de limiter la collecte de données en réduisant les renseignements personnels qui doivent être recueillis au cours des phases de faisabilité de chacun des projets. Par exemple :
   • Pour le Projet relatif aux transactions financières;
     • Le nombre de ménages touchés est passé de 500 000 à 5 000^{Note de bas de page 1};
     • Le nombre de variables a été limité à 16^{Note de bas de page 2}, soit de moitié par rapport à 32;
   • Pour le Projet de collecte de données auprès des agences d’évaluation du crédit;
     • Le nombre de variables est passé de 600 à 46.
3. Les progrès réalisés par Statistique Canada vont au-delà de la refonte des projets. Au cours de nos activités de surveillance, nous avons observé la mise en œuvre d’un certain nombre de mesures d’amélioration de la protection de la vie privée, notamment :
   • la mise sur pied d’un secrétariat à l’éthique en matière de gestion des données ayant pour mandat de mener des examens éthiques et de sensibiliser l’organisation à l’éthique des données;
   • la création d’un organisme externe de surveillance de l’éthique – le Conseil consultatif sur l’éthique et la modernisation de l’accès aux microdonnées (le « Conseil ») – dont le mandat comprend la formulation de recommandations dans les domaines de la confidentialité, de la sécurité et de l’éthique des données^{Note de bas de page 3};
   • l’exécution de recherches sur l’évaluation de la sensibilité des données et l’élaboration d’une échelle de sensibilité afin d’aider les gestionnaires de programme à tenir compte de la sensibilité dans leurs efforts de collecte de données pour les programmes statistiques;
   • la création d’un « Centre de confiance » en ligne sur le site Web de Statistique Canada conçu pour renseigner les Canadiens sur la protection des renseignements personnels, la nécessité et la proportionnalité, les données recueillies par les enquêtes, les données administratives, et les projets de modernisation.
4. Malgré ces progrès, nous avons constaté que les plans de projet et les explications subséquentes n’avaient pas mené au respect des critères^{Note de bas de page 4} que nous avions établis pour évaluer les projets, dans un certain nombre de domaines, notamment^{Note de bas de page 5} :
   • les buts d’intérêt public ne sont pas décrits avec un niveau de spécificité et de précision proportionnel aux incidences sur la vie privée;
   • l’efficacité des projets n’a pas été démontrée;
   • les facteurs relatifs à la vie privée n’ont pas été pris en compte de manière suffisante.
5. Nous avons constaté que certains éléments manquants semblent être liés à l’approche itérative adoptée. Par exemple, comme l’a expliqué Statistique Canada, la phase initiale de chaque projet est conçue pour vérifier la faisabilité. Par conséquent, nous ne sommes pas en mesure de déterminer si les questions de protection des renseignements personnels seront prises en compte de manière efficace dans les versions finales des projets. Même si nous ne nous opposons pas l’adoption d’une approche itérative, celle-ci signifie que nous n’obtiendrons pas les réponses à certaines de nos questions qu’à des étapes ultérieures.
6. Dans d’autres cas, nous estimons qu’il est possible de corriger certains éléments manquants en harmonisant davantage les plans de projet avec les critères d’évaluation que nous avons fournis. Par exemple, dans nos critères d’évaluation, nous fournissons des directives pour décrire les buts d’intérêt public dans le contexte de l’évaluation de la nécessité et de la proportionnalité. Plus précisément, nous faisons la distinction entre les fins poursuivies (le but d’intérêt public) et les moyens choisis pour poursuivre ces fins. Nous avons constaté que Statistique Canada s’était surtout attardé aux moyens qu’il avait choisis (collecte directe auprès des institutions financières et des agences d’évaluation du crédit) sans décrire les fins avec suffisamment de précision.
7. Afin de déterminer si les incidences sur la vie privée découlant des projets sont nécessaires pour atteindre des buts d’intérêt public urgents et importants, les buts doivent être décrits de manière adéquate et il faut démontrer que les moyens choisis sont susceptibles de permettre d’atteindre efficacement ces buts. En outre, pour déterminer si les incidences sur la vie privée sont proportionnelles aux objectifs poursuivis, il faut tenir compte de l’ensemble des circonstances^{Note de bas de page 6}. Compte tenu de ces impératifs et des éléments manquants dans les plans de projet, nous recommandons à Statistique Canada de prendre les mesures suivantes avant de procéder à la dernière phase de mise en œuvre de chaque projet :
   • Recommandation 1 : Décrire les buts d’intérêt public avec un niveau de spécificité et de précision qui permettra de les évaluer de façon significative par rapport aux incidences sur la vie privée.
   • Recommandation 2 : Réexaminer la question de l’efficacité une fois que les projets ont progressé jusqu’à un point où l’efficacité peut être démontrée.
   • Recommandation 3 : Analyser la protection des renseignements personnels en contexte et tenir compte à la fois du risque d’atteinte pour les personnes et du risque d’atteinte en général.
   • Recommandation 4 : Une fois que les recommandations 1 à 3 ont été mises en œuvre, soumettre de nouveau les plans à l’examen du Commissariat.

Contexte

8. À l’automne 2018, le Commissariat a institué une enquête sur des allégations selon lesquelles Statistique Canada contrevenait à la Loi sur la protection des renseignements personnels en recueillant des renseignements personnels pour les besoins de deux projets de données administratives :
   • le Projet de collecte de données auprès des agences d’évaluation du crédit;
   • le Projet relatif aux transactions financières.
   Cette enquête a été lancée à la suite de clameurs de protestation du public concernant ces projets au motif de leur atteinte à la vie privée et d’un grand nombre de plaintes reçues par le Commissariat.
9. Nous avons constaté que Statistique Canada avait le pouvoir légal de recueillir les renseignements en cause dans le cadre du Projet de collecte de données auprès des agences d’évaluation du crédit. En ce qui concerne le Projet relatif aux transactions financières, nous avons soulevé des préoccupations sérieuses quant au fait que le projet aurait excédé le pouvoir légal de Statistique Canada de recueillir des renseignements personnels s’il avait été mis en œuvre selon sa conception d’origine. Comme ce projet a été interrompu pendant notre enquête, aucun renseignement personnel n’avait été recueilli. Par conséquent, nous n’avons pas présenté de constatations.
10. En dépit de ces conclusions, notre enquête a mis en lumière d’importantes préoccupations en matière de protection de la vie privée quant aux deux projets, tels qu’ils avaient été conçus au départ. Plus particulièrement :
    • même si les buts d’intérêt public que nous avons déduits pour les deux projets pourraient, s’ils sont validés, raisonnablement satisfaire au critère de l’objectif urgent et important, Statistique Canada n’a pas démontré que tous les renseignements personnels qu’il souhaitait recueillir étaient nécessaires à la réalisation de ses objectifs et que les projets, tels qu’ils étaient conçus, étaient proportionnels à l’invasion de la vie privée qui s’ensuivait et que d’autres solutions portant moins atteinte à la vie privée n’étaient pas raisonnablement disponibles;
    • Statistique Canada a également omis de faire preuve d’une transparence suffisante quant à la collecte de renseignements personnels par l’entremise des projets;
    • même si Statistique Canada a pris d’importantes mesures dans le but d’isoler et de restreindre le plus possible l’accès aux données, en plus de protéger celles-ci contre les auteurs de menaces externes, il pourrait améliorer ses mesures de sécurité afin d’atténuer les vulnérabilités aux menaces internes au moyen d’une surveillance de l’accès et de l’utilisation à l’interne non autorisés.
11. En réponse, Statistique Canada a accepté de mettre en œuvre les recommandations^{Note de bas de page 7} formulées dans notre Rapport de conclusions d’enquête de l’automne 2019 sur les constatations et de collaborer avec le Commissariat pour veiller à ce que les projets soient restructurés afin de respecter les principes de nécessité et de proportionnalité. Cet accord a été officialisé dans un mandat signé par le Commissariat et Statistique Canada au printemps 2020.
12. En juin 2020, le Commissariat a fourni à Statistique Canada des critères à utiliser pour évaluer ses projets restructurés^{Note de bas de page 8}.
13. Ce rapport final remplit l’obligation du Commissariat de fournir un rapport évaluant les projets, comme il est indiqué dans le mandat.
14. Les documents examinés en préparation du présent rapport figurent à l’annexe B.

Mandat et portée du rapport

15. Le présent rapport vise à déterminer si Statistique Canada a démontré que les projets, tels qu’ils sont présentés, satisfont aux principes de nécessité et de proportionnalité. Il n’examine toutefois pas en détail les mesures prises par Statistique Canada pour donner suite à nos recommandations en matière de mesures de protection ou de transparence. Cela dit, le rapport comprend des renvois aux mises à jour fournies par Statistique Canada, car elles fournissent le contexte des plans de projet.
16. Dans notre rapport d’enquête, nous avons expliqué notre position selon laquelle, si Statistique Canada avait mis en œuvre le Projet relatif aux transactions financières, il aurait dépassé son pouvoir législatif de recueillir les renseignements personnels en question. Toutefois, nous ne disposions pas de renseignements suffisants pour trancher cette question. À cette étape du Projet relatif aux transactions financières, nous ne disposons toujours pas de renseignements suffisants pour déterminer si le Projet relatif aux transactions financières restructuré s’inscrit dans la portée de l’autorité légitime de Statistique Canada. Statistique Canada devra évaluer cette question en collaboration avec les institutions du secteur financier pour s’assurer qu’il a le pouvoir légal de recueillir les renseignements personnels en question.
17. À titre d’agent du Parlement chargé d’enquêter sur les plaintes déposées par des particuliers, le Commissariat n’est pas en mesure d’approuver ou d’appuyer les programmes et les activités des organismes sur lesquels il a compétence pour enquêter. Toutefois, nous avons le mandat de conseiller les organisations sur les questions de protection des renseignements personnels afin de promouvoir le respect de la loi et de veiller à ce que les organisations mettent en œuvre des projets et des initiatives dans le respect de la vie privée.

Que sont la nécessité et la proportionnalité et pourquoi sont-elles importantes pour la protection de la vie privée?

18. La vie privée est un droit humain fondamental qui englobe la liberté de vivre et de s’épanouir sans surveillance. Elle est aussi une condition préalable à l’exercice d’autres droits de la personne, dont le droit à l’égalité, à une époque où les machines et les algorithmes prennent des décisions à notre sujet, ainsi que les droits démocratiques, puisque l’on sait que les technologies peuvent entraver les processus démocratiques. La protection de la vie privée ne se limite pas à une série de règles techniques et de règlements. Elle représente plutôt un impératif constant de préserver les droits fondamentaux de la personne et les valeurs démocratiques.
19. La collecte de renseignements personnels pour la poursuite de buts d’intérêt public importants et légitimes peut avoir une incidence sur le droit à la vie privée. En pareil cas, nous conseillons aux organisations de déterminer si les mesures proposées sont nécessaires, susceptibles d’être efficaces, peu intrusives et proportionnelles au but d’intérêt public.
20. Ce qui est « nécessaire » dépend du contexte, notamment du mandat et des objectifs de l’institution. À cet égard, nous n’interprétons pas la nécessité comme une « nécessité absolue » (c.-à-d. qu’aucun autre moyen imaginable n’est disponible, quels que soient les coûts). Entre autres choses, cela serait incompatible avec la jurisprudence en interprétant une atteinte minimale comme exigeant qu’une mesure porte atteinte à un droit pas plus que « raisonnablement » nécessaire^{Note de bas de page 9}. Cela dit, le concept de nécessité exige de réfléchir aux renseignements personnels requis pour atteindre un but d’intérêt public légitime, suffisamment important et précis. Le fait de limiter la collecte au « besoin d’avoir » (nécessaire) plutôt qu’à « utile d’avoir » (éventuellement utile) est une mesure importante et reconnue à l’échelle nationale et internationale d’atténuation des risques liés à la vie privée, surtout dans l’environnement actuel riche en données.
21. En ce qui concerne la proportionnalité, le Commissariat estime depuis longtemps qu’il s’agit d’un élément essentiel de la protection de la vie privée. Nous comprenons que la proportionnalité signifie que plus l’incidence sur la vie privée est grave, plus un but d’intérêt public devrait être important. En outre, la mesure devrait être soigneusement adaptée de manière à être rationnellement liée à l’objectif précis à atteindre. Nous appliquons un critère de proportionnalité dans les évaluations des facteurs relatifs à la vie privée (« EFVP ») soumises par les institutions fédérales pour des programmes ou des activités nouveaux ou modifiés, en particulier pour les initiatives ou technologies particulièrement intrusives ou invasives dans la vie privée. Au cours de notre enquête, nous avons appliqué ce critère aux programmes en cause pour étayer nos conclusions.
22. En ce qui concerne l’évaluation de la nécessité et de la proportionnalité, il n’existe peut-être pas de grande différence dans la pratique entre mettre l’accent sur un programme, une activité ou un service par opposition à un « but ». Dans un cas comme dans l’autre, il y aura un objectif public poursuivi par l’institution fédérale par rapport auquel il faudra évaluer la nécessité et la proportionnalité de la collecte. Ce qui importe davantage, à notre avis, est que l’objectif public du programme, de l’activité ou du service en question doit être défini avec suffisamment de précision pour qu’une évaluation de la nécessité et de la proportionnalité puisse être effectuée. Comme l’a souligné la Cour suprême, si l’objectif est formulé de façon trop large, on risque d’en exagérer l’importance et d’en compromettre l’analyse^{Note de bas de page 10}.
23. Les critères d’évaluation que nous avons fournis à Statistique Canada en juin 2020 ont été élaborés en tenant compte des principes susmentionnés et conçus pour guider Statistique Canada dans sa propre évaluation de la nécessité et de la proportionnalité de ses projets restructurés.

Cadre relatif à la nécessité et à la proportionnalité de Statistique Canada

24. Statistique Canada nous a informés que les projets ont été restructurés conformément à son cadre relatif à la nécessité et à la proportionnalité (le « cadre de Statistique Canada » ou le « Cadre »).
25. À l’automne 2020, nous avons examiné le cadre et constaté qu’il ne correspondait pas à nos critères d’évaluation. Plus précisément, nous avons cerné trois domaines généraux dans lesquels nous croyons que le cadre pourrait être amélioré :
    
    

    Concepts

    • Nous avons constaté que certains des concepts utilisés par Statistique Canada ne reflétaient pas les définitions que nous avons énoncées dans nos critères d’évaluation, qui sont fondées sur le droit national et international et les normes de protection de la vie privée largement reconnues. Nous avons recommandé à Statistique Canada d’harmoniser les concepts de son cadre avec ceux énoncés dans nos critères.

    Séquence

    • Bien que le cadre comporte certaines étapes et certains facteurs à considérer qui sont communs à notre interprétation de la nécessité et de la proportionnalité, nous avons recommandé à Statistique Canada de peaufiner sa séquence pour s’assurer que les bonnes questions sont posées au bon moment.
    • Dans nos critères d’évaluation, nous avons proposé une séquence d’évaluation de la nécessité et de la proportionnalité. La séquence reflète la jurisprudence canadienne, l’approche du Commissariat à l’égard de l’application de cette jurisprudence et les normes de protection des données reconnues à l’échelle internationale. Plus précisément, nous avons recommandé la séquence suivante :
      • Définir le but ou l’objectif d’intérêt public avec suffisamment de précision.
      • Décrire en détail la mesure proposée ou le projet et la collecte de renseignements personnels.
      • Évaluer la nécessité en contexte.
      • Évaluer la proportionnalité en contexte.

    Contexte

    • Nous avons remarqué que le cadre de Statistique Canada ne tenait pas compte du contexte et nous avons recommandé que Statistique Canada utilise nos critères d’évaluation pour intégrer le concept de contexte à son évaluation des facteurs relatifs à la vie privée.
26. De plus, Statistique Canada a expliqué qu’il effectue actuellement des recherches sur la façon d’évaluer la sensibilité des données et qu’il élabore une échelle de sensibilité des données afin d’aider les gestionnaires de programme à tenir compte de la sensibilité dans leurs efforts de collecte de données pour les programmes statistiques.
27. Afin d’accroître la transparence, Statistique Canada a créé un Centre de confiance sur son site Web. L’objectif du centre est de renseigner les Canadiens sur l’importance de la protection des renseignements personnels, la nécessité et la proportionnalité, les données recueillies par les enquêtes, les données administratives, la responsabilisation et les projets de modernisation.

Évaluation des projets

28. De façon générale, les projets semblent sensiblement semblables à ceux que nous avons examinés. En ce qui concerne le Projet relatif aux transactions financières, Statistique Canada a toujours l’intention de recueillir des renseignements détaillés sur les transactions financières pendant une période d’un an et de les coupler à d’autres renseignements qu’il détient au sujet des personnes dans d’autres bases de données (p. ex. données démographiques, socioéconomiques). En ce qui concerne le Projet de collecte de données auprès des agences d’évaluation du crédit, Statistique Canada a toujours l’intention de recueillir des dossiers de crédit auprès d’une agence d’évaluation du crédit pour tous les particuliers du Canada ayant un tel dossier et de les coupler avec les renseignements qu’il détient sur les particuliers dans d’autres bases de données. À ces égards importants, les projets demeurent inchangés.
29. Nous soulignons deux différences notables entre la présentation des projets initiaux et les projets mis à jour. Premièrement, Statistique Canada propose maintenant d’adopter une approche itérative, les premières phases étant consacrées à la faisabilité pour évaluer l’efficacité des projets du point de vue des résultats. À notre avis, cela est conforme à l’élaboration prudente d’une base de données, étape par étape, qui permet d’intégrer les nouveaux apprentissages et les surprises qui se présentent inévitablement à chaque étape à la conception de l’étape suivante.
30. Deuxièmement, Statistique Canada a réduit les données qu’il recueille. Par exemple, pour le Projet relatif aux transactions financières, Statistique Canada commencera par un échantillon beaucoup plus modeste que ce qu’il avait prévu au départ : 5 000 ménages à la phase initiale jusqu’à 130 000 ménages à la phase finale (par opposition à 500 000). Statistique Canada a également réduit le nombre de variables qu’il entend recueillir (16 plutôt que 32).
31. Cela dit, les plans de projet ne répondent pas aux critères que nous avons fournis. Par exemple :
    • Les descriptions des buts d’intérêt public manquent de spécificité et de précision;
      • Le niveau de spécificité et de précision devrait permettre de pondérer de façon significative les incidences sur la vie privée par rapport aux buts d’intérêt public;
    • L’efficacité des projets n’a pas été démontrée;
      • Cela est compréhensible étant donné que le processus itératif commence par une phase de vérification de la faisabilité qui fournirait vraisemblablement des réponses aux questions liées à l’efficacité;
      • Étant donné que l’efficacité n’a pas été démontrée, les évaluations des solutions de rechange moins intrusives pour la vie privée n’ont pas fait l’objet d’une comparaison équitable – à ce stade-ci, nous ne savons pas si les projets sont plus efficaces que les solutions de rechange et, dans l’affirmative, dans quelle mesure ni s’il est possible d’évaluer les facteurs relatifs à la protection de la vie privée;
    • Les incidences sur la vie privée n’ont pas fait l’objet d’une analyse suffisante.
      • Par exemple, les atteintes potentielles découlant des projets proposés n’ont pas été traitées.

Les buts d’intérêt public devraient être définis avec plus de spécificité et de précision

32. Dans nos critères d’évaluation, nous avons demandé à Statistique Canada de fournir une description claire et détaillée du but d’intérêt public (les fins) à atteindre ou à améliorer par les projets (les moyens). Nous avons expliqué que le but d’intérêt public qui sous-tend une mesure susceptible de porter atteinte à la vie privée doit être fondé sur des données probantes et défini avec spécificité et précision. Il ne peut s’agir simplement d’une description des moyens choisis pour atteindre l’objectif ou d’une répétition du mandat institutionnel. Nous avons constaté que dans les deux plans de projet, Statistique Canada s’est concentré sur le bien-fondé des moyens qu’il utiliserait, mais n’a pas décrit les buts d’intérêt public (fins) avec suffisamment de spécificité ou de précision.
33. Par exemple, en ce qui concerne le but d’intérêt public du Projet relatif aux transactions financières, Statistique Canada a fait valoir que les familles, les propriétaires d’entreprises et les décideurs canadiens doivent prendre des décisions sur la meilleure façon de gérer leurs finances dans des domaines comme l’éducation, l’emploi, les achats et les investissements. Il a expliqué que le projet sur les transactions financières appuierait ces décisions en comblant les lacunes existantes en matière de données de sources publiques et en fournissant en temps opportun des données de qualité relatives aux mesures de l’inflation, y compris l’indice des prix à la consommation (l’« IPC »). On trouve une autre illustration dans le Rapport sur les transactions financières, où l’on affirme de façon générale que [traduction] « la compréhension des dépenses des ménages facilite la prise de décisions pour les entreprises canadiennes » (page 2).
34. Le but d’intérêt public doit être suffisamment important pour justifier l’incidence des moyens sur la vie privée. Dans le cas du Projet relatif aux transactions financières, les moyens comprennent la collecte de renseignements détaillés sur les transactions financières et le solde des comptes d’un ménage pour une période d’un an et le couplage de ces données avec d’autres ensembles de données – cela implique des atteintes à la vie privée qui sont extrêmement importantes sur les plans de la portée et de l’échelle^{Note de bas de page 11}. Par conséquent, l’objectif doit être énoncé de manière à permettre un équilibre significatif. Nous avons constaté que pour les deux projets, les objectifs présentés étaient trop vagues pour établir un équilibre avec les incidences sur la vie privée.

L’efficacité n’a pas été démontrée

35. Dans nos critères d’évaluation, nous avons demandé à Statistique Canada de démontrer que les moyens qu’il propose (les projets) sont susceptibles de répondre efficacement au besoin présenté par le but d’intérêt public. Comparativement aux descriptions des buts d’intérêt public, les descriptions des moyens proposés contiennent plus de détails. Le message général que nous avons entendu de Statistique Canada est que ses méthodes d’enquête actuelles posent des défis pour ce qui est de la prestation continue de données fiables et actuelles.
36. Par exemple, dans le Rapport sur les transactions financières, Statistique Canada explique que les taux de réponse aux enquêtes sont en baisse et qu’il est impossible de recueillir certains renseignements de manière fiable dans le cadre des enquêtes. Dans le cas de certains programmes, comme l’Allocation canadienne pour enfants (l’« ACE ») et l’assurance-emploi (l’« AE »), Statistique Canada a mesuré les prestations de ces programmes au moyen de données tirées des dossiers fiscaux; toutefois, selon Statistique Canada, les dossiers fiscaux sont mis à jour trop peu fréquemment pour être véritablement valables, particulièrement dans le cas des travailleurs autonomes canadiens qui travaillent dans l’économie à la demande, ou pour mesurer les effets des programmes d’urgence de soutien du revenu comme la Prestation canadienne d’urgence (la « PCU^{Note de bas de page 12} »).
37. Statistique Canada a expliqué que le remplacement des données d’enquête par des données administratives permettait de régler les problèmes suivants :
    • les personnes concernées sont soulagées du fardeau de participer à une enquête;
    • le problème de la baisse des taux de réponse est réglé parce que la personne concernée n’a pas besoin de répondre;
    • les données seront plus à jour parce qu’elles pourront être recueillies plus fréquemment;
    • les données seront plus exactes parce qu’elles ne dépendent pas de la capacité de la personne concernée de se souvenir de ses dépenses ou de les retracer.
38. Comme il a été mentionné précédemment, Statistique Canada a l’intention d’adopter une approche itérative dans le cadre de laquelle on déterminera la faisabilité (c.-à-d. l’efficacité) de chaque projet à la première phase de celui-ci. Bien que cette approche ne soit pas contestée, il n’en demeure pas moins que nous ne disposons pas encore de l’information nécessaire pour évaluer l’efficacité, car il reste encore beaucoup d’éléments à déterminer.
39. Par exemple, il est indiqué dans le Rapport sur les transactions financières que l’on recueillera des renseignements sur 16 champs de données : 3 identificateurs personnels (nom, adresse et âge) et 13 champs de données sur les transactions financières. Il s’agit d’une réduction par rapport aux 32 champs proposés dans le projet initial, mais il n’y a aucune indication quant à ce que contiendront les champs de données sur les transactions financières. Il est raisonnable de penser que la nature du nombre réduit de « champs de données » sera telle que l’incidence sur la vie privée sera accrue.
40. Une question connexe est l’avantage de l’utilisation de données administratives par rapport à des données d’enquête. Pour ces projets particuliers, les données administratives produiront-elles de meilleures données et, le cas échéant, comment cela influe-t-il sur les buts d’intérêt public? La collecte de données administratives soulèvera-t-elle des problèmes méthodologiques imprévus qui influent sur l’efficacité de leur utilisation? Nous comprenons que la phase de vérification de la faisabilité est conçue pour répondre à ces questions. Le fait est que ces réponses, qui sont nécessaires pour évaluer la nécessité et la proportionnalité, ne sont pas disponibles à cette étape du processus.

Analyse insuffisante des facteurs relatifs à la vie privée

41. Dans nos critères, nous avons demandé à Statistique Canada d’évaluer si l’incidence sur la vie privée de chaque projet est proportionnelle à l’importance des buts d’intérêt public définis. Nous avons expliqué que la proportionnalité signifie que plus l’incidence sur la vie privée est importante, plus le but d’intérêt public devrait être important. Nous avons constaté que les deux rapports ne comportaient pas une analyse suffisante des incidences sur la vie privée.
42. Par exemple, la section du Rapport sur les transactions financières consacrée à l’analyse de la proportionnalité ne tente pas de comparer l’importance d’un but d’intérêt public aux incidences sur la vie privée. Elle souligne plutôt que le nombre de variables recueillies a été réduit et fait valoir que la collecte globale présente un « degré de sensibilité plus faible » par rapport au plan original. Ces allégations ne sont pas suffisamment détaillées ou étayées et soulèvent la question de savoir comment la sensibilité a été évaluée et quelles sont les variables en cause. Bien que la réduction de la quantité de données recueillies puisse réduire l’incidence sur la vie privée, le rapport ne contient pas suffisamment de détails ou d’analyses pour permettre de le déterminer.
43. Dans le cadre de notre enquête sur les projets initiaux, nous avons exprimé de sérieuses préoccupations au sujet de l’incidence sur la vie privée de la collecte de renseignements détaillés sur les transactions financières pendant une période d’un an. Le niveau de détail fourni par ce genre de collecte est préoccupant et peut brosser un portrait intrusif et détaillé du mode de vie, des choix de consommation et des intérêts privés d’une personne, y compris des choix légitimes de personnes qui préféreraient les garder à l’insu du gouvernement. Le Rapport sur les transactions financières ne reconnaît pas ce niveau d’intrusion ni son incidence sur les droits à la vie privée des personnes concernées. Il s’agit d’une lacune importante.

Contexte

44. Bien que des mesures de sécurité soient essentielles pour atténuer les incidences sur la vie privée, elles ne sont pas suffisantes. Pour évaluer la proportionnalité, une organisation doit analyser les incidences sur la vie privée en tenant compte du contexte. Dans notre évaluation du cadre de Statistique Canada, nous avons constaté l’absence d’une analyse contextuelle des incidences sur la vie privée et avons recommandé que Statistique Canada tienne compte des facteurs suivants au moment d’évaluer l’incidence sur la vie privée d’une mesure ou d’une initiative :
    • Le type de renseignements personnels (sensibilité).
    • L’étendue et la profondeur des renseignements personnels – dans quelle mesure ces renseignements au sujet d’une personne peuvent-ils nous être communiqués?
    • Le nombre de personnes sur qui des renseignements seront recueillis (taille de l’échantillon).
    • Les attentes raisonnables des personnes – les personnes concernées pourraient-elles raisonnablement s’attendre à ce que ces renseignements soient recueillis, utilisés et divulgués de la manière proposée?
    • Les limites de la finalité (c.-à-d. les limites d’utilisation)
      • Qui aura accès aux données?
      • Comment les renseignements seront-ils utilisés?
      • Pendant combien de temps les renseignements seront-ils conservés?
      • Couplages – les renseignements seront-ils couplés à d’autres ensembles de données? Si oui, lesquels, dans quel but et qu’est-ce que ce couplage révélerait au sujet d’une personne?
    • La mesure dans laquelle les renseignements seront anonymisés ou agrégés.
    • La mesure dans laquelle les libertés, y compris la liberté de vivre et de s’épanouir sans surveillance et de participer à la société moderne, sont touchées.
    • La perception et les points de vue du public concernant l’incidence de la mesure proposée sur la vie privée.
    • Quelles mesures seront mises en place pour atténuer l’incidence sur la vie privée?
45. De plus, lors de notre examen du cadre, nous avons expliqué qu’en ce qui concerne la sensibilité, il n’y a pas de distinction claire entre ce qui constitue et ce qui ne constitue pas de l’information délicate. Certaines catégories de renseignements (p. ex. sur la santé ou les finances) sont généralement considérées comme étant de nature délicate, mais même l’information non délicate peut le devenir selon les circonstances. Par exemple, un élément d’information particulier considéré comme non sensible en soi pourrait devenir sensible selon ce qu’il peut révéler lorsqu’il est combiné à d’autres renseignements personnels sur la personne concernée. Réciproquement, dans certaines circonstances, des renseignements personnels généralement considérés comme étant de nature délicate peuvent devenir moins sensibles lorsque d’autres renseignements connexes relèvent déjà du domaine public, selon le but pour lequel ces renseignements sont rendus publics et la nature de la relation entre les parties concernées.
46. Nous reconnaissons que Statistique Canada est en train d’élaborer une « échelle de sensibilité » pour évaluer le degré de sensibilité des renseignements personnels qu’il recueille afin d’évaluer l’incidence de leur collecte et de leur utilisation sur la vie privée. Toutefois, les plans de projet ne comprennent pas d’analyse contextuelle de la nature délicate des renseignements en cause – ils reconnaissent simplement que les renseignements sont de nature délicate. Par ailleurs, outre la sensibilité et la taille de l’échantillon, d’autres facteurs, comme les attentes raisonnables des personnes, doivent également être pris en considération – ni l’un ni l’autre des plans ne tient compte des attentes raisonnables des personnes concernées.
47. Dans notre examen du cadre de Statistique Canada, nous avons expliqué que l’analyse contextuelle de la sensibilité et des attentes raisonnables repose sur le risque de préjudice pour la personne. Les plans de projet ne comprennent pas d’analyse contextuelle des incidences sur la vie privée en général, et encore moins du risque de préjudice pour la personne concernée. En fait, le mot « préjudice » n’apparaît dans aucun des deux rapports.

Mesures de protection

48. La conformité à notre recommandation concernant les mesures de protection^{Note de bas de page 13} ne relevait pas du mandat. Toutefois, les mesures de protection sont pertinentes pour notre évaluation des projets dans la mesure où les deux plans s’appuient sur des mesures de sécurité pour atténuer les incidences de chacun des projets sur la vie privée. Dans notre rapport d’enquête, nous avons constaté que même si Statistique Canada avait pris des mesures importantes pour isoler les données, et réduire au minimum l’accès à celles-ci, et se protéger contre les auteurs de menaces externes, d’autres mesures sont requises pour corriger les vulnérabilités à une menace interne par la surveillance de l’accès et de l’utilisation non autorisés d’origine interne.
49. Dans ce contexte, nous avons demandé à Statistique Canada de faire le point sur ses progrès dans la résolution des vulnérabilités aux menaces internes. Statistique Canada a répondu ce qui suit :

    … a mis en œuvre des mesures pour atténuer les risques posés par les vulnérabilités aux menaces internes, en particulier les risques menant à l’atteinte à de renseignements sensibles. À mesure que l’infrastructure et les technologies sous-jacentes évoluent, comme la stratégie de l’informatique en nuage d’abord du gouvernement du Canada, Statistique Canada continuera d’analyser les risques posés par les vulnérabilités aux menaces internes, y compris les nouvelles technologies, et de chercher à les améliorer continuellement afin de vérifier, de documenter et de surveiller la détection des comportements anormaux et d’appuyer la correction par des moyens automatisés.

50. Dans les enquêtes sur les atteintes à des renseignements personnels très sensibles et précieux, nous avons observé des cas où des menaces internes ont mené à l’exfiltration réussie de renseignements personnels. Par exemple, notre récente enquête auprès de Desjardins a révélé que l’exfiltration de renseignements financiers était le résultat de gestes posés par un employé. Les attaques causées par des menaces internes peuvent être plus difficiles à détecter et à prévenir que les attaques causées par des menaces externes, en particulier parce qu’elles peuvent être le travail d’employés compétents sur le plan technique qui connaissent les systèmes et les faiblesses de sécurité de l’entreprise, l’endroit où se trouvent les renseignements et la façon de contourner les mesures de sécurité en place. Dans le cas de Desjardins, l’attention avait été portée aux menaces externes, mais les menaces internes n’ont pas été suffisamment prises en compte.
51. Dans la mesure où Statistique Canada compte sur ses mesures de protection pour atténuer les risques liés à la vie privée que comportent les projets et compte tenu du niveau de détail que les données en cause peuvent révéler au sujet d’une personne, nous saluons les efforts déployés par Statistique Canada pour moderniser son approche de surveillance des menaces internes.

Recommandations et observations finales

52. Le présent rapport remplit notre obligation de fournir un rapport évaluant les projets conformément au mandat. Nous sommes reconnaissants de l’engagement démontré de Statistique Canada à intégrer la nécessité et la proportionnalité comme moyen d’améliorer la protection de la vie privée et nous espérons que notre mission a été utile pour Statistique Canada alors qu’il continue d’intégrer la protection de la vie privée à ses méthodes statistiques.
53. Nous comprenons que les deux projets soulèvent des enjeux complexes relatifs à la protection de la vie privée. En outre, nous reconnaissons que de nombreux intervenants de Statistique Canada demandent des données plus rapidement et plus détaillées pour appuyer un large éventail de décisions importantes. Toutefois, compte tenu de notre environnement actuel riche en données et du genre de préjudices qui peut découler de l’omission de prendre en compte les incidences sur la vie privée, il est essentiel que des principes fondamentaux de protection de la vie privée, comme ceux que nous avons énoncés dans nos critères d’évaluation, soient intégrés à cette étape afin d’établir une voie à suivre sûre et efficace. À cette fin, nous recommandons ce qui suit :
    • Recommandation 1 : Décrire les buts d’intérêt public avec un niveau de spécificité et de précision qui permettra de les évaluer de façon significative par rapport aux incidences sur la vie privée.
    • Recommandation 2 : Réexaminer la question de l’efficacité une fois que les projets ont progressé jusqu’à un point où elle peut être démontrée.
    • Recommandation 3 : Analyser la protection des renseignements personnels en contexte et tenir compte à la fois du risque d’atteinte pour les personnes et du risque d’atteinte en général.
    • Recommandation 4 : Soumettre à nouveau les plans pour examen avant la mise en œuvre finale des projets.

Annexe A – Critère d’évaluation

Commissariat à la protection de la vie privé et Statistique Canada

Surveillance de la conformité des collectes de données administratives

Le tableau suivant présente les critères utilisés par le Commissariat pour évaluer la nécessité et la proportionnalité des projets. Les critères ont été organisés en fonction des principales étapes du processus d’évaluation. La colonne « Description » fournit des conseils sur l’exécution de chaque étape.

Il convient de signaler que l’évaluation de la nécessité et de la proportionnalité présuppose que des renseignements personnels sont en cause dans un projet^{Note de bas de page 14}.

Élément/Étape	Description
1. But d’intérêt public (les fins)	Fournir une description claire et détaillée du but d’intérêt public (les fins) à atteindre ou à améliorer par le projet (les moyens), c’est-à-dire les renseignements produits par le projet et à quelles fins ils seront utilisés. Le but d’intérêt public doit être manifestement urgent et important. Un but d’intérêt public urgent et important a été défini comme suit : « il doit être assez important pour qu’on puisse passer outre à un droit ou à une liberté jouissant d’une protection constitutionnelleNote de bas de page 15 ». Bien que cette définition ait été élaborée par la Cour suprême du Canada dans le contexte des droits garantis par la Charte canadienne des droits et libertés, l’objectif ne doit pas être « peu important ou contraire aux principes qui constituent l’essence même d’une société libre et démocratiqueNote de bas de page 16 ». Le but d’intérêt public qui sous-tend une mesure susceptible de porter atteinte à la vie privée doit reposer sur des fondements scientifiques et être défini avec un certain degré de précision. Il est important de définir le but d’intérêt public avec soin et précision. Il ne peut s’agir simplement d’une description des moyens choisis pour atteindre l’objectif ou d’une répétition du mandat institutionnel. Remarque : En règle générale, les coûts ou la commodité administrative ne suffisent pas à qualifier un but d’intérêt public d’urgent et d’important.
2. Décrire la mesure ou le projet proposé (les moyens)	Décrire le projet proposé, c’est-à-dire les moyens utilisés pour atteindre les fins décrites à l’étape 1 du processus d’évaluation. Indiquer s’il s’agit de renseignements personnels (RP) au sens de la Loi sur la protection des renseignements personnels. (Si le projet n’implique pas de RP, alors du point de vue de la protection des renseignements personnels, il n’est pas nécessaire d’évaluer la nécessité et la proportionnalité.) Le projet doit être décrit avec suffisamment de précision, de spécificité, de détails et de clarté pour démontrer que les moyens permettront d’atteindre les objectifs décrits à l’étape 1. La description du projet doit comprendre des preuves scientifiques à l’appui de la méthode de collecte des RP et de leur utilisation aux fins indiquées. Toutefois, la description devrait être rédigée en langage simple de sorte qu’un non-spécialiste puisse la comprendre. Concrètement, il s’agit d’indiquer quels moyens seront utilisés pour atteindre les fins précises définies à l’étape 1. Si le projet n’est pas décrit de manière appropriée, il ne sera pas possible d’évaluer s’il est nécessaire pour atteindre un but d’intérêt public urgent et important ou s’il est proportionnel.
3. Incidence sur la vie privée	Décrire comment et dans quelle mesure le projet aura une incidence sur le droit à la vie privée. Bien que la protection de la vie privée soit un concept général, la Cour suprême du Canada (CSC) décrit trois grands aspects relatifs à la protection de la vie privée – territorial, personnel et informationnel – qui sont utiles pour évaluer l’incidence d’une mesure proposée sur la protection de la vie privéeNote de bas de page 17. En ce qui concerne la protection des renseignements personnels, la CSC définit trois aspects distincts, mais se recoupant : la confidentialité; On s’attend à ce que les renseignements demeurent confidentiels; Par exemple, un patient peut raisonnablement s’attendre à ce qu’un professionnel de la santé traitant préserve la confidentialité des renseignements le concernant; le contrôle; Essentiellement, les renseignements concernant une personne lui appartiennent et, par conséquent, ils devraient exercer un certain contrôle sur ces renseignements; l’anonymat; le droit de préserver la confidentialité de son identité et de se protéger contre la surveillance. Pour déterminer si une personne peut raisonnablement s’attendre au respect de sa vie privée dans une situation particulière, il faut procéder à une évaluation contextuelle qui prend en compte l’ensemble des circonstancesNote de bas de page 18. Le Commissariat définit le droit à la vie privée de la façon suivante : « La vie privée n’est rien de moins qu’une condition préalable à la liberté : la liberté de vivre et de se développer de façon autonome, à l’abri de la surveillance de l’État ou d’entreprises commerciales, tout en participant volontairement et activement aux activités courantes (et de plus en plus numériques) d’une société moderne, par exemple socialiser, s’informer ou simplement acheter des biens. » Voici d’autres facteurs à prendre en considération dans l’évaluation des facteurs relatifs à la vie privée Le type de renseignements personnels (sensibilité). L’étendue et la profondeur des renseignements personnels – dans quelle mesure les renseignements au sujet d’une personne peuvent-ils nous être communiqués? Le nombre de personnes sur qui des renseignements seront recueillis (taille de l’échantillon). Les attentes raisonnables des personnes – les personnes pourraient-elles raisonnablement s’attendre à ce que ces renseignements soient utilisés de la manière proposée? La mesure dans laquelle les renseignements seront anonymisés ou agrégés. La mesure dans laquelle les libertés, y compris la liberté de vivre et de s’épanouir sans surveillance et de participer à la société moderne, sont touchées Les limites de l’utilisation des renseignements. Existe-t-il des lois ou des règlements particuliers qui vous permettent d’utiliser les renseignements de cette façon? La perception et les points de vue du public concernant l’incidence de la mesure proposée sur la protection de la vie privée. Quelles mesures seront mises en place pour atténuer l’incidence sur la vie privée?
4. Nécessité	Expliquer en détail en quoi le projet (les moyens) est rationnellement lié à un but d’intérêt public urgent et important (les fins), et comment la collecte ou l’utilisation proposée des renseignements personnels permettra de répondre à ces besoins. Cela exige des preuves empiriques à l’appui des initiatives et devrait empêcher la collecte de renseignements personnels pour des scénarios de type « au cas où » ou la conservation de renseignements qui pourraient être utiles à des fins futures encore indéterminées. Tenir compte du besoin de chaque élément des renseignements personnels recueillis. Chaque élément ou catégorie de renseignements personnels est-il nécessaire pour atteindre le but d’intérêt public? Quelle serait l’incidence sur l’efficacité du projet si moins de renseignements étaient recueillis? Ne recueillir des renseignements personnels que s’ils sont directement pertinents pour votre initiative et nécessaires pour atteindre ses objectifs. Se montrer aussi précis et détaillé que possible. Pour orienter l’évaluation de la nécessité, il convient de réfléchir aux questions suivantes : La mesure est-elle manifestement nécessaire pour répondre à un besoin particulier? Est-elle rationnellement liée à un but d’intérêt public urgent et important? Existe-t-il des preuves empiriques à l’appui de l’initiative? Est-elle susceptible de répondre efficacement à ce besoin? A-t-elle été soigneusement conçue pour atteindre l’objectif en question? Existe-t-il un autre moyen moins envahissant qui pourrait permettre d’atteindre le même but? Existe-t-il des preuves empiriques que des moyens moins envahissants ne permettront pas d’atteindre le même but? Des mesures raisonnables et démontrables ont-elles été prises pour s’assurer que la quantité minimale de renseignements personnels requise pour atteindre l’objectif a été recueillie? Cela pourrait comprendre l’utilisation de données agrégées, la collecte directe (p. ex. par des enquêtes) et d’autres méthodes qui atténuent les incidences sur la vie privée susmentionnées.
5. Proportionnalité	Évaluer si l’incidence sur la vie privée est proportionnelle à l’importance du but d’intérêt public indiqué. La proportionnalité signifie que plus l’incidence sur la vie privée est grave, plus le but d’intérêt public devrait être important.

Annexe B – Documents examinés en préparation du présent rapport

Commissariat à la protection de la vie privé et Statistique Canada

Surveillance de la conformité des collectes de données administratives

• Premier des deux PRINCIPAUX DOCUMENTS : Statistique Canada, 20 octobre 2020, « Privacy impacts related to Statistics Canada’s pilot project on the acquisition of financial transactions information » (14 p.); ci-après le « Rapport sur les opérations financières » ou le « Rapport du 20 octobre »;
• Deuxième des deux PRINCIPAUX DOCUMENTS : Statistique Canada, directeur – Comptes macroéconomiques/Division de l’investissement des sciences et de la statistique de la technologie, 22 octobre 2020, « Privacy Impacts Related to Statistics Canada’s pilot project on the Acquisition of Credit Agency Data » (17 p.); ci-après le « Rapport sur les données d’agence de crédit » ou le « Rapport du 22 octobre »;
• 1^er avril 2020, « Terms of Reference, Office of the Privacy Commissioner and Statistics Canada, Compliance Monitoring of Administrative Data Collections » (3 p.);
• Réponse initiale du Commissariat à la publication du 20 mai 2020 de Statistique Canada intitulée « An Introduction to Statistics Canada’s Necessity and Proportionality Framework » (8 p.);
• Commissariat à la protection de la vie privée du Canada, novembre 2020, « Report on Statistics Canada’s Necessity and Proportionality Framework » (8 p.);
• Programmes statistiques de Statistique Canada, non daté, « Évaluation générique des facteurs relatifs à la vie privée » (130 p.);
• Programmes statistiques de Statistique Canada, 16 mai 2018, « Amendment – Section 3 and Appendix A » (8 p.);
• Statistique Canada, reçu le 8 janvier 2021 « Response to Financial Transaction Project Questions, January 2021 (final) »;
• Statistique Canada, directeur – Comptes macroéconomiques/Division de l’investissement des sciences et de la statistique de la technologie, 22 octobre 2020, Annexe A du rapport principal, intitulé « Outputs from Statistics Canada using TransUnion Credit Data »;
• Vanessa Livernois et Adam Mulligan, 15 mai 2020, annexe B du rapport du 22 octobre intitulé « Potential Sampling Strategies of the TU file »;
• Cilanne Boulet et coll., non daté, annexe C du rapport du 22 octobre intitulé « Findings of the Working Group on the Use of Data on Consumer Debts in Social Statistics Programs »;
• Données de l’EFVP – Statistique Canada – PIA-988-J;
• Comité d’éthique des données, 30 septembre 2020, « Record of Decisions »;
• Comité d’éthique des données, 23 septembre 2020, « Collection of Comments for DEC Discussion ».