Mémoire du Commissariat à la protection de la vie privée du Canada sur les modifications proposées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes
Le 15 janvier 2025
Erin Hunt
Directrice générale
Division des crimes financiers et de la sécurité
Direction de la politique du secteur financier
Ministère des Finances Canada
90, rue Elgin
Ottawa (Ontario) K1A 0G5
Courriel : fcs-scf@fin.gc.ca
Objet : Mémoire du Commissariat à la protection de la vie privée du Canada sur les modifications proposées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes
Madame la Directrice,
- Le Commissariat à la protection de la vie privée du Canada tient à remercier Finances Canada de lui donner l’occasion de formuler des commentaires sur les modifications proposées au Règlement sur le recyclage des produits de la criminalité et le financement des activités terroristes (les modifications proposées), telles qu’elles ont été publiées dans la Gazette du Canada le 30 novembre 2024Note de bas de page 1.
- Le Commissariat veille au respect de la Loi sur la protection des renseignements personnels, qui régit les pratiques de traitement des renseignements personnels adoptées par les institutions fédérales, et de la Loi sur la protection des renseignements personnels et les documents électroniques, qui est la loi fédérale en la matière dans le secteur privé au Canada.
- Le Commissariat souscrit aux mesures relatives à l’échange de renseignements proposées dans l’édition de la Gazette du Canada du 30 novembre 2024, dans la mesure où elles contribueront à faciliter l’échange efficace de renseignements afin de servir l’intérêt public d’importance capitale qui consiste à lutter contre le recyclage des produits de la criminalité et le financement des activités terroristes.
- Les mesures législatives qui sous-tendent cette initiative ont été présentées dans le cadre du projet de loi C-69, la Loi no 1 d’exécution du budget de 2024. En mai 2024, le Commissaire à la protection de la vie privée du Canada, Philippe Dufresne, a comparu devant le Comité sénatorial permanent des banques, du commerce et de l’économie au sujet du projet de loi C-69. À cette occasion, il a souligné l’importance de consulter le Commissariat lors de l’élaboration des règlements connexes et il a recommandé que ces derniers prévoient un rôle fort et visible d’approbation pour le Commissariat en ce qui concerne l’élaboration des codes de pratiqueNote de bas de page 2.
- D’ailleurs, nous souhaitons remercier le ministère des Finances du Canada d’avoir consulté le Commissariat concernant les modifications proposées quant à l’échange de renseignements conformément à un code de pratique et d’avoir prévu un rôle d’approbation pour le Commissariat. Notre mémoire portera sur cette initiative en particulier qui fait partie des modifications proposées.
Échange de renseignements
- Lorsque des mesures ayant une incidence importante sur la vie privée sont prises dans l’intérêt public, il faut s’assurer qu’elles sont assorties de mesures visant à protéger adéquatement la vie privée. Afin d’assurer le bon fonctionnement du régime canadien de lutte contre le recyclage des produits de la criminalité et le financement des activités terroristes, tout en protégeant le droit à la vie privée, nous souhaitons formuler les recommandations suivantes :
- Portée des plaintes : L’article 160 prévoit que toute personne ou entité qui croit qu’une personne ou entité ne s’est pas conformée à un code de pratique approuvé lors de la communication, la collecte ou l’utilisation de renseignements personnels peut déposer, auprès du Commissaire, une plainte au titre de la section 2 de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Par contre, une plainte peut être déposée auprès du Commissaire au titre de la section 2 de la partie 1 de la LPRPDE pour un éventail plus large d’infractions présumées, y compris une contravention à l’une des dispositions des sections 1 ou 1.1 ou l’omission de mettre en œuvre une recommandation énoncée dans l’annexe 1 de la LPRPDE. Ainsi, une plainte peut être déposée relativement à une atteinte aux mesures de sécurité ou aux exigences en ce qui concerne la conservation des renseignements personnels.
Puisque nous comprenons que l’intention politique du processus de plaintes pour cette initiative vise à traiter toutes les plaintes au titre de la section 2 de la partie 1 de la LPRPDE, nous recommandons que l’article 160 soit modifié comme suit par souci de clarté :
160 Toute personne ou entité qui croit qu’une personne ou entité visée à l’article 5 de la Loi ne s’est pas conformée à un code de pratique approuvé lors de la communication, la collecte ou l’utilisation de renseignements personnels peut déposer, auprès du Commissaire, une plainte au titre de la section 2 de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques. - Délais d’approbation par le Commissaire : Les modifications proposées accorderaient au Commissaire un délai de 90 jours pour examiner un code de pratique et prévoiraient la possibilité de prolonger ce délai d’au plus 15 jours. En consultant d’autres autorités de protection des données et de la vie privée (APD), nous avons appris que l’examen et l’approbation d’un code de pratique par une APD peuvent prendre jusqu’à un an. Par conséquent, nous recommandons que les paragraphes 163(1) et (2) soient modifiés pour donner au Commissaire la possibilité de prolonger la période d’examen jusqu’à 135 jours ouvrables.
- Exigences du code : Afin d’atténuer le risque de collecte excessive de renseignements personnels conformément à un code de pratique, nous recommandons que l’alinéa 161b) soit modifié pour se limiter explicitement aux renseignements qui doivent être recueillis au titre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes et de son règlement d’application.
En outre, nous recommandons de modifier l’alinéa 161b) en remplaçant « les types de renseignements personnels » par « les renseignements personnels à échanger ». Selon les modifications proposées, l’alinéa 161f) indique que le Commissariat devra évaluer si un code de pratique prévoit une protection des renseignements personnels essentiellement identique ou supérieure à celle prévue par la LPRPDE. La LPRPDE exige que les organisations ne recueillent que les renseignements personnels nécessaires aux fins déterminées (annexe 1, quatrième principe) et qu’elles utilisent et communiquent les renseignements personnels uniquement aux fins auxquelles ils ont été recueillis, sauf dans certaines circonstances (annexe 1, cinquième principe). Le fait de connaître précisément les renseignements personnels qui seront échangés permettrait au Commissariat d’évaluer si les renseignements indiqués à l’alinéa 161b) sont limités à ce qui est nécessaire aux fins décrites à l’alinéa 161c).
De plus, le paragraphe 5(3) de la LPRPDE permet à une organisation de recueillir, d’utiliser ou de communiquer des renseignements personnels uniquement à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances. Pour évaluer le paragraphe 5(3), il faut déterminer si les fins sont acceptables « dans les circonstances ». C’est pourquoi leur caractère acceptable doit être « analysé de manière contextuelle » et cette analyse doit prendre en compte les faits particuliers entourant la collecte, l’utilisation et la communication, « ce qui laisse supposer une flexibilité et une variabilité en fonction des circonstances »Note de bas de page 3. - Transparence : La transparence est un principe essentiel du droit relatif au respect de la vie privée, car elle aide les individus à exercer un contrôle sur leurs renseignements personnels. Le Commissariat comprend que les obligations énoncées dans la LPRPDE continueraient de s’appliquer aux entités participant à l’échange de renseignements au titre d’un code de pratique, y compris le principe de transparence.
Nous comprenons qu’il existe des motifs politiques pour que l’échange de renseignements conformément à un code de pratique se fasse à l’insu ou sans le consentement de la personne concernée, étant donné que l’échange a pour but de lutter contre le recyclage des produits de la criminalité et le financement des activités terroristes. Toutefois, comme les individus ne seront pas conscients que leurs renseignements personnels ont été communiqués, il est peu probable qu’ils déposent une plainte auprès du Commissariat. De plus, le Commissariat ne pourrait vérifier les pratiques d’échange de renseignements des entités au titre d’un code de pratique, conformément au paragraphe 18(1) de la LPRPDE, que s’il a des « motifs raisonnables » de croire qu’une organisation a enfreint la LPRPDE.
Par conséquent, nous recommandons que les modifications proposées soient revues afin d’inclure un mécanisme de transparence permettant d’assurer la protection de la vie privée et de rassurer la population canadienne. Par exemple, on pourrait envisager d’appliquer des modèles semblables à ceux présentés ci-dessous aux entités qui échangent des renseignements conformément à un code de pratique établi au titre de la Loi sur le recyclage des produits de la criminalité et le financement des activités terroristes :- Publication d’un résumé de l’évaluation des facteurs relatifs à la vie privée : La Directive sur les pratiques relatives à la protection de la vie privée du Secrétariat du Conseil du Trésor exige que soit publié un résumé de l’évaluation des facteurs relatifs à la vie privée conforme aux exigences juridiques, de sécurité et de confidentialitéNote de bas de page 4.
- Publication de rapports : Au sujet de la communication de renseignements personnels à l’insu ou sans le consentement d’une personne au titre des alinéas 7(3)d.1) et d.2) de la LPRPDE en vue de mener une enquête sur la contravention au droit fédéral ou de prévenir une fraude, de la détecter ou d’y mettre finNote de bas de page 5, le Commissariat croit que, pour améliorer la transparence, les organisations pourraient faire ce qui suit :
- envisager de publier des rapports sur le nombre et le genre de communications effectuées sur une base annuelle ou semestrielle, en utilisant des données agrégées ou anonymisées;
- envisager de rendre accessible un résumé de leurs cadres et pratiques d’échange de renseignements.
- Pouvoirs de redressement accrus pour le Commissariat : Bien que le Commissariat soit reconnaissant d’avoir un rôle à jouer dans l’approbation des codes de pratique selon les modifications proposées, il est d’avis que, pour promouvoir une surveillance plus efficace, il devrait être en mesure d’intervenir en cas de non-respect d’un code de pratique et des exigences prévues par la LPRPDE. Des exemples de tels pouvoirs avaient été proposés dans le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, qui aurait fourni au Commissariat une gamme d’outils lui permettant d’assurer la conformité aux exigences d’un code de pratique ou d’un programme de certification, y compris le pouvoir de recommander qu’une organisation soit retirée d’un programme de certification et de révoquer l’approbation d’un tel programme. Au titre du projet de loi C-27, le gouvernement aurait également eu le pouvoir de prendre des règlements permettant au Commissaire de reconsidérer une décision relative à un code de pratique. Nous recommandons que des pouvoirs semblables soient accordés au Commissaire dans le cadre des modifications proposées, y compris, au minimum, que le Commissaire ait le pouvoir de réexaminer une décision prise relativement à un code de pratique dans les circonstances appropriées.
- Portée des plaintes : L’article 160 prévoit que toute personne ou entité qui croit qu’une personne ou entité ne s’est pas conformée à un code de pratique approuvé lors de la communication, la collecte ou l’utilisation de renseignements personnels peut déposer, auprès du Commissaire, une plainte au titre de la section 2 de la partie 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Par contre, une plainte peut être déposée auprès du Commissaire au titre de la section 2 de la partie 1 de la LPRPDE pour un éventail plus large d’infractions présumées, y compris une contravention à l’une des dispositions des sections 1 ou 1.1 ou l’omission de mettre en œuvre une recommandation énoncée dans l’annexe 1 de la LPRPDE. Ainsi, une plainte peut être déposée relativement à une atteinte aux mesures de sécurité ou aux exigences en ce qui concerne la conservation des renseignements personnels.
Conclusion
- Nous sommes heureux d’avoir l’occasion de faire connaître nos opinions et nous collaborerons avec plaisir avec vos représentants sur toute question soulevée dans ce mémoire.
Je vous prie d’agréer, Madame la Directrice, l’assurance de ma considération distinguée.
(Original signé par)
Lara Ives
Directrice exécutive
Politiques, recherche et affaires parlementaires
Commissariat à la protection de la vie privée du Canada
- Date de modification :