Mémoire du Commissariat à la protection de la vie privée du Canada sur la vie privée pendant une situation de crise
Le 23 janvier 2023
PAR COURRIEL
L’honorable Gwen Boniface
Coprésidente, Comité mixte spécial sur la déclaration de situation de crise
40, rue Elgin
Édifice Chambers
Sénat du Canada
Ottawa (Ontario) K1A 0A4
Rhéal Éloi Fortin, député, et Matthew Green, député
Coprésidents, Comité mixte spécial sur la déclaration de situation de crise
131, rue Queen, 6e étage
Chambre des communes
Ottawa (Ontario) K1A 0A6
Objet : La vie privée pendant une situation de crise
Madame et Messieurs les coprésidents,
La présente fait suite à la communication que j’ai reçue de la part du cogreffier du Comité mixte spécial sur la déclaration de situation de crise, le 22 décembre 2022, m’invitant à présenter un mémoire au Comité. Je remercie le Comité de cette invitation.
En ma qualité de commissaire à la protection de la vie privée du Canada, je suis ravi de présenter au Comité un résumé des principes que les institutions gouvernementales devraient respecter pendant une situation de crise afin de s’assurer que le droit à la vie privée est protégé. Je présenterai aussi certaines questions soulevées dans le cadre des travaux du Commissariat en lien avec les enjeux examinés par le Comité.
Le Commissariat à la protection de la vie privée du Canada veille au respect de la Loi sur la protection des renseignements personnels (LPRP), laquelle porte sur les pratiques de traitement des renseignements personnels utilisées par les ministères et organismes fédéraux, et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada.
Le Commissariat travaille de façon indépendante de toute autre entité du gouvernement pour mener des enquêtes à la suite de plaintes formulées par des individus concernant les pratiques de traitement des renseignements personnels du secteur public fédéral et du secteur privé. Nous privilégions le règlement des plaintes par la négociation et la persuasion, en ayant recours à la médiation et à la conciliation, le cas échéant.
Pour les plaintes non réglées, plus précisément celles déposées en vertu de la LPRPDE, je peux saisir la Cour fédérale de l’affaire et lui demander d’émettre une ordonnance pour rectifier la situation. La LPRP et la LPRPDE m’interdisent de communiquer tout renseignement dont je prends connaissance dans l’exercice de mes fonctions ou de mes pouvoirs, y compris ceux portant sur les enquêtes en cours et les consultations auprès d’institutions du secteur public et d’organisations du secteur privé, sous réserve de certaines exceptions limitéesNote de bas de page 1.
Un autre aspect important du mandat du Commissariat consiste à sensibiliser les Canadiennes et les Canadiens aux enjeux liés à la protection de la vie privée et à les aider à les comprendre. Dans cette optique, je tiens à présenter au Comité un résumé des principes clés de protection de la vie privée qui devraient être pris en compte dans l’évaluation de toute mesure proposée pour réagir à un état d’urgence qui pourrait avoir une incidence sur la vie privée de la population canadienne.
En situation de crise, les lois sur la protection des renseignements personnels et autres mesures de protection sont toujours en vigueur et elles ne doivent pas être considérées comme un obstacle à la collecte, à l’utilisation et à la communication appropriées de renseignements. Les lois, les normes et les pratiques exemplaires actuelles en matière de protection des renseignements personnels, lorsqu’on les interprète de façon raisonnable et en tenant compte du contexte, assurent une collecte, une utilisation et une communication responsables des données, qui appuient l’ordre public. Elles favorisent aussi le maintien de la confiance envers le gouvernement et assurent le respect des droits fondamentaux. La protection de la vie privée ne se limite pas à une série de règles techniques et de règlements. Elle représente plutôt un impératif constant de préserver les droits fondamentaux et les valeurs démocratiques, même dans les situations exceptionnelles.
Je suis conscient que les situations de crise évoluent rapidement et qu’il faut intervenir de manière rapide et efficace pour répondre à des besoins du public hors du commun. Cependant, même pendant une situation de crise, les institutions publiques doivent continuer de se conformer à la loi et d’agir de manière responsable, en particulier pour ce qui est du traitement des renseignements personnels qui pourraient être considérés comme sensibles, notamment les renseignements sur les finances, les opinions politiques, les déplacements des individus ou les liens qu’ils entretiennent.
Dans cette perspective, les institutions gouvernementales doivent s’assurer que les principes clés présentés ci-dessous sont pris en compte dans l’évaluation de toute mesure proposée en situation de crise et susceptible d’avoir une incidence sur la vie privée des Canadiennes et des Canadiens :
- Conformité à la loi : Les institutions gouvernementales doivent déterminer l’assise juridique leur permettant de recueillir, d’utiliser et de communiquer des renseignements personnels.
- Nécessité et proportionnalité : Les mesures prises par les institutions pour réagir à un état d’urgence doivent être nécessaires et proportionnelles. Ce principe s’applique lorsqu’il s’agit de mesures existantes ou lorsqu’il s’agit de nouvelles mesures pour faire face à une crise. La nécessité signifie que les mesures doivent être nécessaires, et non simplement avoir une utilité éventuelle. Même si la nécessité ne doit pas forcément être « absolue » (par exemple, si l’on ne disposait d’aucun autre moyen imaginable, quel qu’en soit le coût), les mesures doivent avoir davantage qu’une utilité éventuelle. Elles doivent être fondées sur des données probantes et susceptibles d’être efficaces, bien que l’efficacité doive être évaluée en fonction du contexte. Les institutions doivent également s’assurer que les mesures n’ont pas une portée excessive, c’est-à-dire qu’elles sont adaptées d’une manière qui soit rationnellement liée à l’objectif précis à atteindre.
- Principe de finalité : Les institutions doivent s’assurer que les renseignements personnels recueillis dans le contexte d’une situation de crise ne sont pas utilisés ou communiqués à toute autre fin. L’attente raisonnable en matière de vie privée des individus peut être réduite au cours d’une crise, mais il ne serait pas raisonnable de s’attendre à ce que des renseignements sensibles (par exemple leurs renseignements sur les finances ou opinions politiques) puissent être utilisés à d’autres fins gouvernementales ou commerciales. Les renseignements personnels recueillis en situation de crise devraient également être détruits au terme de celle-ci, sauf pour servir à des fins limitées, par exemple afin de faire de la recherche ou de rendre compte des décisions prises pendant la crise, particulièrement en ce qui concerne les décisions au sujet d’individus.
- Dépersonnalisation et autres mesures de sécurité des renseignements personnels : Les institutions doivent s’assurer que les renseignements personnels sont protégés par des moyens administratifs, techniques et physiques, y compris des mesures de protection renforcées pour les renseignements sensibles. Elles doivent aussi se demander si des renseignements permettant d’identifier des personnes sont nécessaires dans le contexte ou si des données dépersonnalisées ou agrégées suffiraient. Lorsqu’elles utilisent des données dépersonnalisées ou agrégées, les institutions doivent être attentives au risque de repersonnalisation, qui varie d’un cas à l’autre, selon les données utilisées, leur forme, les autres données avec lesquelles elles sont combinées et à qui elles seront communiquées.
- Ouverture et transparence : En situation de crise, les institutions doivent communiquer régulièrement aux individus de l’information claire et détaillée concernant les mesures nouvelles ou émergentes. La transparence est la pierre angulaire de la gouvernance démocratique et de nos lois sur la protection des renseignements personnels. Elle est d’autant plus indispensable en temps de crise lorsqu’on envisage des mesures extraordinaires. Il faut informer le public, et dans la mesure du possible les individus concernés, de la fin visée par la collecte de renseignements personnels.
- Surveillance et responsabilité : Les nouvelles mesures adoptées expressément en lien avec la crise devraient toujours prévoir des dispositions sur la surveillance et la responsabilité. En temps de crise, les mesures de protection institutionnelles deviennent plus importantes, pas moins.
- Durée limitée des mesures : En situation de crise, les mesures portant atteinte à la vie privée devraient être limitées dans le temps et prendre obligatoirement fin lorsqu’elles ne sont plus nécessaires. Les mesures mises en œuvre pour faire face à la crise (p. ex. type de collecte, de communication et d’utilisation des renseignements personnels et étendue de ces activités) devraient être d’une durée limitée. Cette période devrait être courte et pouvoir être prolongée si nécessaire.
Nous nous sommes fondés sur ces principes pour orienter notre travail dans le cadre de trois dossiers liés aux préoccupations soulevées dans le contexte des perturbations, des blocages et de l’occupation qui ont eu lieu en février 2022.
Premièrement, à la suite de préoccupations quant aux répercussions sur la vie privée que pouvait avoir le recours à la Loi sur les mesures d’urgenceNote de bas de page 2, le Commissariat a consulté le Service canadien du renseignement de sécurité (SCRS), le Centre d’analyse des opérations et déclarations financières du Canada (CANAFE) et la Gendarmerie royale du Canada (GRC). L’objectif de cette démarche était de mieux comprendre et d’évaluer, par rapport à la LPRP, la façon dont les institutions ont traité les renseignements personnels dans le contexte de la Loi sur les mesures d’urgence et des pouvoirs temporaires accordés à la suite de l’entrée en vigueur du Décret sur les mesures économiques d’urgenceNote de bas de page 3.
Le Décret a permis aux organismes d’application de la loi de travailler en étroite collaboration avec les banques et d’autres fournisseurs de services financiers (entités financières). Il prévoyait également des mesures supplémentaires pour surveiller et perturber les activités financières associées aux blocages illégaux. Bien que les activités des institutions fédérales doivent se limiter aux pouvoirs que leur confèrent leur autorisation légale et être conformes aux lois applicables, y compris la LPRP, le Décret a accordé une autorisation temporaire de communiquer certains renseignements personnels, comme l’obligation pour les entités financières de communiquer des renseignements à la GRC ou au SCRS.
Les mesures en question imposaient notamment à certaines entités financières de vérifier si elles avaient en leur possession ou sous leur contrôle des biens qui étaient possédés, détenus ou contrôlés par une personne désignéeNote de bas de page 4 ou en son nom, et de communiquer cette information à la GRC ou au SCRS. Ces mesures accordaient aussi aux institutions fédérales, provinciales et territoriales l’autorisation temporaire de transmettre de l’information pertinente aux entités financières si l’institution en question était convaincue que les renseignements permettraient de faire observer le Décret. Ce dernier obligeait également certaines entités à enregistrer et à déclarer certaines transactions financières au CANAFE.
Nous sommes toujours en train d’examiner ces questions. Certains éléments importants sur lesquels nous nous penchons sont présentés ci-dessous :
- La portée et la nature des renseignements personnels reçus et communiqués dans le contexte de la Loi sur les mesures d’urgence et du décret connexe.
- Si des mesures raisonnables ont été prises pour assurer l’exactitude des renseignements personnels.
- Si des mesures raisonnables ont été prises pour limiter la communication de renseignements personnels.
- Si les renseignements personnels ont été utilisés ou communiqués à des fins autres que celles précisées lors de leur collecte.
- Si la publication d’un fichier de renseignements personnels nouveau ou modifié avait été envisagée pour décrire les renseignements personnels qui ont été utilisés, qui sont actuellement utilisés ou qui ont été rendus accessibles à des fins administratives à la suite du recours à la Loi sur les mesures d’urgence.
Nous préparons en ce moment notre rapport définitif à cet égard et nous avons l’intention de publier nos conclusions et observations au printemps 2023.
Deuxièmement, la Direction des services-conseils au gouvernement du Commissariat, qui fournit des conseils et des recommandations aux institutions fédérales au sujet d’initiatives et de programmes particuliers, a reçu un avis d’un organisme d’application de la loi concernant un outil de surveillance d’Internet que l’organisme comptait utiliser, car les responsables craignaient pour la sécurité de leurs agents et du public dans le contexte des perturbations, des blocages et de l’occupation. L’organisme a par la suite présenté au Commissariat une Évaluation des facteurs relatifs à la vie privée. Toutefois, comme l’utilisation de l’outil de surveillance faisait l’objet d’une analyse dans le cadre d’une autre enquête du Commissariat, nous avons indiqué à l’organisme que nous allions suspendre notre examen, mais que nous pourrions mener des consultations et effectuer un examen après la conclusion de notre enquête. Cette dernière est toujours en cours, mais nous pensons qu’elle sera terminée au printemps ou à l’été 2023. Je serais heureux de faire part de nos conclusions au Comité dès que notre enquête sera terminée.
Troisièmement, le 15 mars 2022, le Commissariat a été saisi d’une plainte déposée par M. James Bezan, député fédéral de Selkirk—Interlake—Eastman, dans laquelle il allègue une série d’atteintes à la vie privée liées à une plateforme de sociofinancement, qui a donné lieu à l’exfiltration et à la publication partielle de renseignements personnels de Canadiennes et de CanadiensNote de bas de page 5. Nous enquêtons actuellement sur cette atteinte, notamment pour établir si la plateforme avait mis en place des mesures de protection adéquates et si les exigences en matière de déclaration des atteintes avaient été respectées. Nous prévoyons de conclure l’enquête au printemps 2023. Je serais également heureux de faire part de nos conclusions au Comité lorsque l’enquête sera terminée.
Pour conclure, le droit à la vie privée est un droit fondamental, et veiller à ce qu’il soit protégé permet de susciter la confiance nécessaire et de servir d’importants intérêts publics. En situation de crise, il est important d’élaborer et de mettre en œuvre un cadre clair de gouvernance de la protection de la vie privée afin que les institutions fédérales et les organisations du secteur privé puissent remplir efficacement leurs obligations en vertu de la LPRP et de la LPRPDE.
J’espère que les membres du Comité trouveront ces renseignements utiles et j’ai hâte d’examiner votre rapport. N’hésitez pas à communiquer avec moi si vous avez des questions ou si vous souhaitez obtenir de plus amples renseignements.
Veuillez agréer, Madame et Messieurs les coprésidents l’expression de mes sentiments distingués.
Le commissaire,
(Original signé par)
Philippe Dufresne
c. c. :
Miriam Burke, cogreffière du Comité
Mark Palmer, cogreffier du Comité
Courriel : DEDC@parl.gc.ca
- Date de modification :