Sélection de la langue

Logo du Commissariat Commissariat à la protection de la vie privée du Canada

Recherche

Atteinte de courriel au SCT souligne que le contexte est important pour évaluer l'impact d'une atteinte à la vie privée

Plaintes en vertu de la Loi sur la protection des renseignements personnels

Le 15 février 2023

Description

Le Commissariat a reçu des plaintes de 20 employés actuels ou anciens du gouvernement fédéral après que le Secrétariat du Conseil du Trésor (SCT) du Canada ait envoyé par erreur deux séries de courriels à des demandeurs du programme des « répercussions graves liées à Phénix » en utilisant le champ de copie conforme (CC) au lieu du champ de copie conforme invisible (CCI). Cela a permis la divulgation des adresses de courriel des demandeurs (dont certaines incluaient leurs noms) et le fait qu'ils avaient déposé une demande de dommages-intérêts à d’autres personnes sur la liste de distribution. Compte tenu de la nature du programme des « répercussions graves liées à Phénix », cela a également révélé que ces personnes estimaient avoir subi des dommages liées à Phénix - qu'ils soient financiers ou autres.

Principaux points à retenir

  • Pour déterminer si une atteinte à la vie privée représente un risque réel de préjudice grave à un individu dont les renseignements personnels ont été compromis, il faut effectuer une analyse globale adéquate et éclairée par les facteurs contextuels.
  • Lorsque de nombreuses personnes sont concernées, une atteinte à la vie privée est présumée susceptible de causer un dommage ou un préjudice grave, même si elle ne touche qu’une seule de ces personnes – elle ne doit pas nécessairement avoir des répercussions sur toutes les personnes concernées En outre, le risque pour les personnes concernées augmente en fonction du nombre de personnes qui reçoivent des renseignements personnels par erreur.
  • Une institution n'a pas besoin d'avoir la preuve d'un préjudice pour qu'une atteinte à la vie privée soit considérée comme substantielle.

Rapport de conclusions

Aperçu

  1. Les plaignants allèguent que le Secrétariat du Conseil du Trésor du Canada (le SCT ou l’intimé) a enfreint les dispositions en matière de communication de renseignements personnels de la Loi sur la protection des renseignements personnels (la Loi) lors de la communication inappropriée par courriel de leurs renseignements personnels à d’autres personnes.
  2. Notre enquête a confirmé que, le 3 mai 2022, le SCT a envoyé trois courriels à des personnesNote de bas de page 1 qui avaient présenté des demandes de réclamation concernant des « répercussions graves liées à Phénix ». Le premier courriel a été envoyé correctement; le nom des destinataires figurait dans le champ de copie conforme invisible (CCI). Cependant, deux courriels subséquents ont été envoyés à 400 personnes au moyen du champ de copie conforme (CC), y compris aux 20 personnes qui ont déposé une plainte au Commissariat à la protection de la vie privée (le Commissariat ou le CPVP).
  3. L’intimé a reconnu que les deux courriels dans lesquels le champ CC avait été utilisé avaient été envoyés par erreur, étant donné qu’il aurait fallu éviter de révéler l’adresse de courriel (et le nom) des autres demandeurs. Le jour même, le SCT a pris des mesures pour informer les personnes concernées, en plus de leur signaler qu’elles pouvaient déposer une plainte auprès du Commissariat. Notre enquête a révélé que la communication des renseignements personnels des plaignants (y compris leur adresse de courriel personnelle, le fait qu’ils estimaient avoir subi des répercussions graves liées à Phénix et le fait qu’ils avaient présenté une demande d’indemnité) n’était pas autorisée au titre de la Loi.
  4. Notre enquête s’est aussi penchée sur l’évaluation de l’atteinte qui a été réalisée par le SCT. L’intimé a affirmé avoir conclu que l’atteinte n’était pas « substantielle ». Plus précisément, le SCT a affirmé que l’atteinte ne causerait vraisemblablement pas un dommage ou un préjudice grave aux personnes concernées. Le Commissariat n’est pas d’accord avec cette conclusion. Le contexte est pertinent pour évaluer la nature délicate des renseignements personnels et des dommages ou des préjudices pour un individu. Plusieurs plaignants ont affirmé dans leur plainte au Commissariat qu’ils n’avaient pas révélé à autrui qu’ils avaient subi des difficultés, financières ou autres, en dehors du processus de demande d’indemnité. Selon eux, le fait que l’atteinte ait exposé leur situation était humiliant et stressant.
  5. Dans un rapport d’enquête préliminaire, nous avons fait les recommandations suivantes au SCT :
    1. le SCT doit communiquer notre rapport final à son personnel et : (i) lui rappeler ses responsabilités et obligations relatives au bon traitement des renseignements personnels et (ii) accroître la sensibilisation aux causes possibles d’atteintes, de manière à éviter que de tels incidents se produisent de nouveau;
    2. le SCT doit intégrer ces conclusions dans l’ébauche de ses instruments de politique et d’orientation, afin que les institutions, dont le SCT, puissent évaluer les préjudices et la nature substantielle des atteintes de manière plus uniforme et précise;
    3. l’Équipe des répercussions graves du Bureau des réclamations du SCT (le Bureau des réclamations) doit communiquer avec le Service numérique canadien pour étudier des moyens mieux sécurisés de communiquer avec les intervenants, par exemple, en utilisant GC Notification qui publie des messages individuels.
  6. Le SCT a convenu de mettre en œuvre les recommandations a) et c). En ce qui a trait à la recommandation b), le SCT souligne qu’il a élaboré et publié récemment (en octobre 2022) d’importantes mises à jour à son ensemble de politiques sur la protection des renseignements personnels. Nous accueillons favorablement les modifications que le SCT a apportées à ses politiques. Toutefois, nous craignons que les évaluations des atteintes à la vie privée par les institutions gouvernementales, dont le SCT, demeurent insuffisantes pour les motifs révélés par la présente enquête. Plus précisément, nonobstant le préjudice et les dommages exprimés par les plaignants, le SCT n’a pas admis la nature substantielle de la situation relativement à cette atteinte et ne s’est pas engagé à en tenir compte dans ses instruments.
  7. Nous profitons de l’occasion pour encourager davantage le SCT à ajouter une explication exhaustive et systématique de ce qui constitue une évaluation des préjudices pour les individus dans ses documents de politique, ce qui devrait inclure de nombreux facteurs environnementaux. Le présent rapport couvre bon nombre de ces facteurs.
  8. En conséquence, notre décision finale dans ce dossier est fondée et conditionnellement résolue en partie.

Les plaintes

  1. Les plaignants (20 en tout) ont allégué que le SCT avait contrevenu aux dispositions sur la communication de renseignements personnels de la Loi en communiquant de façon inappropriée leurs renseignements personnels à autrui dans un courriel.
  2. Plusieurs plaignants ont affirmé dans leur plainte au Commissariat qu’ils n’avaient révélé à personne d’autre qu’ils avaient subi des difficultés, financières ou autres, en dehors du processus de demande d’indemnité relativement à Phénix. Selon eux, le fait que l’atteinte ait exposé leur situation était humiliant et stressant, et avait même causé un sentiment d’avoir été violé.

Contexte

  1. Le 3 mai 2022, le SCT a envoyé trois courriels à des personnes qui avaient présenté des demandes concernant des « répercussions graves liées à Phénix ». Le premier courriel a été envoyé correctement; les adresses de courriel d’environ 200 destinataires figuraient dans le champ CCI. Cependant, deux courriels subséquents ont été envoyés à 400 destinatairesNote de bas de page 2 au moyen du champ CC, ce qui a exposé à l’ensemble des destinataires qu’ils avaient tous estimé avoir subi de graves conséquences liées à Phénix et qu’ils avaient présenté une demande d’indemnité.
  2. Le même jour, le Bureau des réclamations du SCT a envoyé un autre courriel aux destinataires, expliquant que, en raison d’une erreur administrative, le champ CC avait utilisé à la place du champ CCI. Ce courriel expliquait aussi que, puisque les messages avaient été envoyés d’une boîte de courriel générique, les messages précédents ne pouvaient pas être rappelés. Il a été demandé aux destinataires de supprimer de leur boîte de réception, de leur boîte d’envoi, de leur corbeille et de tout autre dossier de courriel le premier message qu’ils avaient reçu, et de ne pas le distribuer. Le message disait ensuite :

    [traduction] « Le Bureau des réclamations prend très au sérieux la protection des renseignements personnels recueillis. Nous sommes sincèrement désolés de cet incident et nous revoyons actuellement nos procédures, tout en déployant des efforts pour garantir qu’une telle erreur ne se produise pas de nouveau. »

    Les destinataires ont aussi été avisés qu’ils pouvaient déposer une plainte auprès du Commissariat.
  3. Le Commissariat a communiqué avec le SCT le 4 mai 2022, après avoir reçu neuf des vingt plaintes présentées au Commissariat dans la journée précédente.

Question 1 : La communication était-elle autorisée en vertu de la Loi?

  1. Pour rendre notre décision, nous avons tenu compte des articles 3 et 8 de la Loi.
  2. Selon l’article 3 de la Loi, les renseignements personnels, quels que soient leur forme et leur support, concernent un individu identifiable et se rapportent notamment à sa race, à son origine nationale ou ethnique, à sa couleur, à sa religion, à son âge ou à sa situation de famille, à son éducation, à son dossier médical, à son casier judiciaire, à ses antécédents professionnels ou à ses opérations financières, à tout numéro qui lui est propre, à ses empreintes digitales ou à son groupe sanguin, à ses opinions personnelles, etc.
  3. La Loi prévoit que les renseignements personnels ne peuvent être communiqués qu’avec le consentement d’un individu (paragraphe 8(1)) ou conformément à l’une des catégories de communication autorisées décrites au paragraphe 8(2) de la Loi.
  4. Les adresses de courriel des plaignants (dont bon nombre étaient des adresses personnelles) révélaient leur identité, ainsi que le fait qu’ils estiment avoir subi de graves conséquences liées à Phénix et le fait qu’ils avaient présenté une demande d’indemnité. Cela constitue des renseignements personnels au titre de l’article 3 de la Loi.
  5. L’intimé ne conteste pas l’atteinte à la vie privée. Il a considéré l’incident comme une erreur administrative involontaire. Les personnes concernées n’ont pas consenti à la communication de leurs renseignements personnels, et celle-ci ne correspondait à aucune des catégories de cas autorisés au titre du paragraphe 8(2) de la Loi.
  6. Par conséquent, nous concluons que le SCT a enfreint l’article 8 de la Loi et que les plaintes sont fondées.

Question 2 : L’atteinte à la vie privée est-elle de nature « substantielle »?

  1. La Directive sur les pratiques relatives à la protection de la vie privée du SCT exige des institutions qu’elles établissent des plans et des procédures relativement aux atteintes à la vie privée. Cela comprend informer le Commissariat et le SCT des atteintes jugées substantiellesNote de bas de page 3. Voici ce qui constituait une atteinte substantielle selon les Lignes directrices sur les atteintes à la vie privée (les lignes directrices) en vigueur au moment de l’atteinteNote de bas de page 4 :
    • elle concerne des renseignements personnels sensibles; et
    • il serait raisonnable de penser qu’elles pourraient causer un dommage ou un préjudice grave à une personne et/ou qu’elles touchent un grand nombre de personnes.
  2. Les lignes directrices contenaient une liste non exhaustive d’exemples de dommage ou de préjudice grave à un individu, notamment :
    • un vol d’identité ou une fraude similaire;
    • une perte matérielle importante pour la personne;
    • un tort ou embarras durable qui aura des conséquences directes sur un litige impliquant la personne ou qui nuira directement à la carrière, la réputation, la situation financière, la sécurité, la santé ou le bien-être de la personne.
Évaluation de l’atteinte à la vie privée par le SCT
  1. Le SCT n’a pas conclu que cette atteinte était de nature « substantielle ». Dans un courriel au Commissariat daté du 16 mai 2022, le SCT a expliqué que l’atteinte ne comprenait pas la communication de renseignements personnels de nature délicate (comme des détails précis sur la réclamation ou le problème de paie, le numéro d’assurance sociale, des renseignements bancaires, des renseignements médicaux ou de santé ou tout autre identifiant unique qui pourrait normalement servir à valider l’identité d’un individu). Le SCT a aussi souligné que les répercussions graves mentionnées n’étaient pas précisées et que les courriels n’incluaient aucun autre renseignement à propos des réclamations individuelles. Dans ses observations écrites au Commissariat, le SCT a conclu :

    [traduction] « l’atteinte à la vie privée ne devrait pas être considérée comme étant de nature substantielle, car nous n’avons pas reçu d’éléments de preuve et ne pouvons pas raisonnablement déduire que la communication de ces renseignements pourrait vraisemblablement causer des dommages ou des préjudices graves aux personnes concernées (comme le vol d’identité, la perte matérielle ou un préjudice ou un embarras de longue durée). »

  2. Le 7 octobre 2022, le Commissariat a remis un rapport préliminaire d’enquête au SCT, incluant les conclusions préliminaires, une analyse et des recommandations. Ce rapport soulignait l’humiliation et le stress exprimés par certains plaignants en raison de cette atteinte.
  3. Dans ses dernières observations au Commissariat, reçues le 7 novembre 2022, le SCT a déclaré que, bien qu’il n’ait pas déclaré que l’atteinte était de nature « substantielle », il avait signalé l’atteinte au Commissariat le 4 mai 2022 et il avait communiqué avec lui à plusieurs reprises durant l’enquête du SCT sur l’incident.
  4. Sur ce dernier point, c’est le Commissariat qui avait initialement contacté le SCT, étant donné qu’il avait reçu plusieurs plaintes la veille. Même si nos responsables respectifs ont bel et bien discuté de l’atteinte à la vie privée, le Commissariat n’a reçu aucun rapport écrit du SCT le 4 mai 2022, ni à une date ultérieure.
  5. Le SCT a expliqué en outre qu’avant de déterminer la nature substantielle de l’atteinte à la vie privée, ses agents de protection de la vie privée avaient consulté les instruments de politique du SCT en matière de protection des renseignements personnels et examiné les considérations stratégiques en consultation avec la Division de la protection de la vie privée et des données du SCT (le centre responsable des politiques gouvernementales en matière de protection de la vie privée). Ainsi, le SCT a conclu que l’atteinte n’était pas de nature substantielle en raison de divers facteurs, dont les suivants :
    1. le contenu des courriels envoyés aux destinataires ne contenait pas de renseignements personnels de nature délicate étant donné qu’il s’agissait d’un message générique adressé à 600 destinataires; et
    2. les adresses de courriel ont été communiquées dans un groupe de personnes se trouvant dans les mêmes circonstances (c.-à-d. qu’elles ont présenté une demande d’indemnité importante au Bureau des réclamations du SCT).
    Le SCT a conclu que la communication de ces renseignements au sein du groupe, contrairement à une divulgation plus générale, était malheureuse et assurément à éviter à l’avenir, mais que la communication de renseignements à des individus dans des circonstances similaires était peu susceptible de causer des conséquences graves, comme le vol d’identité, le dommage à la réputation ou un préjudice ou un embarras de longue durée.
Critères de compensation en cas de répercussions graves liées à Phénix
  1. Les employés actuels et anciens ayant subi des répercussions graves liées à Phénix peuvent recevoir une compensation, tout comme un représentant de la succession d’employés décédés qui ont travaillé au cours d’une certaine période. Par conséquences graves liées à Phénix, on entend notamment :
    • les coûts financiers ou perte de revenus de placement en raison de retards de la paie;
    • les congé pris en raison de problèmes de santé;
    • les dommages importants et difficultés personnelles.
    Le processus de réclamation est ouvert aux individus qui, en raison de problèmes de paie liés à Phénix, ont subi de graves difficultés personnelles ou financières, y compris, mais sans s’y limiter, la faillite, une répercussion importante sur la cote de solvabilité, de l’angoisse mentale ou un traumatisme.
Évaluation du Commissariat portant sur l’atteinte à la vie privée
  1. Nous acceptons que l’atteinte à la vie privée a découlé d’une erreur administrative, mais nous ne sommes pas d’accord avec l’évaluation du SCT selon laquelle elle n’était pas de nature substantielle. Le groupe des personnes concernées portait l’étiquette « répercussions graves Phénix », et chaque membre avait lui-même déclaré avoir subi des préjudices liés à Phénix. De plus, les courriels diffusés au moyen du champ CC confirmaient à tous les destinataires que les autres personnes figurant dans la liste de distribution avaient déclaré avoir subi de graves difficultés personnelles ou financières en raison de problèmes de paie de Phénix et qu’elles réclamaient une compensation.
  2. Plusieurs plaignants mentionnaient dans leur plainte au Commissariat qu’ils se sentaient humiliés, embarrassés ou même violés. Ils ont ajouté que cette atteinte avait empiré leur stress et leur angoisse mentale. En outre, de nombreux plaignants ont affirmé qu’ils n’avaient mentionné à personne, en dehors du processus de réclamation, qu’ils avaient demandé une indemnité. Dans un cas, un plaignant a déclaré avoir été contacté par les médias à la suite de l’atteinte.
  3. Compte tenu des renseignements personnels divulgués et des critères de signalisation d’atteinte définis dans les anciennes lignes directrices du SCT, nous concluons que le SCT aurait dû considérer qu’il s’agissait d’une atteinte de nature substantielle. À notre avis, l’analyse adéquate du risque de dommage ou de préjudice pour un individu doit être globale et éclairée par les facteurs contextuels de la communication des renseignements personnels.
  4. De plus, il n’est pas nécessaire qu’une institution reçoive des éléments de preuve d’un dommage ou d’un préjudice pour évaluer la nature substantielle de l’atteinte. En effet, une atteinte concernant des renseignements personnels de nature délicate entraîne des obligations en matière d’établissement de rapports et de notification lorsqu’il serait raisonnable de s’attendre à ce qu’elle cause un dommage ou un préjudice grave.
  5. En outre, une atteinte à la vie privée susceptible de causer vraisemblablement un dommage ou un préjudice grave à une personne sera considérée comme substantielle, même si elle ne touche pas toutes les personnes concernées. Le degré de dommage ou de préjudice variera selon l’individu et les circonstances de leur cas.
  6. Enfin, le risque pour les personnes concernées augmente en fonction du nombre de personnes qui reçoivent des renseignements personnels par erreur. Le fait que les autres personnes recevant les renseignements personnels aient des circonstances identiques ou similaires n’atténue pas automatiquement la nature délicate des renseignements personnels ou le risque de préjudice pour un individu. Dans le cas présent, deux courriels ont été envoyés par erreur. Chacun comptait 200 personnes dans le champ CC. De plus, hormis la demande du SCT de supprimer le courriel et de ne pas le retransmettre, rien n’empêchait les destinataires de communiquer le courriel à quelqu’un ne faisant pas partie de la liste. Or, cela semble s’être avéré, puisque les médias ont communiqué avec un plaignant.
  7. Comme susmentionné, dans la présente affaire, le contexte des renseignements personnels était lié aux personnes qui estimaient qu’elles avaient vécu des « conséquences graves », aux termes du programme de réclamations. Selon nous, compte tenu du contexte et de la nature des renseignements ainsi que du nombre de destinataires, il serait raisonnable de s’attendre à ce que l’atteinte entraîne un dommage ou un préjudice grave, y compris un embarras ayant des conséquences défavorables sur le bien-être d’un individu.
  8. Le SCT joue un rôle de leadership important en ce qui concerne la vie privée. Il soutient le président du Conseil du Trésor en tant que ministre désigné pour l’application de la Loi sur la protection des renseignements personnels. Par conséquent, il est responsable d’établir les politiques et d’imposer des formulaires concernant l’application de la Loi et de son Règlement, ce qui s’applique à toutes les institutions gouvernementalesNote de bas de page 5 assujetties à la Loi.
  9. Dans notre Rapport annuel au Parlement 2017-2018, nous avons publié les résultats d’une étude que nous avons menée sur les rapports d’atteinte dans l’ensemble des institutions gouvernementales. Nous avons remarqué, notamment, que les institutions ne disposaient pas des outils appropriés pour évaluer le risque de dommages ou de préjudice aux personnes. Nous avons communiqué nos conclusions au SCT. Celui-ci, en réponse à nos recommandations, a pris des mesures, notamment l’examen de ses politiques, de ses outils et de sa formation pour l’ensemble des employés, de manière à cerner des possibilités de renforcer l’orientation et les outils permettant de détecter, de signaler et de régler les atteintes à la vie privée.
  10. Le 26 octobre 2022, le SCT a publié des mises à jour à son ensemble de politiques de confidentialité. Nous considérons qu’il s’agit d’un pas dans la bonne direction. Cependant, nous avons examiné ces mises à jour et les produits connexes, et nous demeurons préoccupés par le fait que les institutions gouvernementales, dont le SCT, continueront à évaluer de façon inadéquate les préjudices aux personnes concernées et à appliquer une interprétation trop limitée d’« atteinte à la vie privée de nature substantielle ». Ainsi, il y a un risque continu que certaines atteintes à la vie privée ne soient pas signalées et que les personnes touchées n’en soient pas informées. Le signalement d’atteintes et les avis sont nécessaires aux fins de transparence et de responsabilisation, des objectifs définis de la Politique sur la protection de la vie privée du SCTNote de bas de page 6. En outre, si les personnes touchées ne sont pas avisées d’une atteinte, elles ne pourront pas prendre les précautions nécessaires pour se protéger contre tous les dommages découlant de l’atteinte en question.

Recommandations

  1. Compte tenu de ce qui précède, nous avons recommandé, dans notre rapport d’enquête préliminaire, que :
    1. le SCT doit communiquer notre rapport final (une fois publié) à son personnel et : (i) doit lui rappeler les responsabilités et obligations relatives au bon traitement des renseignements personnels et (ii) doit accroître la sensibilisation à propos des causes possibles d’atteintes, de manière à éviter que de tels incidents se reproduisent;
    2. le SCT doit intégrer ces conclusions dans l’ébauche de ses instruments de politique et d’orientation, de sorte que les institutions, dont le SCT, peuvent évaluer les préjudices et la nature substantielle des atteintes de manière plus uniforme et précise;
    3. le Bureau des réclamations du SCT doit communiquer avec le Service numérique canadien pour étudier des moyens mieux sécurisés de communiquer avec les intervenants, par exemple, en utilisant GC Notification qui publie des messages individuels.
  2. Le SCT a convenu de mettre en œuvre les recommandations a) et c). Il mentionne également dans ses observations finales que le Bureau des réclamations a eu pour directive de ne pas transmettre de courriels, à moins que le destinataire ait bien été vérifié et pris en considération avant l’envoi. Les courriels que les analystes doivent communiquer à d’autres membres de l’équipe aux fins des réclamations sont consultés soit au sein d’une boîte aux lettres générique ou du dossier du demandeur dans GCdocs. Les analystes doivent s’assurer que l’information est partagée seulement avec les personnes qui ont besoin de savoir.
  3. En ce qui a trait à la recommandation b), le SCT souligne qu’il a élaboré et publié récemment (en octobre 2022) d’importantes mises à jour à ses politiques sur la protection des renseignements personnels. Le SCT a souligné que les pratiques exemplaires liées aux atteintes à la vie privée avaient été codifiées avec l’intention de renforcer la responsabilisation et de garantir l’uniformité dans l’ensemble du gouvernement pour ce qui est de déceler les atteintes et d’y répondre.
  4. Le Commissariat accueille favorablement les modifications apportées aux instruments de politique du gouvernement en matière de protection des renseignements personnels, en particulier à la définition d’atteinte à la vie privée de nature substantielleNote de bas de page 7. Celle-ci correspond maintenant à celle de la Loi sur la protection des renseignements personnels et les documents électroniques (la loi canadienne sur la protection des renseignements personnels dans le secteur privé). Toutefois, comme cela a été mentionné précédemment, le Commissariat demeure préoccupé par l’interprétation de la « nature substantielle » des atteintes à la vie privée et par l’exécution des évaluations des dommages.
  5. Dans ses observations finales au Commissariat, le SCT n’a pas changé sa position sur la nature substantielle de l’atteinte en question, malgré le fait que nous avons communiqué au SCT notre rapport préliminaire du 7 octobre 2022. Or, nous précisons dans celui-ci que les plaignants avaient mentionné les dommages, y compris l’humiliation, l’embarras et même le sentiment d’avoir été violé, des facteurs clés de la nature substantielle. Comme cela a été indiqué ci-dessus, à notre avis, une atteinte concernant des renseignements personnels doit être considérée comme substantielle s’il était vraisemblable de s’attendre à ce que cela entraîne un dommage ou un préjudice grave, même à une seule personne. Elle n’a pas à toucher tout le monde de la même façon. Une évaluation appropriée du dommage doit être globale et tenir compte d’un éventail de facteurs, dont, au minimum, le ou les destinataires des renseignements personnels communiqués, la nature délicate des renseignements personnels et la probabilité que les renseignements personnels aient été, soient ou puissent être utilisés à mauvais escient. De plus, il convient de préciser qu’il n’est pas nécessaire qu’une institution reçoive des éléments de preuve d’un dommage ou d’un préjudice pour évaluer la nature substantielle de l’atteinte.
  6. Bref, comme l’illustrent nos analyses, il est important de ne pas simplement mettre l’accent sur le type de renseignements personnels communiqués (en l’espèce, des adresses de courriel et des coordonnées), mais aussi du contexte de la communication de ces renseignements, ainsi que de la façon dont cela pourrait éclairer sa nature délicate (dans le cas présent, des demandeurs relativement à des conséquences graves liées à Phénix).
  7. Conformément à nos recommandations a) et c), nous nous attendons à ce que le SCT tienne le Commissariat au courant, dans un délai de quatre mois, des détails concernant les mesures prises pour se conformer.
  8. Nous concluons que les plaintes sont fondées, puisque la communication contrevenait aux dispositions de la Loi, et qu’elles sont conditionnellement résolues en partie, du fait que le SCT a accepté de mettre en œuvre les recommandations a) et c). Cependant, nous demeurons préoccupés par le fait que les instruments de politique, l’orientation et les outils de soutien n’amélioreront pas l’uniformité dans l’ensemble du gouvernement pour ce qui est de détecter les atteintes à la vie privée et d’y répondre, en particulier en ce qui a trait à l’évaluation de la nature substantielle et des dommages aux personnes concernées.
  9. Le Commissariat encourage le SCT à continuer à élaborer et à affiner ses instruments de politique en mettant particulièrement l’accent sur la résolution des problèmes cernés relativement à l’évaluation de la nature substantielle et des dommages. Compte tenu du rôle de leadership que joue le SCT, nous nous serions attendus à ce qu’il reconnaisse la nature substantielle de cette atteinte, conformément aussi bien à son ancienne qu’à sa nouvelle définition politique.
  10. En raison de son rôle d’application de la Loi, le Commissariat reçoit des plaintes et des incidents d’atteinte à la vie privée et effectue le suivi et mène des enquêtes relativement à ces atteintes, que ce soit dans le secteur public ou privé, avant et après l’entrée en vigueur des obligations de signalement. Par conséquent, il a accumulé beaucoup d’expérience et développé des outils permettant d’évaluer les dommages aux personnes touchées. Le Commissariat accueillerait favorablement la possibilité de travailler avec le SCT de manière importante et de lui transmettre ses outils et ses connaissances dans ce domaine.
Date de modification :